前言：

在9月底Paradigm官宣完成了区块链安全项目Blowfish的领投又一次引起了大家对智能合约安全分析领域的广泛关注。但其实Paradigm团队在此之前就已经在智能合约安全测试方向做了很多实践，在今年3月Paradigm CTO Georgios公布了他们开发的Foundry智能合约测试套件（Runtime Verification团队也是重要的贡献者），如今区块链安全分析也在朝着更细致的分工方向发展。

从最近几个月融资趋势和市场反应来看，一级市场资本目前对注重安全信息时效性、风险覆盖度、技术偏轻量级的安全监测、防火墙领域有浓厚的兴趣（这和以往大部分资本投入在审计领域大有不同）。

根据CertiK和SlowMist的相关报告，仅2022年第一季度和第二季度因安全攻击问题crypto资产损失就高达20亿美元。在第二季度单闪电贷攻击就导致了总计3亿美元的资产损失。而本月更是成为了有史以来黑客活动最大的一个月，两周内仅针对DeFi协议的攻击已超过12次，被盗金额超7亿美元。

来源: https://twitter.com/chainalysis/status/1580312145451180032?s=20&t=QfqOMqMKjHd3EtX_0O-QjA

如果我们把链上智能合约从开发>>部署至区块链网络>>运行看成是一个完整生命周期的话，针对智能合约的安全分析分为：针对合约部署前（在区块链网络正式上线运行前）的分析、合约部署后的分析，这大致涵盖了：测试、审计、监测三大类目，每个类目下面又有各种类型的分析方式和相应的工具（如下图）。PS：智能合约的审计覆盖面会从合约部署前到部署后（合约升级审计）

1. 智能合约部署前的安全分析：测试+审计

1.1 测试（Testing）

合约测试是开发者和审计者需要花费最多精力的工作，这与传统开发者不同。因为区块链不可篡改的特性，一旦智能合约部署到EVM虚拟机上就难以变更，因此安全分析、弥补安全漏洞的工作大部分花费在“事前分析”——对智能合约部署前的安全测试。