区块链经济的定时炸弹:大量智能合约存在安全漏洞

伴随以太坊兴起的智能合约被看作是区块链2.0的标志性技术,智能合约将区块链变成分布式操作系统,而智能合约则是可以运行在这个系统中的程序,可以接受或者发送代币。近来随着token标准升级到ERC20,越来越复杂的智能合约应用被开发出来。如今每天有上百万个智能合约在以太坊上运行,并且数量还在不断增长。

高速增长的同时,智能合约正面临越来越严峻的,独特的安全挑战,大致有以下几点:

1.与传统软件不同,智能合约一旦部署将无法升级或者打补丁!

2.智能合约在一个全新的开发语言(Solidity)和运行时系统环境(以太坊虚拟机)中写成,测试难度相对较大,尤其是智能合约的runtime允许智能合约与其他智能合约或链外服务互动,智能合约可以被大量用户交易反复调用。

3.区块链上的代币通常价值不菲,攻击者受到巨大的利益诱惑会不遗余力地搜寻并利用智能合约中的漏洞获利。DAO智能合约漏洞导致整个以太坊社区损失了6000万美元,最近又发生了好几起类似规模的攻击。例如:

在本报告中,我们将披露数量众多、特征鲜明的几类存在安全漏洞的智能合约,在我们的研究测试首次使用了MAIAN工具来分析超过97万个以太坊智能合约的bytecode。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者