但是,如果由於某種原因(例如:節點脫離了網路)而導致挖塊平均時間發生變化,那麼資產轉移的時間便會提早或推遲。
那麼如何確定是否使用block.number函式呢?它在一定程度上是一個靈活的解決方案或可以作為交易時間戳應用的替代方法。應用時需要考慮智慧合約的具體案例,如果合約並不考慮時間敏感性,或者所需的合約期限相對較短,那麼block.number就是最佳的交易時間戳替代方法;假如合約需要在一個特定時間內執行,或如果合約期限需要維持一個相當長的時間時,那麼由於block.number的準確性不足,使用者必須重新尋找解決方案。
交易順序依賴/非法預先交易依賴
當程式碼依賴於交易順序時,合約中會出現競態條件方面的漏洞:在區塊內部,交易本身的順序很容易受到人為操控。
使用者的交易順序在執行和新增到塊之前就已經公開了,這會導致一些分散的市場過於透明。設想一下,如果這種型別的漏洞出現股票市場中,那場景會有多可怕,投資者買賣股票的資訊對於其他投資者來說稱得上是一覽無餘!
根據供應鏈協議,這種超透明的交易順序會導致市場環境陷入不平衡、不公平的境地。例如,在以太坊上,礦工即可透過支付更多gas來獲得優先處理其交易的權利,這就為更多的惡意行為者提供了機會。
當智慧合約依賴於交易順序時,使用者必須確保其合約是絕對安全的,以避免被他人惡意利用。
2. 整數的溢位下溢
計算機中整數都有一個寬度,因此它有一個可以表示的最大值。當儲存一個超過最大值的數時,就會發生整數溢位;相反,當儲存一個小於最小值的數時,就會發生下溢。
舉一個典型的整數溢位例子:汽車的里程錶無法記錄超過999999(6位數值)的里程。當汽車行駛里程超過六位數時,汽車裡程表只能將這個七位數值(1,000,000)用最後六位數000000表示。
資料必須保證準確性是毋庸置疑的。如果不去解決溢位和下溢的情況,會造成資料的不準確和智慧合約的輸出錯誤。然而當成千上萬行的程式碼需要由人工來檢查時,這些問題非常容易被忽略。此時使用形式化驗證可以有效避免程式碼受到資料溢位和下溢的影響。
3. 訪問和許可權控制漏洞
在公共區塊鏈中,任何人都可以在鏈中讀寫區塊的性質決定了訪問和許可權控制並不是什麼重要的設定。但隨著區塊鏈技術的發展,網路安全的形勢越來越嚴峻,私有鏈如今需要深入思考如何建立更為安全的訪問機制。
如果一個公共區塊鏈沒有任何訪問限制,必會給利益相關者帶來一些損失。所以如果你要控制進入網路的節點或限制存放敏感資訊的區塊,你必須留意所設定的訪問許可權。
4. DDoS(分散式拒絕服務)攻擊
區塊鏈雖然可以減少部分傳統DDoS攻擊,但此攻擊仍難以避免。如果鏈協議沒有內建保護措施,區塊鏈節點很容易被惡意編碼的智慧合約以DDoS的方式進行攻擊。這將導致網路中的所有資源都用以處理這些問題,最終導致網路崩潰。
雖然目前還沒出現針對區塊鏈網路的重大DDoS攻擊,但TRON在上半年已經發現了一個相關漏洞,這個漏洞可將整個區塊鏈網路置於危險境地。
5.可重入性攻擊
以智慧合約為中介進行的攻擊並不總是來自於外部。惡意合約可以在第一個函式完成前回撥到呼叫合約之中。
換言之,惡意合約可以被編碼到一個受到攻擊的智慧合約中。所以當受攻擊的合約執行第一次操作時,惡意合約便可以中斷此次操作,然後再透過回退功能執行另一個新的功能。一般來說,這種操作是可重入的,因為它在初始呼叫完成之前就進入了另一個合約的呼叫操作之中。
這種漏洞允許惡意使用者或惡意的合約釋出者改變受攻擊智慧合約的本質,並利用系統對其進行內部攻擊。一個比較出名的例子是the DAO,它直接導致了以太坊和以太坊經典鏈條之間出現硬分叉。
