Upgrade to Pro — share decks privately, control downloads, hide ads and more …

スマートコントラクトの監査について

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for yudetamago yudetamago
September 25, 2018
Technology
630
2

 スマートコントラクトの監査について

Avatar for yudetamago

yudetamago

September 25, 2018

More Decks by yudetamago

See All by yudetamago
ブロックチェーンとIndexer
Avatar for yudetamago yudetamago
0
960
Unityでブロックチェーンアプリを作る
Avatar for yudetamago yudetamago
0
1.8k
DApps開発特有の_ハマりポイントご紹介.pdf
Avatar for yudetamago yudetamago
1
1.5k
DApps開発事例 ~CryptoCrystal概要編~
Avatar for yudetamago yudetamago
3
340
Gasを誰が払うのか問題について
Avatar for yudetamago yudetamago
5
4.6k
Solidityの複数コントラク ト連携を色々試してる話
Avatar for yudetamago yudetamago
1
2.3k
Dapps開発におけるSoliidityのはまりどころ
Avatar for yudetamago yudetamago
3
2.4k

Other Decks in Technology

See All in Technology
JOAI2026講評会資料(近藤佐介)
Avatar for Sasuke Kondo element138
1
120
Eight Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
3
7.2k
Azure PortalなどにみるWebアクセシビリティ
Avatar for tomokusaba tomokusaba
0
300
Introduction to Sansan, inc / Sansan Global Development Center, Inc.
Avatar for Sansan, Inc. sansan33
PRO
0
3k
All About Sansan – for New Global Engineers
Avatar for Sansan, Inc. sansan33
PRO
1
1.4k
最初の一歩を踏み出せなかった私が、誰かの背中を押したいと思うようになるまで / give someone a push
Avatar for miisan mii3king
0
140
生成AI時代のエンジニア育成 変わる時代と変わらないコト
Avatar for starfish719 starfish719
0
5.3k
"SQLは書けません"から始まる データドリブン
Avatar for kubell kubell_hr
2
440
Discordでリモートポケカしてたら、なぜかDOを25分間動かせるようになった話
Avatar for Kaito Udagawa umireon
0
140
AWS DevOps Agentはチームメイトになれるのか?/ Can AWS DevOps Agent become a teammate
Avatar for Masanori Yamaguchi kinunori
1
200
ルールルルルル私的函館観光ガイド── 函館の街はイクラでも楽しめる!
Avatar for nomuson nomuson
0
200
60分で学ぶ最新Webフロントエンド
Avatar for mizdra mizdra
PRO
33
16k

Featured

See All Featured
Deep Space Network (abreviated)
Avatar for Tony Rice tonyrice
0
110
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
330
Code Reviewing Like a Champion
Avatar for maltzj maltzj
528
40k
BBQ
Avatar for Matthew Crist matthewcrist
89
10k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.8k
Claude Code のすすめ
Avatar for schroneko schroneko
67
220k
Collaborative Software Design: How to facilitate domain modelling decisions
Avatar for Kenny Baas-Schwegler baasie
0
190
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
Avatar for Szymon Słowik szymonslowik
1
1k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
672
58k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
199
73k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
408
66k
Crafting Experiences
Avatar for Bethany Jepchumba bethany
1
110

Transcript

  1. スマートコントラクトの 監査について ゆで卵(@takayukib) 2018/9/25 blockchain.tokyo #12

  2. ⾃⼰紹介的なやつ 名前:ゆで卵(@takayukib) 所属:フリーランス、トークンポケット株式会社 その他 • CryptoCrystalというDappsを作っています • 株式会社LayerXでもお仕事してます 1

  3. 監査は何故必要か üスマートコントラクトはデプロイすると基 本的にはアップデート出来ない ü通貨・トークンを扱うためミッションクリ ティカルである 2

  4. 今⽇のテーマ スマートコントラクトの開発者・監査者 どちらもが幸せになれるように 良いコードを書きましょう! 3

  5. 4 監査対象になるもの(⼀例) スコープ ü セキュリティ ü トークンの仕様 ü トラストレス性 ü

    アーキテクチャ ü ⾔語の慣習 ü WPとの整合性 内容 ü コード本体 ü デプロイ⽤スクリプト ü ホワイトペーパー(WP) ü (テストコード) 参考: https://www.smartcontractsecurityalliance.com/

  6. 監査内容の各例 5

  7. セキュリティ(よくある例) üオーバーフロー 基本的に計算部分は全てSafeMath等のライブラリを使うことを推奨 üfor loopのindexの上限 forループの上限値が無いとblock gas limitをオーバーするリスクがある üアクセス制御の付け忘れ onlyOwnerや、特定のコントラクトからのみ呼ばれるなど

    6

  8. アクセス制御の例(Proxy Pattern) 7 Main Contract Proxy Contract Deployer Another User

    onlyOwner onlyProxy Contract これを付ける 参考: https://blog.zeppelinos.org/proxy-patterns/

  9. unbounded loopの例 function addTokenGrant(address _grantee, uint256 _value) external onlyOwner {

    … for (uint i = 0; i < tokenGrantees.length; i++). { require(tokenGrantees[i] != _grantee); } 8 block gas limitを超えないように 常にループ回数の上限は確認する https://blog.zeppelin.solutions/kin-token-audit-121788c06fe これ

  10. トラストレス性 極⼒onlyOwner等のトラストレス性を無くすものは付けないよう にする。 例外と思われるもの üProxy Patternでのコントラクトアップデート(ownerが必要) üCloudSaleのロックアップ期間の設定(法律改正によって変わる可能性があるなど) 9 参考: SolidifiedによるCycled

    ICOに対するトラストレス性の指摘 https://github.com/solidified- platform/audits/blob/22cda93a7897b4e2f2b0f3689b170eea918fc85d/Audit%20Report%20- %20Cycled%20ICO%20%5B04.25.18%5D.pdf

  11. トークンの仕様(ERC20の例) 基本的にはOpenZeppelin Solidityを 使っていれば問題なし。 標準以外の機能を追加するとき ütransfer、transferFromでboolを返す üトークンのdistribution、airdropはトークン⾃体のコントラクトと分ける 10

  12. ⾔語の標準的な慣習(Solidityの例) üOpenZeppelin Solidityを使う üコンパイラのバージョンを最新にする üuint, uint256などの表記ゆれを無くす üLinter(solium, solhint)を使う 11 ⼀番重要

  13. アーキテクチャ 12 ü よく知られているパ ターンを使う ü 図があると良い Facadeパターンの例 https://github.com/cryptocrystalio/crypto crystal-

    bounty/blob/118cd744ffc2d8ff0682ef0638 43c4704133fab5/basic.md

  14. アーキテクチャの良い例 0x protocol 2.0.0 specification (ERC20 Exchange) 13 https://github.com/ConsenSys/0x_audit_report_2018-07-23 https://github.com/0xProject/0x-protocol-

    specification/blob/189eaf696b35e021860bd9a4f147ed0eed148441/v2/v2-specification.md

  15. 14 今後の展望と課題

  16. auditの⾃動化(サービス) Quantstampの例 https://quantstamp.com/public-reports reentrancyのチェックや、assertがfailする条件などを⾃動で確 かめることが出来る 15

  17. auditの⾃動化(ツール) mythril https://github.com/ConsenSys/mythril 16 ※厳密にはconcolic 参考: https://github.com/b-mueller/laser-ethereum üシンボリック実⾏(※)をするツール üバックエンドはlaser-ethereumというシンボリック実⾏⽤の VMを利⽤

  18. まとめ ü⽬的・全体像・仕様はWPなどで⽂書・図にまとめる üOpenzeppelin Solidity使う üコード・関連スクリプト・テストなどを全て含める üセキュリティ・実装はベストプラクティスに従う 17