CSA DApp安全指南

m o c . 5 h t i g b u 1 m o c . 5 b u h t i g @2020 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改； (c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 2 致谢云安全联盟大中华区（简称：CSA GCR）区块链安全工作组在 2020 年 2 月份成立。由黄连金担任工作组组长，9 位领军人分别担任 9 个项目小组组长，分别有：知道创宇创始人&CEO 赵伟领衔数字钱包安全小组，北大信息科学技术学院区块链研究中心主任陈钟领衔共识算法安全小组，赛博英杰创始人&董事长谭晓生领衔交易所安全小组，安比实验室创始人郭宇领衔智能合约安全小组，世界银行首席信息安全架构师张志军领衔 Dapp 安全小组，元界 DNA 创始人兼 CEO 初夏虎领衔去中心化数字身份安全小组，北理工教授祝烈煌领衔网络层安全小组，武汉大学教授陈晶领衔数据层安全小组，零时科技 m o c . 5 CEO 邓永凯领衔 AML 技术与安全小组。区块链安全工作组现有 100 多位安全专家们，分别来自中国电子学会、耶鲁大学、北京大学、北京理工大学、世界银行、中国金融认证中心、华为、腾讯、知道创宇、慢雾科技、启明星辰、天融信、联想、OPPO、零时科技、普华永道、安永、阿斯利康等六 b u 十多家单位。 h t i g 本白皮书主要由 DApp 安全小组专家撰写，并由 DApp 安全小组及区块链数据安全和数字钱包工作组的专家共同审核，感谢以下专家的贡献：本白皮书贡献者名单：陈晶，黄连金，李岩，马红杰，王登辉，姚昌林，张志军，周庆松（按照字母排序）贡献单位：知道创宇，武汉大学关于研究工作组的更多介绍，请在 CSA 大中华区官网（https://c-csa.cn/research/）上查看。如本白皮书有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱： info@c-csa.cn; 云安全联盟 CSA 公众号： 3 序言去中心化应用（即 Decentralized Application，以下简称 DApp）作为区块链的重要实现载体。DApp 继承了传统应用的优势，结合区块链的特点，极大地扩展了区块链的应用场景与现实意义。DApp 可以被广泛地应用于金融(DeFi)、游戏、保险、物联网、共享经济、人工智能等多个领域。但同时也面临着严重的安全风险，例如：2019 年 EOS DApp 安全成为重灾之地，截止 2019 年 5 月被盗 EOS 达到 93 万。相比于普通应用程序而言，DApp 的安全性不仅影 m o c . 5 响参与多方的公平性，还影响 DApp 所管理的庞大数字资产的安全性。因此对 DApp 的安全性及相关安全漏洞开展研究显得尤为重要。 CSA GCR 对于 DApp 的安全进行系统化研究，从不同的角度去分析 DApp 的安全。根据 2020 年初统计，DApps 应用中最受欢迎的是 DeFi，本文针对 DeFi 的安全应用场景 b u 进行了重点分析。 h t i g 李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2020 云安全联盟大中华区-版权所有 4 目录致谢............................................................................................................................................ 3 序言............................................................................................................................................ 4 1. DApp 与安全概述................................................................................................................. 6 1.1 DApp 概述..................................................................................................................... 6 1.2 DApp 安全简介............................................................................................................. 7 1.3 DApp 安全攻防............................................................................................................. 8 2. DeFi 的安全......................................................................................................................... 8 2.1 DeFi 概述..................................................................................................................... 8 m o c . 5 2.2 DeFi 的功能特性......................................................................................................... 9 2.3 DeFi 的生态堆载....................................................................................................... 11 2.4 DeFi 项目的安全概述............................................................................................... 12 2.5 DeFi 的智能合约安全案例分析............................................................................... 14 b u 2.6 DeFi 通证经济设计方面的安全案例分析............................................................... 26 2.7 DeFi 监管安全的案例分析....................................................................................... 32 h t i g 3. DApp 安全测试建议与工具............................................................................................... 34 3.1 安全架构分析............................................................................................................ 34 3.2 静态代码扫描............................................................................................................ 35 3.3 动态应用扫描............................................................................................................. 36 3.4 手工渗透测试............................................................................................................. 37 3.5 生产环境中的测试与追踪......................................................................................... 37 3.6 针对智能合约的安全测试工具................................................................................ 38 4. DApp 安全最佳实践与案例............................................................................................... 39 4.1 DApp 的基本架构....................................................................................................... 39 4.2 安全开发与测试的要点............................................................................................. 40 4.3 DApp 开发采用 DevSecOps 流程.....................