智慧合約每解決一個問題,就會產生一個新的問題。這周EOS因為各種原因出現了一個RAM漏洞成為社羣的新聞,一位程式碼審查員透露,智慧合約普遍存在漏洞。已經與社羣經理Amazix合作的安全公司Hosho,該公司發現有四分之一的智慧合約包含有嚴重漏洞。
Hosho對融資達到10億美元的智慧合約專案進行了審查。該公司稱審查的專案數量超過所有的行業從業者。儘管這些專案擁有大量的人力和金融資源,但如果他們沒有仔細審查程式碼,專案也會難以向前發展。Hosho調查的專案裡大約有25%存在嚴重漏洞,60%至少有一個安全問題。
以太坊,ICO經濟裡建立智慧合約不得不提的平臺,一直深受漏洞程式碼的影響,這些漏洞造成了數億美元的以太坊被盜或者鎖定。雖然像Stratis這樣的智慧合約平臺推進部署除錯套件和C#反編譯程式的程序,但是以太坊的圖靈完備系統出錯的機會更大。識別和消除所有的潛在的漏洞是一件永遠也不可能完成的任務,即使是對於經驗豐富的Solidity開發者也難以做到。透過專業的第三方審查智慧合約,雖然不能萬無一失,但是這是防止出現錯誤程式碼最好的方法。
智慧合約測試服務
雖然在代幣銷售之前進行審查智慧合約是行業慣例,但是對於還沒有籌到任何資金的專案來說,他們會更傾向於走捷徑,跳過這項任務。但是,這麼做可能會致命,嚴重的漏洞可能會導致錢包被盜,或者緩衝區溢位漏洞可能會被操縱,更改賬戶金額。有幾個以太坊鏈上的專案在他們把智慧合約搞砸之後不得不進行代幣原子互換。
這周EOS被檢測到存在RAM漏洞,程式設計師不得不把所有精力都放在修補RAM漏洞上。惡意的礦工可以利用該漏洞在他們的賬戶上植入程式碼,嵌入一行另外一個賬戶的名字,把代幣傳送給他們自己。他們可以在dapps/user傳送他們代幣的時候,透過嵌入大量垃圾資訊到row鎖定RAM。
Amzix,代幣經濟裡非常優秀的社羣管理和諮詢公司,已經與Hosho達成合作,為客戶提供代幣審計服務。“由於缺乏行業標準,我們認為智慧合約升級和滲透測試是區塊鏈系統安全的重要組成部分。” Amazix的營運長Kenneth Berthelsen說道,“在這方面,沒人能比Hosho工程師們做得更好。”
加密貨幣支持者們發現,智慧合約最終會滲透到方方面面,從發行到糾紛解決方案。在出現問題發生之前,在程式碼上建立信任指導他們變得至關重要。
更多區塊鏈資訊:http://www.qukuaiwang.com.cn/news
