25%的智能合约存在严重漏洞?

 Gate   2018-08-31 11:16   155 人阅读  0 条评论

智能合约每解决一个问题,就会产生一个新的问题。这周EOS因为各种原因出现了一个RAM漏洞成为社区的新闻,一位代码审查员透露,智能合约普遍存在漏洞。已经与社区经理Amazix合作的安全公司Hosho,该公司发现有四分之一的智能合约包含有严重漏洞。

漏洞

10亿融资也无法避免存在漏洞

Hosho对融资达到10亿美元的智能合约项目进行了审查。该公司称审查的项目数量超过所有的行业从业者。尽管这些项目拥有大量的人力和金融资源,但如果他们没有仔细审查代码,项目也会难以向前发展。Hosho调查的项目里大约有25%存在严重漏洞,60%至少有一个安全问题。

漏洞

以太坊,ICO经济里创建智能合约不得不提的平台,一直深受漏洞代码的影响,这些漏洞造成了数亿美元的以太坊被盗或者锁定。虽然像Stratis这样的智能合约平台推进部署调试套件和C#反编译程序的进程,但是以太坊的图灵完备系统出错的机会更大。识别和消除所有的潜在的漏洞是一件永远也不可能完成的任务,即使是对于经验丰富的Solidity开发者也难以做到。通过专业的第三方审查智能合约,虽然不能万无一失,但是这是防止出现错误代码最好的方法。

智能合约测试服务

虽然在代币销售之前进行审查智能合约是行业惯例,但是对于还没有筹到任何资金的项目来说,他们会更倾向于走捷径,跳过这项任务。但是,这么做可能会致命,严重的漏洞可能会导致钱包被盗,或者缓冲区溢出漏洞可能会被操纵,更改账户金额。有几个以太坊链上的项目在他们把智能合约搞砸之后不得不进行代币原子互换。

这周EOS被检测到存在RAM漏洞,程序员不得不把所有精力都放在修补RAM漏洞上。恶意的矿工可以利用该漏洞在他们的账户上植入代码,嵌入一行另外一个账户的名字,把代币发送给他们自己。他们可以在dapps/user发送他们代币的时候,通过嵌入大量垃圾信息到row锁定RAM。

Amzix,代币经济里非常优秀的社区管理和咨询公司,已经与Hosho达成合作,为客户提供代币审计服务。“由于缺乏行业标准,我们认为智能合约升级和渗透测试是区块链系统安全的重要组成部分。” Amazix的首席运营官Kenneth Berthelsen说道,“在这方面,没人能比Hosho工程师们做得更好。”

加密货币支持者们发现,智能合约最终会渗透到方方面面,从发行到纠纷解决方案。在出现问题发生之前,在代码上建立信任指导他们变得至关重要。


本文地址:http://www.hxt66.com/gate/104.html
版权声明:本文为原创文章,版权归 Gate 所有,欢迎分享本文,转载请保留出处!

 发表评论


表情

还没有留言,还不快点抢沙发?