简介

PeckShield 对可交易的 Token 进行全面安全审计,根据审计发现的漏洞的严重性和被攻击的可能性,依据 PeckShield 安全评级模型计算后得出了 Token 的安全评级。建议投资者和交易所对 Token 的安全评级予以关注,特别是评级低于 B 的 Token,这些 Token 存在一定的安全风险,一旦被攻击,可能给投资者和交易所带来严重的经济损失。

公告

部分 Token 的项目方已经和我们取得联系,确认并修复了一批漏洞。根据漏洞修复的情况,我们对评级进行如下调整:

  1. • 8月20日,确认 SWFTC 的最新版本已将特权地址设置为 0 修复了高危漏洞,因此评级从 F 调升至 B ;
  2. • 8月20日,确认 INT 最新版本已将特权地址设置为 0 修复了高危漏洞,因此评级从 F 调升至 B 。

PeckShield 安全评级模型

根据 Token 检测出的漏洞情况,按照如下规则进行评级和评定:

  1. • 存在致命或高危漏洞的 Token 会被评为 F,这类 Token 极易遭受攻击,可能给投资人和交易所带来巨大的损失;
  2. • 存在中危和低危漏洞的 Token ,根据漏洞的类型和数量,他们的评级会在 A- 到 D 之间,细则如下:
    • · 满分 10 分,10 分为 A,6 分以下为 F,中间细分为 A-、B、B-、C、C-、D、D- 七个等级;
    • · 每个中危漏洞 -1 分,但不同的中危漏洞至多 -3 分;
    • · 只要检测出低危漏洞,统一 -0.5 分。
  3. • 如果 Token 的智能合约代码没有开源(Verified),Token 的评级会被下调一档;
  4. • 评级为 B 级以下的 Token 存在一定的安全风险。

漏洞评级方法

为了使漏洞评级方法标准化,根据 OWASP 风险评级方法定义以下术语:


可能性和影响分为三个等级:分别为高,中和低。严重程度由可能性及影响共同决定,严重程度分为四类,即下表中显示的致命、高危、中危、低危。