首页 > 区块链

安全公司:智能合约不是完美合约,四分之一存在关键性漏洞

区块链 编译:Libert · 巴比特资讯 2018-08-31

关键词:智能合约EOS漏洞ICO项目以太坊比特币

安全公司与社区管理公司最新合作发现,每四个智能合约项目中就有一个存在严重的漏洞。
智能合约能解决诸多问题,但它们本身却似乎问题缠身。EOS中存在的RAM致命漏洞和原因一度成为币圈头条,一周后,一家代码审核公司揭示了智能合约中普通存在漏洞的现象。安全公司Hosho与社区管理公司Amazix的最新合作发现,每四个智能合约项目中就有一个存在严重的漏洞。

10亿美元并不能保证不出现漏洞

10亿美元——这是Hosho审计过的智能合约项目所筹集的资金数额。这家安全公司声称,它审计的智能合约比审计过的其他行业公司都要多。尽管这些项目有大量的人力和财力资源可供使用,但如果他们忽视对其代码进行彻底审查,他们中的许多项目将会陷入瘫痪。Hosho审计过的项目中,有四分之一被发现存在严重的漏洞,大约60%的项目至少存在一个安全问题。

ICO项目的启动平台以太坊受到的影响最为严重,其中存在的大量可利用代码导致数亿美元的以太币被窃取或锁定。虽然像Stratis这样的智能合约平台正在推动使用C#来调试部署套件和专业反编译器的可用性,但是以太坊的图灵完备(Turing-complete)系统为漏洞留下了更大的余地。识别和消除所有潜在的安全漏洞是一项永无休止的的任务,即使是经验丰富的可靠开发人员也很难做到这一点。获得专门从事智能合约审计的第三方的支持,虽然不能确保万无一失,但却是避免发布漏洞丛生代码的最好办法。

智能合约测试服务

虽然行业惯例是在代币发售前对智能合约进行审计,但尚未筹集资金的项目可能会尝试走捷径,在这一程序上节省开支。然而,这样的做法可能是致命的,因为最恶性的漏洞会导致钱包被洗劫一空,而通过操纵缓冲区溢出漏洞可以更改帐户余额。数个基于以太坊的项目在执行第一次智能合约时就搞砸了,然后被迫进行代币替换。

在EOS方面,本周所有的精力都集中在修复最近发现的RAM漏洞上。这个漏洞允许恶意用户“在他们的帐户上设置代码,这样他们就可以以另一个账户的名义插入执行向他们发送代币的代码行。”当DAPP/用户向它们发送代币时,他们可以在行中插入大量无用数据,从而锁定RAM。

Amazix是加密货币经济领域内一家卓越的社区管理和咨询公司,现已与Hosho合作,为客户提供智能合约审计服务。Amazix首席营销官肯尼思?贝尔森(KennethBerthelsen)说道:

“在缺乏行业标准的情况下,我们认为智能合约审计和渗透测试是确保区块链系统良好安全性的重要组成部分。在我们看来,没有谁比Hosho的工程师更有资格做这件事的了。”

加密货币的拥趸者们认为,智能合约最终会渗透到从保险到纠纷解决等服务的方方面面中来。在此之前,在治理智能合约的代码上建立信任至关重要。


零壹智库推出“金融毛细血管系列策划”,通过系列文章、系列视频、系列报告、系列研讨会和专著,系统呈现“金融毛细血管”的新状态、新功能、新价值、新定位。
 

上一篇>区块链开发应集中在第一层or第二层?

下一篇>CBOE计划在今年内推出ETH期货,目前在等CFTC亮绿灯


相关文章


用户评论

游客

自律公约

所有评论

主编精选

more

专题推荐

more

第四届中国零售金融发展峰会(共15篇)


资讯排行

  • 48h
  • 7天



耗时 152ms