智慧合約安全問題

金色公開課，由金色財經主辦，定位聯合行業頭部企業一起打造行業最全最專業的知識共享平臺。課程將以社群分享、線上直播、全網直播的方式打造行業最具影響力的線上欄目，累積100期課程，10萬以上社群覆蓋，千萬級內容展現。

金色財經聯合成都鏈安打造區塊鏈安全系列課程，邀請成都鏈安各領域安全負責人為大家講解區塊鏈安全方面知識。本期課程邀請成都鏈安智慧合約安全負責人Oleg擔任嘉賓，給大家講解智慧合約安全問題現狀及解決方法。

以下為課程詳情

問題一：簡單的介紹一下智慧合約是什麼？有什麼意義？

Oleg：智慧合約是一個事務處理系統，使數字化承諾在滿足觸發條件時被自動執行，而不會產生或者修改智慧合約。相比於傳統合約，智慧合約在合同主體、執行的效率和違約成本都有很大不同，使得資訊驗證成本顯著降低，加上自動執行和不可篡改性，極大提高了商業社會多方協作的效率。因此，智慧合約技術是區塊鏈應用中最主要的特徵，也是區塊鏈被稱為顛覆性技術的主要原因。

問題二：目前智慧合約應用在哪些領域？

Oleg：目前智慧合約的應用還處於早期階段，主要集中在金融和政務領域。智慧合約可以幫助實現可程式設計貨幣和金融功能，提高自動化交易水平和交易效率，降低金融交易及合約執行成本，便於交易行為的管理，因此得到國內外金融機構和央行的關注。根據央行提交的專利，為了實現該目的，DCEP可能載入智慧合約功能，使DCEP只有在滿足特定條件（例如特定的經濟狀態、時點、利率、流向主體）的情形下才生效。隨著技術的發展，智慧合約現在逐步延伸到物聯網、智慧家居和供應鏈管理等多個領域。

問題三：2019年智慧合約有哪些典型的安全事件發生？可以具體說明麼？

Oleg：據成都鏈安統計，2019年，DApp數量持續增加，全年執行在ETH、EOS、波場等公鏈上的DApp總數量超3000個，智慧合約漏洞事件超百起，大多被黑事件發生於EOS DApp，DApp被黑總損失超1000萬美元。

EOS公鏈上去年共發生超60起典型攻擊事件，1-4月為集中爆發期，佔全年攻擊事件的67%，主要原因為EOS公鏈上菠菜類應用的持續火爆，加之專案合約程式碼安全性薄弱，導致駭客在多個DApp上就同一個漏洞進行連續攻擊，手法主要以交易阻塞、回滾交易攻擊，假EOS攻擊，隨機數破解等。

TRON公鏈共發生近20起典型攻擊事件，主要集中在4、5、7月，以小規模攻擊為主，手法為回滾交易為主。

ETH公鏈未發生較嚴重的DApp攻擊事件，一是因為ETH公鏈上博彩競猜類合約數量較少，熱度不夠，二是因為整體來說ETH智慧合約專案方在安全方面做的較完善。

典型案例：

· 2019年4月11日凌晨00:17，TCX1Cay開頭的駭客，建立了大量BTTx假幣，並於凌晨00:25至01:00之間向多個地址轉入共計4,000萬個BTTx代幣，並把假的BTTx洗成真BTT進而對TXHFhq開頭的BTTBank遊戲合約實施攻擊，共計損失1.8億BTT。

· 2019年7月23日，18:49至22:24分，駭客向波場競猜類遊戲TronChip發起連續攻擊，共計獲利61,867個TRX。造成此次攻擊的原因為遊戲合約遭到隨機數被破解。

· 2019年9月14日，EOS DApp EOSPlay 中的 DICE 遊戲遭受新型隨機數攻擊，損失金額高達數萬 EOS。攻擊者（賬號：muma**mm）在此次攻擊過程中利用 EOS 中的經濟模型的缺陷，使用了一種新型的隨機數攻擊手法對專案方進行攻擊。

DApp

時間

損失

備註

uugame

1月10日

累計損失超3萬EOS

隨機數攻擊

EOS.Win

1月11日

新型交易阻塞攻擊

BetDoge

1月12日

交易回滾攻擊

FarmEOS

1月13日

交易回滾攻擊

Fishing、STACK DICE

1月13日

數百個EOS

交易延遲攻擊

Vegas town

3月10日

數千 EOS

駭客攻擊

YUM.games

3月15日

數千 EOS

駭客攻擊

CUBECONTRACT

3月18日

數百 EOS

駭客攻擊

eosnowbetext

4月1日

數千 EOS

交易阻塞

TronWoW

4月11日

216萬TRX

駭客入侵

DApp tronbank

4月11日

85萬元BTT

假幣攻擊

EOS Global

4月29日

12,883 個 EOS

memo 攻擊

Wheel Of Fortune

5月2日

7,856個 TRX

交易回滾攻擊

Dice

5月8日

7,710 個 TRX

交易回滾攻擊

Poker EOS

5月24日

2萬EOS

私鑰洩露

BETX

6月11日

6億BETX

私鑰被盜

yizeslotsbet

6月24日

10000FB代幣

假回執攻擊

SPOKpark

6月28日

50845TRX

回滾攻擊

HiGold Game

7月3日

/

隨機數攻擊

TronChip

7月23日

61,867個TRX

交易回滾攻擊

TronCity

7月24日

25萬TRX

自毀合約

7tron dapp

7月26日

67,695個TRX

交易回滾攻擊

UnicornBet

8月2日

數千個EOS

假EOS漏洞攻擊

LuckyClover

8月2日

數千個EOS

hard_fail攻擊

EOS Royale

8月4日

18000eos

駭客攻擊

SKR EOS

8月13日

4000eos

交易阻塞攻擊

skreosladder

9月2日

近千EOS

小號繞過限制

DICE

9月14日

數萬 EOS

新型隨機數攻擊

FAIRWIN

9月27日

5093個ETH

駭客攻擊

BitDice

10月12日

4000Eos

假EOS攻擊

EosCast

10月31日

7萬EOS

假EOS攻擊

BigGame

11月6日

/

駭客攻擊

Dice

11月21日

1.8萬TRX

回滾攻擊

問題四：針對智慧合約漏洞問題，成都鏈安有哪些好的建議呢？

Oleg：1、遊戲合約開發者應該重視遊戲邏輯嚴謹性及程式碼安全性。

2、儘快將合約程式碼開源，讓更多專業人士和技術團隊參與進來，分析整理出易發生的意外事件，提升合約編寫的安全性和功能準確性，防患於未然。

3、專案方全方面做好智慧合約安全審計並加強風控策略，必要時可聯絡第三方專業審計團隊，在上鍊前進行完善的程式碼安全審計。

問題五：2020年智慧合約安全事件案例及解決方案

Oleg：2020年第一季度，隨著Defi金融持續升溫，隨之顯現而出的安全問題也日益突出，2020年Defi方面發生多起典型安全事件：

1、2月15日，BZX協議被爆出遭到可組合資產流動性套利攻擊，攻擊者透過閃貸從BZX借出ETH後透過一系列操作抬高幣價，套利ETH，獲利1000多ETH。

2、2月18日，BZX再次遭到類似攻擊，攻擊者透過抬高幣價對BZX合約進行『矇騙』，BZX未對幣種價格進行多次驗證，導致損失2378ETH。

3、去中心化交易平臺Curve出現異常交易，該筆交易使用價值8.9萬美元的USDC兌換了價值46.5萬美元的BUSD，攻擊者對Curve的busd.curve.fi以及y.curve.fi兩種資金池進行一次鉗形攻擊 （Pincer Attack）。

4、3月，bZx閃電貸二度開花攻擊，導致使用者損失14萬美元。

5、3月，以ETH作為抵押資產的MakerDao去中心化Defi專案清算，有1462場拍賣以0dai成交，導致平臺共計損失780萬美元。

6、3月，Defi專案Synthetix公開一個合約漏洞。

7、Lendf.Me於去年 9 月推出後因其鎖倉資產價值成為 DeFi Pulse 七大 DeFi 市場之一，前天攻擊者利用重入漏洞覆蓋自己的資金餘額並使得可提現的資金量不斷翻倍，最終將Lendf.Me盜取一空，損失超2500萬美元。

Defi專案正在快速發展壯大，據統計截止2020年，鎖定在以太坊Defi應用中的資產已達到了10億美元。Defi專案的火爆主要來源它的高收益。Defi又被稱為『去中心化金融』，開放式金融的基礎，則是高達8%-10%的收益率必然會伴隨著巨大的風險。

這是一個快速迭代的領域，因此各方Defi團隊開發自己的合約產品也是自由發揮；但並沒有一個統一的、標準的安全方案去遵守，或者說是必須透過嚴格的安全審計，這就導致了各種合約漏洞與相關安全問題層出不窮。

成都鏈安在此建議：任何Defi專案方在開發合約時應重視合約安全問題，以應對各種突發情況和各種非正常使用合約情況，從而避免造成損失；同時建議做好相關安全審計工作，藉助專業的區塊鏈安全公司的力量，避免潛在的安全隱患。

問題六：智慧合約未來面臨的安全挑戰有哪些？

Oleg：智慧合約的安全性問題的焦點在於智慧合約程式碼的安全性，此外也存 在執行環境和區塊鏈平臺的安全性問題。合約程式碼的安全性問題種類眾多，比如常規的整數溢位漏洞和合約特有的gas限制問題等，這些都是容易受到關注的問題，在此不做過多討論。

執行環境的安全問題相對比較容易被忽視，比如虛擬機器的安全性，EVM這種開源且經過多次迭代的虛擬機器可以認為相對安全，但是一些不開源的或者開源但不活躍的虛擬機器，則需要更多的關注安全性問題。

區塊鏈平臺的安全性問題也會直接影響智慧合約的安全性，比如加密 演算法安全性考慮不足可導致的複用問題，共識演算法造成結果不一致可被重放攻擊。這些問題在區塊鏈平臺開發的過程中應當被考慮到。

為此，專案方應全方面做好智慧合約安全審計並加強風控策略，必要時可聯絡第三方專業審計團隊，在上鍊前進行完善的程式碼安全審計。另外儘快將合約程式碼開源，讓更多專業人士和技術團隊參與進來，分析整理出易發生的意外事件，提升合約編寫的安全性和功能準確性，防患於未然。

智慧合約在區塊鏈技術的加持下實現了防篡改性、一致性、可審計性、 自動化執行等技術特點，同時也成為區塊鏈技術的重要組成部分，在區塊鏈技術的普及下將為各行各業帶來一場變革。

目前智慧合約的應用還處於早期階段，主要集中在金融和政務領域。智慧合約可以幫助實現可程式設計貨幣和金融功能，提高自動化交易水平和交易效率，降低金融交易及合約執行成本，便於交易行為的管理，因此得到國內外金融機構和央行的關注。

不過技術的發展也面臨諸多挑戰，如安全性問題。除了合約自身，合約執行環境和區塊鏈平臺帶來的安全問題也需要受到重視。由於處於發展早期，可信、可靠的資料來源要麼沒有，要麼需要一個過程才能安全對接上，因此缺乏鏈外可信、可靠資料來源給技術的應用落地帶來了較大挑戰。

隨著技術的發展，智慧合約已經已經延伸到物聯網、智慧家居和供應 鏈管理等多個領域。特別是這次疫情給政府的治理能力帶來了新的挑戰，區塊鏈作為一種新興的網際網路技術，將促進政府組織結構扁平化、治理及服務過程透明化，提高政府創新績效，增強政務資料安全，建設智慧化和可信任政府，智慧合約技術將發揮關鍵作用。