Upgrade to Pro — share decks privately, control downloads, hide ads and more …

スマートコントラクトの監査について

Avatar for yudetamago yudetamago
September 25, 2018
Technology
2
590

 スマートコントラクトの監査について

Avatar for yudetamago

yudetamago

September 25, 2018
Tweet

More Decks by yudetamago

See All by yudetamago
ブロックチェーンとIndexer
Avatar for yudetamago yudetamago
0
890
Unityでブロックチェーンアプリを作る
Avatar for yudetamago yudetamago
0
1.7k
DApps開発特有の_ハマりポイントご紹介.pdf
Avatar for yudetamago yudetamago
1
1.4k
DApps開発事例 ~CryptoCrystal概要編~
Avatar for yudetamago yudetamago
3
300
Gasを誰が払うのか問題について
Avatar for yudetamago yudetamago
5
4.4k
Solidityの複数コントラク ト連携を色々試してる話
Avatar for yudetamago yudetamago
1
2.2k
Dapps開発におけるSoliidityのはまりどころ
Avatar for yudetamago yudetamago
3
2.2k

Other Decks in Technology

See All in Technology
Опыт использования Nessie в Азбуке Вкуса
Avatar for Elena Meremyanina emeremyanina1234
0
280
株式会社Awarefy(アウェアファイ)会社説明資料 / Awarefy-Company-Deck
Avatar for Awarefy awarefy
3
17k
TanStack Start 技術選定の裏側 / Findy-Lunch-LT-TanStack-Start
Avatar for Takahiro Ikeuchi iktakahiro
1
170
ITベンダーから見る内製化支援の本質/in-house-dev
Avatar for Serverless Operations slsops
1
170
newmo の創業を支える Software Architecture と Platform Engineering
Avatar for Yuki Ito 110y
5
580
Google Cloud Next 2025 Recap 生成AIモデルとマーケティングでのコンテンツ生成 / Generative AI models and content creation in marketing
Avatar for Kyohei Saito kyou3
0
380
地に足の付いた現実的な技術選定から魔力のある体験を得る『AIレシート読み取り機能』のケーススタディ / From Grounded Tech Choices to Magical UX: A Case Study of AI Receipt Scanning
Avatar for moznion moznion
5
1.9k
20250514 1Passwordを使い倒す道場 vol.1
Avatar for Takumi Abe east_takumi
0
160
10年もののアプリケーションを運用・開発するアプリケーションエンジニアのDatadog活用術
Avatar for miyamu miyamu
0
110
ユーザーコミュニティが海外スタートアップのDevRelを補完する瞬間
Avatar for M Yano nagauta
1
200
MCP でモノが動くとおもしろい/It is interesting when things move with MCP
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
3
620
LLMの開発と社会実装の今と未来 / AI Builders' Community (ABC) vol.2
Avatar for Preferred Networks pfn
PRO
2
220

Featured

See All Featured
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
5
580
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
23
1.6k
Building Applications with DynamoDB
Avatar for Matt Wood mza
94
6.4k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
159
23k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
53
11k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
11k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
223
9.6k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.2k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.8k
Faster Mobile Websites
Avatar for Dean Hume deanohume
307
31k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
268
20k

Transcript

  1. スマートコントラクトの 監査について ゆで卵(@takayukib) 2018/9/25 blockchain.tokyo #12

  2. ⾃⼰紹介的なやつ 名前:ゆで卵(@takayukib) 所属:フリーランス、トークンポケット株式会社 その他 • CryptoCrystalというDappsを作っています • 株式会社LayerXでもお仕事してます 1

  3. 監査は何故必要か üスマートコントラクトはデプロイすると基 本的にはアップデート出来ない ü通貨・トークンを扱うためミッションクリ ティカルである 2

  4. 今⽇のテーマ スマートコントラクトの開発者・監査者 どちらもが幸せになれるように 良いコードを書きましょう! 3

  5. 4 監査対象になるもの(⼀例) スコープ ü セキュリティ ü トークンの仕様 ü トラストレス性 ü

    アーキテクチャ ü ⾔語の慣習 ü WPとの整合性 内容 ü コード本体 ü デプロイ⽤スクリプト ü ホワイトペーパー(WP) ü (テストコード) 参考: https://www.smartcontractsecurityalliance.com/

  6. 監査内容の各例 5

  7. セキュリティ(よくある例) üオーバーフロー 基本的に計算部分は全てSafeMath等のライブラリを使うことを推奨 üfor loopのindexの上限 forループの上限値が無いとblock gas limitをオーバーするリスクがある üアクセス制御の付け忘れ onlyOwnerや、特定のコントラクトからのみ呼ばれるなど

    6

  8. アクセス制御の例(Proxy Pattern) 7 Main Contract Proxy Contract Deployer Another User

    onlyOwner onlyProxy Contract これを付ける 参考: https://blog.zeppelinos.org/proxy-patterns/

  9. unbounded loopの例 function addTokenGrant(address _grantee, uint256 _value) external onlyOwner {

    … for (uint i = 0; i < tokenGrantees.length; i++). { require(tokenGrantees[i] != _grantee); } 8 block gas limitを超えないように 常にループ回数の上限は確認する https://blog.zeppelin.solutions/kin-token-audit-121788c06fe これ

  10. トラストレス性 極⼒onlyOwner等のトラストレス性を無くすものは付けないよう にする。 例外と思われるもの üProxy Patternでのコントラクトアップデート(ownerが必要) üCloudSaleのロックアップ期間の設定(法律改正によって変わる可能性があるなど) 9 参考: SolidifiedによるCycled

    ICOに対するトラストレス性の指摘 https://github.com/solidified- platform/audits/blob/22cda93a7897b4e2f2b0f3689b170eea918fc85d/Audit%20Report%20- %20Cycled%20ICO%20%5B04.25.18%5D.pdf

  11. トークンの仕様(ERC20の例) 基本的にはOpenZeppelin Solidityを 使っていれば問題なし。 標準以外の機能を追加するとき ütransfer、transferFromでboolを返す üトークンのdistribution、airdropはトークン⾃体のコントラクトと分ける 10

  12. ⾔語の標準的な慣習(Solidityの例) üOpenZeppelin Solidityを使う üコンパイラのバージョンを最新にする üuint, uint256などの表記ゆれを無くす üLinter(solium, solhint)を使う 11 ⼀番重要

  13. アーキテクチャ 12 ü よく知られているパ ターンを使う ü 図があると良い Facadeパターンの例 https://github.com/cryptocrystalio/crypto crystal-

    bounty/blob/118cd744ffc2d8ff0682ef0638 43c4704133fab5/basic.md

  14. アーキテクチャの良い例 0x protocol 2.0.0 specification (ERC20 Exchange) 13 https://github.com/ConsenSys/0x_audit_report_2018-07-23 https://github.com/0xProject/0x-protocol-

    specification/blob/189eaf696b35e021860bd9a4f147ed0eed148441/v2/v2-specification.md

  15. 14 今後の展望と課題

  16. auditの⾃動化(サービス) Quantstampの例 https://quantstamp.com/public-reports reentrancyのチェックや、assertがfailする条件などを⾃動で確 かめることが出来る 15

  17. auditの⾃動化(ツール) mythril https://github.com/ConsenSys/mythril 16 ※厳密にはconcolic 参考: https://github.com/b-mueller/laser-ethereum üシンボリック実⾏(※)をするツール üバックエンドはlaser-ethereumというシンボリック実⾏⽤の VMを利⽤

  18. まとめ ü⽬的・全体像・仕様はWPなどで⽂書・図にまとめる üOpenzeppelin Solidity使う üコード・関連スクリプト・テストなどを全て含める üセキュリティ・実装はベストプラクティスに従う 17