资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
BitsLab AI审计代理对Story Protocol智能合约层进行全面安全审计
近期,BitsLab旗下AI驱动的审计代理对Story Protocol智能合约层进行了深度安全审计,成功发现1个中危漏洞和1个低危漏洞。
关于Story Protocol
Story Protocol是一个点对点知识产权网络,为知识与创意构建可编程市场。科学与创意资产通过可自定义的使用参数登记在通用账本上。
BitsLab AI审计代理架构
BitsLab的AI审计代理是基于先进系统架构与智能体技术的多语言通用审计框架。该代理采用三阶段工作流——计划制定、推理扫描、验证确认,通过多项关键创新实现高精度高效率的漏洞检测:
任务数据库与规划引擎:系统将审计过程分解为数据库管理的可恢复任务。任务驱动型规划引擎自动将项目解析为多粒度扫描单元(如函数级、业务流级),并运用大模型智能提取业务逻辑以实现深度上下文理解。
多模型投票合成:框架集成多个前沿大模型(包括OpenAI、Claude和DeepSeek),按任务类型智能路由。在检查清单生成阶段,多个模型并行生成候选列表,通过共识型提示合成输出统一版本,有效降低模型幻觉与偏差。
深度RAG与调用树集成:除构建代码级向量数据库(LanceDB)实现语义检索(RAG)外,验证阶段还将其与预计算的合约调用树融合。当AI需要补充上下文时,系统自动检索相似代码并在调用层级聚合上下文信息,形成"可解释性增强上下文"辅助决策。
强确认与早停策略:验证流程采用多轮确认逻辑,包含"强确认"规则(如单轮获得多个'是'投票时提前收敛)和"'明确否定'提前终止"机制,在保持精度的同时降低审计成本并加速完成。
高度可配置控制:包括模型选择、并发级别、扫描模式、在线/离线行为在内的数十项系统参数均可通过环境变量完全配置,灵活适应各类审计环境与成本限制。
Story Protocol漏洞详情
经BitsLab AI审计框架深度扫描与多轮验证,在Story Protocol合约层发现两处逻辑漏洞:
[中危] _exists函数逻辑错误
描述:PILicenseTemplate.sol合约中的_exists(uint256 licenseTermsId)函数在licenseTermsId为0时错误返回true,尽管0属于无效许可证ID。该ID是用户附加许可条款和铸造许可代币时的关键凭证。
技术细节:合约中ID从1开始注册(通过++$.licenseTermsCounter实现),但_exists函数使用licenseTermsId <= _getPILicenseTemplateStorage().licenseTermsCounter条件校验有效性。在未注册任何ID时licenseTermsCounter为0,调用_exists(0)将满足条件(0 <= 0)并错误返回true。
影响:虽不会直接造成用户资金损失,但可能影响依赖此函数验证的外部集成。这种微妙的边界条件混淆可能为未来功能开发"埋下隐患",存在潜在财务风险。
[低危] registerLicenseTerms与getLicenseTermsId哈希不一致
描述:PILicenseTemplate合约在注册许可条款和检索ID时采用不同的哈希计算方法。
技术细节:注册许可条款时,用户可附加包含详细许可信息的网页uri字段。registerLicenseTerms函数中,系统先使用LibString.escapeJSON对PILTerms结构体的uri字段转义再计算哈希值;而getLicenseTermsId函数直接哈希未转义的结构体。
影响:若uri包含需转义字符(如"),调用getLicenseTermsId将无法定位已注册ID(返回0)。或导致不同uri的许可条款哈希为相同ID,造成用户误重复注册相同条款,引发应用中的数据冗余或逻辑混乱。
AI审计代理检测方法
这两个漏洞——中危逻辑缺陷与低危哈希不一致——是传统工具难识别、人工审计易忽略的典型上下文问题。
超越单函数的业务流分析:BitsLab AI的规划引擎自动提取"注册-检索"等完整业务流,在扫描阶段对比关联函数实现,发现一处应用escapeJSON而另一处未应用的逻辑失配。
精准边界与状态验证:中危_exists漏洞是经典边界条件错误。规划阶段AI解析_exists逻辑,关联状态变量licenseTermsCounter(初始化值为0),理解ID生成规则++$.licenseTermsCounter(ID从1开始)。通过检查清单驱动扫描,系统化测试ID=0边缘案例,结合上下文推理快速识别(0 <= 0)为错误真值返回。
AI赋能Web3安全
本次审计再次证明BitsLab AI审计代理发现复杂业务逻辑漏洞的能力。通过融合多模型共识、RAG增强上下文、调用树分析与自动化验证流程,该工具能高效精准检测传统方法易疏漏的深层安全隐患。BitsLab将持续运用前沿AI技术,以精准、快速、透明的方式守护Web3生态。
