安全公司:智慧合約不是完美合約,四分之一存在關鍵性漏洞
Libert / 何渝婷編譯
2018-08-31 10:00

(示意圖/取自pixabay)

 

智慧合約能解決諸多問題,但它們本身卻似乎問題纏身。EOS中存在的RAM致命漏洞和原因一度成為幣圈頭條,一周後,一家程式審核公司揭示了智慧合約中普通存在漏洞的現象。安全公司Hosho與社區管理公司Amazix的最新合作發現,每四個智慧合約項目中就有一個存在嚴重的漏洞。

 

10億美元並不能保證不出現漏洞

 

10億美元——這是Hosho審計過的智慧合約項目所籌集的資金數額。這家安全公司聲稱,它審計的智慧合約比審計過的其他行業公司都要多。儘管這些項目有大量的人力和財力資源可供使用,但如果他們忽視對其代碼進行徹底審查,他們中的許多項目將會陷入癱瘓。Hosho審計過的項目中,有四分之一被發現存在嚴重的漏洞,大約60%的項目至少存在一個安全問題。

 

ICO項目的啓動平台以太坊受到的影響最為嚴重,其中存在的大量可利用代碼導致數億美元的以太幣被竊取或鎖定。雖然像Stratis這樣的智慧合約平台正在推動使用C#來調適部署套件和專業反編譯器的可用性,但是以太坊的圖靈完備(Turing-complete)系統為漏洞留下了更大的餘地。識別和消除所有潛在的安全漏洞是一項永無休止的任務,即使是經驗豐富的可靠開發人員也很難做到這一點。獲得專門從事智慧合約審計的第三方的支持,雖然不能確保萬無一失,但卻是避免發佈漏洞叢生代碼的最好辦法。

 

智慧合約測試服務

 

雖然行業慣例是在代幣發售前對智慧合約進行審計,但尚未籌集資金的項目可能會嘗試走捷徑,在這一程序上節省開支。然而,這樣的做法可能是致命的,因為最惡性的漏洞會導致錢包被洗劫一空,而通過操縱緩衝區溢出漏洞可以更改帳戶餘額。數個基於以太坊的項目在執行第一次智慧合約時就搞砸了,然後被迫進行代幣替換。

 

在EOS方面,本週所有的精力都集中在修復最近發現的RAM漏洞上。這個漏洞允許惡意用戶「在他們的帳戶上設置程式,這樣他們就可以以另一個帳戶的名義插入執行向他們發送代幣的程式行。」當DAPP/用戶向它們發送代幣時,他們可以在行中插入大量無用數據,從而鎖定RAM。

 

Amazix是加密貨幣經濟領域內一家卓越的社區管理和諮詢公司,現已與Hosho合作,為客戶提供智慧合約審計服務。Amazix首席營銷官肯尼思·貝爾森(Kenneth Berthelsen)說道:「在缺乏行業標準的情況下,我們認為智慧合約審計和滲透測試是確保區塊鏈系統良好安全性的重要組成部分。在我們看來,沒有誰比Hosho的工程師更有資格做這件事的了。」

 

加密貨幣的簇擁者們認為,智慧合約最終會滲透到從保險到糾紛解決等服務的方方面面中來。在此之前,在治理智慧合約的代碼上建立信任至關重要。

 

本文為巴比特資訊授權刊登,原文標題為「安全公司:智慧合約不是完美合約,四分之一存在關鍵性漏洞