MUSIC:安全問題頻現，程序分析如何提前捕獲安全漏？_比特幣跌破8000美元

如果你對區塊鏈技術感興趣的話，可能聽說過很多攻擊者利用程序代碼中的漏洞而導致的大量資金被盜事件。例如，2016年臭名昭著的DAO攻擊事件，攻擊者利用一個名叫「重入」的漏洞超額提取了他們原本所能提取的資金。另一個更近期的事件是閃電貸攻擊，發生于2022年4月17日，造成1.82億美元的資金損失。雖然所有攻擊都源于底層源代碼的安全漏洞，但好消息是現在已經有能夠檢測此類漏洞的程序分析技術。在接下去的幾篇博文中，我們會解釋程序分析是什么，以及它如何幫助在部署前捕獲安全漏洞。

程序分析簡介

Sologenic推出SOLONEX和CBDC代幣化解決方案:金色財經報道，Sologenic是一家專注于區塊鏈代幣化技術的全球公司，宣布推出兩種解決方案：SOLONEX（資產代幣化經紀解決方案）和專門定制的CBDC代幣化解決方案。這些解決方案旨在促進金融交易和資產管理，旨在彌合傳統金融和數字金融之間的差距，“為機構、銀行和政府機構提供代幣化切入點”。Sologenic還宣布與Fireblocks建立戰略聯盟，Fireblocks是一個易于使用的平臺，“用于創建新的基于區塊鏈的產品并管理日常數字資產運營”。[2023/7/2 22:12:48]

程序分析指的是一類用于檢測程序中安全漏洞的技術。程序分析有兩種主要形式，動態和靜態。動態程序分析的目標是通過執行程序來檢測問題，而靜態程序分析則無需運行程序本身就可以對源代碼進行分析。然而，在這些技術之中，只有靜態分析能夠確保程序中不存在漏洞。相反，不同于靜態分析，動態分析能證明問題的存在，它并不能夠證明漏洞并不存在。

韓國金委員會發布STO發行和流通紀律系統改革方案:2月6日消息，韓國金融服務委員會（FSC）發布《證券型代幣（STO）發行和流通紀律系統改革方案》，計劃在資本市場法范圍內允許STO以證券形式正常發行和流通。同時為防止可能的違法事件并保護投資者，提供數字資產是否為證券的判斷原則和適用判例。[2023/2/6 11:49:14]

乍一看，靜態分析聽起來似乎很神秘：表面看來，靜態分析似乎違反了一個被總結為萊斯定理「Rice'stheorem」的基本原則，該定理聲稱程序的每一個非平凡性質都是不可判定的。在此，語義屬性是關于程序行為的屬性，而非平凡性質是指只有某些程序擁有而其他程序沒有的性質。與我們手頭話題更相關的是，安全漏洞的存在是非平凡性質的一個典型例子。因此，關于「這個程序是否存在安全漏洞」這一問題，萊斯定理告訴我們沒有一個算法能夠終結并準確回答這一問題。?

Element black旗下NFT音樂平臺Music Infinity發布功能更新:7月11日消息，元宇宙基礎設施公司 Element black 旗下 NFT 音樂平臺 Music Infinity 發布新功能，此后玩家可自由轉贈 Music box，并進行 Token 轉賬。本次更新還包括數據安全改進、播放器優化等功能。

據了解，Music Infinity 致力于打造出一個自由、繁榮、開放的 Web3 NFT 泛娛樂版權音樂共用生態。通過 Music Box、音樂 NFT 系統、Music Plaza 三大功能將音樂生態與區塊鏈游戲結合。旨在實現音樂版權價值最大化，創新粉絲經濟模型。[2022/7/11 2:05:21]

那么，靜態分析的可行性源自哪里呢？答案藏于以下的觀察：沒錯，沒有一個算法能夠準確地給出是或否，但可以有一個算法在程序有安全漏洞時總是會回答「是」，在程序沒有安全漏洞時算法有時可能也會回答「是」。換句話說，只要我們愿意容忍一些誤報，我們就可以繞過賴斯定理和不可判定性。

近6個月比特幣礦工日均收入已下跌50%以上:6月12日消息，據盡管上周比特幣礦工收入小幅上周，但日均收入仍然受到抑制。數據顯示，比特幣礦工日均收入在上周小幅反彈至 2719 萬美元，但與此前一周 2600 萬美元相比增幅僅為 1.47%。此外，相較于 2021 年 11 月礦工約 6200 萬美元的日均收入，當前比特幣礦工日均收入跌幅已達 56%，礦業市場仍然處于低位。由于礦工收入不理想，比特幣全網算力水平也受到影響，過去一個月 BTC 算力已下跌超 10%，每小時區塊生成數量也減少至 5.85 BTC。（thecoinrepublic）[2022/6/12 4:19:33]

靜態分析原理

讓我們以高一維度的視角來看看靜態分析是如何運作的。靜態分析的基本原理是將程序所處的狀態集合進行過近似「over-approximate」。我們將程序狀態視為從變量到值的映射。一般來說，不存在一個算法能夠明確也許是執行某一程序引起的確切程序狀態集。但可以近似該集合，如下圖所示：

此處，藍色的不規則形狀對應在執行某些程序時可能出現的實際狀態集，紅色區域對應預示錯誤或安全漏洞的「壞狀態」。由于不可判定性，永遠沒有一個算法能夠準確表明藍色區域到底是什么，但是我們能設計一個算法以系統性的方式過近似這個藍色區域，如上面常規綠色區域所示。只要綠色和紅色的交集為空，我們就有證據證明程序沒有做壞事。然而，如果我們的過近似不夠不準確，可能會使得紅色區域重疊，即使藍色和紅色區域的交集依舊為空，如下圖所示：

這種情況會導致所謂的「誤報」，由于分析與真實問題不相應而報告的虛假錯誤。一般而言，靜態分析的圣杯是構造過近似，即過近似足夠準確因此我們在實際中不會獲得很誤報過近似的計算足夠有效率，因此分析可擴展到我們所關心的現實世界的程序。

附帶說明一下，還可以設計靜態分析算法來近似如下所示的程序行為：

在此情況下，綠色區域包含在藍色區域內，和另一種方式正好相反。這種分析是不可靠的，意味著可能會漏掉真正的程序錯誤：正如我們在上圖所看到的那樣，綠色和紅色的交集為空，因此即使程序真的存在漏洞，分析也不會報告問題。這會導致所謂的假陰性，真正的漏洞被靜態分析給遺漏了。

大體來說，如果我們想獲得可證明的安全性，我們會想要可靠的從來不會有誤報的靜態分析器，同時還需要足夠精確，在實踐時不會報告太多誤報。然而，好消息是，幾十年的正統研究表明設計這樣的靜態分析器有可能的。下篇博文，我們會更詳細地介紹靜態分析器具體是如何運作的！

總結

程序分析是一種有效的能夠捕捉各種程序中安全漏洞的技術，包括區塊鏈應用程序。此外，可靠的靜態分析器的過近似程序行為能確保整個類別中不存在漏洞。

Tags：MUSICSOL比特幣OLOMusician Worlds NFTSolarys比特幣跌破8000美元ColossusCoinXT

抹茶交易所