Upgrade to Pro — share decks privately, control downloads, hide ads and more …

スマートコントラクトの監査について

Avatar for yudetamago yudetamago
September 25, 2018
Technology
2
600

 スマートコントラクトの監査について

Avatar for yudetamago

yudetamago

September 25, 2018
Tweet

More Decks by yudetamago

See All by yudetamago
ブロックチェーンとIndexer
Avatar for yudetamago yudetamago
0
920
Unityでブロックチェーンアプリを作る
Avatar for yudetamago yudetamago
0
1.8k
DApps開発特有の_ハマりポイントご紹介.pdf
Avatar for yudetamago yudetamago
1
1.4k
DApps開発事例 ~CryptoCrystal概要編~
Avatar for yudetamago yudetamago
3
310
Gasを誰が払うのか問題について
Avatar for yudetamago yudetamago
5
4.5k
Solidityの複数コントラク ト連携を色々試してる話
Avatar for yudetamago yudetamago
1
2.2k
Dapps開発におけるSoliidityのはまりどころ
Avatar for yudetamago yudetamago
3
2.3k

Other Decks in Technology

See All in Technology
生成AIを活用したZennの取り組み事例
Avatar for igarashi ryosukeigarashi
0
200
GC25 Recap+: Advancing Go Garbage Collection with Green Tea
Avatar for Takuto Nagami logica0419
1
410
Large Vision Language Modelを用いた 文書画像データ化作業自動化の検証、運用 / shibuya_AI
Avatar for Sansan R&D sansan_randd
0
110
いまさら聞けない ABテスト入門
Avatar for 木村彩恵(skmr2348) skmr2348
1
200
[2025-09-30] Databricks Genie を利用した分析基盤とデータモデリングの IVRy の現在地
Avatar for 和田 悠佑 wxyzzz
0
470
pprof vs runtime/trace (FlightRecorder)
Avatar for task4233 task4233
0
170
OCI Network Firewall 概要
Avatar for oracle4engineer oracle4engineer
PRO
1
7.8k
Where will it converge?
Avatar for Ibukun Adedeji ibknadedeji
0
180
o11yで育てる、強い内製開発組織
Avatar for _awache _awache
3
120
DataOpsNight#8_Terragruntを用いたスケーラブルなSnowflakeインフラ管理
Avatar for Hiroki Yamagishi roki18d
1
340
定期的な価値提供だけじゃない、スクラムが導くチームの共創化 / 20251004 Naoki Takahashi
Avatar for SHIFT EVOLVE shift_evolve
PRO
3
300
関係性が駆動するアジャイル──GPTに人格を与えたら、対話を通してふりかえりを 習慣化できた話
Avatar for リリカル mhlyc
0
130

Featured

See All Featured
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.8k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
29
5.5k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
657
61k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
23
3.7k
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
5
180
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.2k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
460k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
332
24k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
347
40k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
358
30k
Making Projects Easy
Avatar for Brett Harned brettharned
119
6.4k

Transcript

  1. スマートコントラクトの 監査について ゆで卵(@takayukib) 2018/9/25 blockchain.tokyo #12

  2. ⾃⼰紹介的なやつ 名前:ゆで卵(@takayukib) 所属:フリーランス、トークンポケット株式会社 その他 • CryptoCrystalというDappsを作っています • 株式会社LayerXでもお仕事してます 1

  3. 監査は何故必要か üスマートコントラクトはデプロイすると基 本的にはアップデート出来ない ü通貨・トークンを扱うためミッションクリ ティカルである 2

  4. 今⽇のテーマ スマートコントラクトの開発者・監査者 どちらもが幸せになれるように 良いコードを書きましょう! 3

  5. 4 監査対象になるもの(⼀例) スコープ ü セキュリティ ü トークンの仕様 ü トラストレス性 ü

    アーキテクチャ ü ⾔語の慣習 ü WPとの整合性 内容 ü コード本体 ü デプロイ⽤スクリプト ü ホワイトペーパー(WP) ü (テストコード) 参考: https://www.smartcontractsecurityalliance.com/

  6. 監査内容の各例 5

  7. セキュリティ(よくある例) üオーバーフロー 基本的に計算部分は全てSafeMath等のライブラリを使うことを推奨 üfor loopのindexの上限 forループの上限値が無いとblock gas limitをオーバーするリスクがある üアクセス制御の付け忘れ onlyOwnerや、特定のコントラクトからのみ呼ばれるなど

    6

  8. アクセス制御の例(Proxy Pattern) 7 Main Contract Proxy Contract Deployer Another User

    onlyOwner onlyProxy Contract これを付ける 参考: https://blog.zeppelinos.org/proxy-patterns/

  9. unbounded loopの例 function addTokenGrant(address _grantee, uint256 _value) external onlyOwner {

    … for (uint i = 0; i < tokenGrantees.length; i++). { require(tokenGrantees[i] != _grantee); } 8 block gas limitを超えないように 常にループ回数の上限は確認する https://blog.zeppelin.solutions/kin-token-audit-121788c06fe これ

  10. トラストレス性 極⼒onlyOwner等のトラストレス性を無くすものは付けないよう にする。 例外と思われるもの üProxy Patternでのコントラクトアップデート(ownerが必要) üCloudSaleのロックアップ期間の設定(法律改正によって変わる可能性があるなど) 9 参考: SolidifiedによるCycled

    ICOに対するトラストレス性の指摘 https://github.com/solidified- platform/audits/blob/22cda93a7897b4e2f2b0f3689b170eea918fc85d/Audit%20Report%20- %20Cycled%20ICO%20%5B04.25.18%5D.pdf

  11. トークンの仕様(ERC20の例) 基本的にはOpenZeppelin Solidityを 使っていれば問題なし。 標準以外の機能を追加するとき ütransfer、transferFromでboolを返す üトークンのdistribution、airdropはトークン⾃体のコントラクトと分ける 10

  12. ⾔語の標準的な慣習(Solidityの例) üOpenZeppelin Solidityを使う üコンパイラのバージョンを最新にする üuint, uint256などの表記ゆれを無くす üLinter(solium, solhint)を使う 11 ⼀番重要

  13. アーキテクチャ 12 ü よく知られているパ ターンを使う ü 図があると良い Facadeパターンの例 https://github.com/cryptocrystalio/crypto crystal-

    bounty/blob/118cd744ffc2d8ff0682ef0638 43c4704133fab5/basic.md

  14. アーキテクチャの良い例 0x protocol 2.0.0 specification (ERC20 Exchange) 13 https://github.com/ConsenSys/0x_audit_report_2018-07-23 https://github.com/0xProject/0x-protocol-

    specification/blob/189eaf696b35e021860bd9a4f147ed0eed148441/v2/v2-specification.md

  15. 14 今後の展望と課題

  16. auditの⾃動化(サービス) Quantstampの例 https://quantstamp.com/public-reports reentrancyのチェックや、assertがfailする条件などを⾃動で確 かめることが出来る 15

  17. auditの⾃動化(ツール) mythril https://github.com/ConsenSys/mythril 16 ※厳密にはconcolic 参考: https://github.com/b-mueller/laser-ethereum üシンボリック実⾏(※)をするツール üバックエンドはlaser-ethereumというシンボリック実⾏⽤の VMを利⽤

  18. まとめ ü⽬的・全体像・仕様はWPなどで⽂書・図にまとめる üOpenzeppelin Solidity使う üコード・関連スクリプト・テストなどを全て含める üセキュリティ・実装はベストプラクティスに従う 17