JAC安全审计报告.PDF

[文档编号：BTFM-DMSJ JAC 高危 智能合约审计报告 版本说明 修订人 修订内容 修订时间 版本号 审阅人 于超 编写文档 2018/7/ 12 V1.0 于超 文档信息 文档名称 文档版本号 文档编号 保密级别 JAC 智能合约审计报告 V1.0 【JAC-DMSJ 项目组公开 版权声明 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容， 除另有特别注明，版权均属北京知道创宇信息技术有限公司所有，受到有关产权 及版权法保护。任何个人、机构未经北京知道创宇信息技术有限公司的书面授权 许可，不得以任何方式复制或引用本文件的任何片断。 II 智能合约审计报告 目录 1. 综述 - 1 - 2. 代码漏洞分析 - 2 - 2.1. 漏洞等级分布 - 2 - 2.2. 审计结果汇总 - 3 - 3. 代码审计结果分析 - 4 - 3.1. 重入攻击检测【通过】 - 4 - 3.2. 数值溢出检测 【通过】 - 4 - 3.3. 访问控制检测 【通过】 - 5 - 3.4. 返回值调用验证 【通过】 - 5 - 3.5. 错误使用随机数【通过】 - 6 - 3.6. 事务顺序依赖【通过】 - 6 - 3.7. 拒绝服务攻击【通过】 - 6 - 3.8. 逻辑设计缺陷【通过】 - 7 - 3.9. 假充值漏洞【通过】 - 7 - 4. 附录A ：合约代码 - 8 - 5. 附录B：漏洞风险评级标准 - 16 - 6. 附录C：漏洞测试工具简介 - 18 - 6.1. Manticore - 18 - 6.2. Oyente - 18 - 6.3. securify.sh - 18 - 6.4. Echidna - 18 - 6.5. MAIAN - 19 - 6.6. ethersplay - 19 - 6.7. ida-evm - 19 - 6.8. Remix-ide - 19 - 6.9. 知道创宇渗透测试人员专用工具包 - 19 - III 智能合约审计报告 1. 综述 本次报告有效测试时间是从2018 年7 月10 日开始到2018 年7 月11 日结 束，在此期间针对JAC 智能合约代码的安全性和规范性进行审计并以此作为报 告统计依据。 此次测试中，知道创宇工程师对智能合约的常见漏洞（见第三章节）进行了 全面的分析，未现JAC 合约代码存在漏洞 ，故综合评定为安全。 本次智能合约安全审计结果： 通过 由于本次测试过程在非生产环境下进行，所有代码均为最新备份，测试过程 均与相关接口人进行沟通，并在操作风险可控的情况下进行相关测试操作，以规 避测试过程中的生产运营风险、代码安全风险。 本次测试的目标信息： 模块名称 JAC Tok