资讯 金融科技
此为临时链接,仅用于文章预览,将在时失效

迄今为止,以太坊安全漏洞最全总结及建议

作者:嫣然
2018/03/15 14:57

雷锋网AI金融评论按:本文来自微信公众号“众享比特”,原文标题《以太坊目前已知安全问题总结》。雷锋网授权转载。

(以下是本次转载全文,雷锋网对其进行略做编辑。)

迄今为止,以太坊安全漏洞最全总结及建议

以太坊(Ethereum)是一个开源的有智能合约功能的公共区块链平台。区块链上的所有用户都可以看到基于区块链的智能合约。但是,这会导致包括安全漏洞在内的所有漏洞都可见。如果智能合约开发者疏忽或者测试不充分,而造成智能合约的代码有漏洞的话,就非常容易被黑客利用并攻击。并且越是功能强大的智能合约,就越是逻辑复杂,也越容易出现逻辑上的漏洞。同时,智能合约语言Solidity自身与合约设计都可能存在漏洞。

如果说区块链也有315,那么以太坊想必榜上有名。以太坊自运行以来多次爆出过由于漏洞造成的重大安全事件。

北京时间2016年6月17日发生了在区块链历史上沉重的一次攻击事件。由于以太坊的智能合约存在着重大缺陷,区块链业界最大的众筹项目TheDAO(被攻击前拥有1亿美元左右资产)遭到攻击,导致300多万以太币资产被分离出TheDAO 资产池。

2017年7月21日,智能合约编码公司Parity警告1.5版本及之后的钱包软件存在漏洞,据Etherscan.io的数据确认有价值3000万美元的15万以太币被盗。2017年11月8日,以太坊Parity钱包再出现重大bug,多重签名漏洞被黑客利用,导致上亿美元资金被冻结。

以太坊开源软件主要是由社区的极客共同编写的,目前已知存在Solidity漏洞、短地址漏洞、交易顺序依赖、时间戳依赖、可重入攻击等漏洞,在调用合约时漏洞可能被利用,而智能合约部署后难以更新的特性也让漏洞的影响更加广泛持久。

据有关调查统计,以太坊主要漏洞情况描述如下表:

迄今为止,以太坊安全漏洞最全总结及建议

迄今为止,以太坊安全漏洞最全总结及建议

迄今为止,以太坊安全漏洞最全总结及建议  

上述漏洞目前已经广泛存在以太坊网络中,2018年2月24日,新加坡和英国几位研究员指出,3.4万多份以太坊智能合约可能存在容易被攻击的漏洞,导致数百万美元以太币暴露在风险中,其中2365份属于著名项目。

鉴于以太坊其运行时间还不到3年,如上漏洞可能只是其所有漏洞的冰山一角,为保证业务在区块链上安全可靠运行,保护数字资产的安全,采用以太坊做为区块链技术方案时必须对智能合约代码进行充分测试。在构造智能合约时,众享比特技术团队的安全建议如下:

雷锋网AI金融评论

迄今为止,以太坊安全漏洞最全总结及建议

长按图片保存图片,分享给好友或朋友圈

迄今为止,以太坊安全漏洞最全总结及建议

扫码查看文章

正在生成分享图...

取消
相关文章