以太坊智能合约审计CheckList1

作者：知道创宇404区块链安全研究团队

时间：2018.11.12

在以太坊合约审计checkList中，我将以太坊合约审计中遇到的问题分为5大种，包括编码规范问题、设计缺陷问题、编码安全问题、

编码设计问题、编码问题隐患。其中涵盖了超过29种会出现以太坊智能合约审计过程中遇到的问题。帮助智能合约的开发者和安全

工作者快速入门智能合约安全。

本CheckList在完成过程中参考并整理兼容了各大区块链安全研究团队的研究成果，CheckList中如有不完善/错误的地方也欢迎大家提

issue.

(2)构造函数书写问题

(3)返回标准

(4)事件标准

(5)假充值问题

2、设计缺陷问题

(1)approve授权函数条件竞争

(2)循环Dos问题

[1]循环消耗问题

真实世界事件

[2]循环安全问题

(2)重入漏洞

真实世界事件

(3)call注入

真实世界事件

(4)权限控制

真实世界事件

(5)重放攻击

4、编码设计问题

(1)地址初始化问题

(2)判断函数问题

(8)变量覆盖问题

5、编码问题隐患

(1)语法特性问题

(2)数据私密问题

(3)数据可靠性

(4)gas消耗优化

(5)合约用户

(6)日志记录

(7)回调函数

(8)Owner权限问题

以太坊合约审计checkList审计系列报告

REF

合约代码中，应指定编译器版本。建议使用最新的编译器版本

pragmasolidity^0.4.25;

老版本的编译器可能会导致各种已知的安全问题，例如hps://paper.seebug.org/631/#44‐dividenddistributor

v0.4.23更新了一个编译器漏洞，在这个版本中如果同时使用了两种构造函数，即

contracta{

functiona()public{

会忽略其中的一个构造函数，该问题只影响v0.4.22

v0.4.25修复了下面提到的未初始化存储指针问题。

hps://etherscan.io/solcbuginfo

对应不同编译器版本应使用正确的构造函数，否则可能导致合约所有者变更

在小于0.4.22版本的solidify编译器语法要求中，合约构造函数必须和合约名字相等，名字受到大小写影响。如：

contractOwned{

functionOwned()public{

}

遵循ERC20规范，要求transfer、approve函数应返回bool值，需要添加返回值代码

functiontransfer(address_to,uint256_value)publicreturns(boolsuccess)

而transferFrom返回结果应该和transfer返回结果一致。

遵循ERC20规范，要求transfer、approve函数触发相应的事件

functionapprove(address_spender,uint256_value)publicreturns(boolsuccess){

allowance[msg.sender][_spender]=_value;

emitApproval(msg.sender,_spender,_value)

returntrue