雷鋒網(wǎng)AI金融評(píng)論按：本文來(lái)自微信公眾號(hào)“眾享比特”，原文標(biāo)題《以太坊目前已知安全問(wèn)題總結(jié)》。雷鋒網(wǎng)授權(quán)轉(zhuǎn)載。

（以下是本次轉(zhuǎn)載全文，雷鋒網(wǎng)對(duì)其進(jìn)行略做編輯。）

以太坊（Ethereum）是一個(gè)開(kāi)源的有智能合約功能的公共區(qū)塊鏈平臺(tái)。區(qū)塊鏈上的所有用戶(hù)都可以看到基于區(qū)塊鏈的智能合約。但是，這會(huì)導(dǎo)致包括安全漏洞在內(nèi)的所有漏洞都可見(jiàn)。如果智能合約開(kāi)發(fā)者疏忽或者測(cè)試不充分，而造成智能合約的代碼有漏洞的話(huà)，就非常容易被黑客利用并攻擊。并且越是功能強(qiáng)大的智能合約，就越是邏輯復(fù)雜，也越容易出現(xiàn)邏輯上的漏洞。同時(shí)，智能合約語(yǔ)言Solidity自身與合約設(shè)計(jì)都可能存在漏洞。

如果說(shuō)區(qū)塊鏈也有315，那么以太坊想必榜上有名。以太坊自運(yùn)行以來(lái)多次爆出過(guò)由于漏洞造成的重大安全事件。

北京時(shí)間2016年6月17日發(fā)生了在區(qū)塊鏈歷史上沉重的一次攻擊事件。由于以太坊的智能合約存在著重大缺陷,區(qū)塊鏈業(yè)界最大的眾籌項(xiàng)目TheDAO(被攻擊前擁有1億美元左右資產(chǎn))遭到攻擊，導(dǎo)致300多萬(wàn)以太幣資產(chǎn)被分離出TheDAO 資產(chǎn)池。

2017年7月21日，智能合約編碼公司Parity警告1.5版本及之后的錢(qián)包軟件存在漏洞，據(jù)Etherscan.io的數(shù)據(jù)確認(rèn)有價(jià)值3000萬(wàn)美元的15萬(wàn)以太幣被盜。2017年11月8日，以太坊Parity錢(qián)包再出現(xiàn)重大bug，多重簽名漏洞被黑客利用，導(dǎo)致上億美元資金被凍結(jié)。

以太坊開(kāi)源軟件主要是由社區(qū)的極客共同編寫(xiě)的，目前已知存在Solidity漏洞、短地址漏洞、交易順序依賴(lài)、時(shí)間戳依賴(lài)、可重入攻擊等漏洞，在調(diào)用合約時(shí)漏洞可能被利用，而智能合約部署后難以更新的特性也讓漏洞的影響更加廣泛持久。

據(jù)有關(guān)調(diào)查統(tǒng)計(jì)，以太坊主要漏洞情況描述如下表：

 

上述漏洞目前已經(jīng)廣泛存在以太坊網(wǎng)絡(luò)中，2018年2月24日，新加坡和英國(guó)幾位研究員指出，3.4萬(wàn)多份以太坊智能合約可能存在容易被攻擊的漏洞，導(dǎo)致數(shù)百萬(wàn)美元以太幣暴露在風(fēng)險(xiǎn)中，其中2365份屬于著名項(xiàng)目。

鑒于以太坊其運(yùn)行時(shí)間還不到3年，如上漏洞可能只是其所有漏洞的冰山一角，為保證業(yè)務(wù)在區(qū)塊鏈上安全可靠運(yùn)行，保護(hù)數(shù)字資產(chǎn)的安全，采用以太坊做為區(qū)塊鏈技術(shù)方案時(shí)必須對(duì)智能合約代碼進(jìn)行充分測(cè)試。在構(gòu)造智能合約時(shí)，眾享比特技術(shù)團(tuán)隊(duì)的安全建議如下：

• 限制在智能合約中存儲(chǔ)以太坊的數(shù)量。如果智能合約源代碼、編譯器或者平臺(tái)有問(wèn)題，這些資金可能丟失。

• 盡可能保證智能合約中的功能小而模塊化。源碼質(zhì)量一定要得到保證（比如限制局部變量的數(shù)量，函數(shù)的長(zhǎng)度），程序注釋盡量完整，以便方便日后的維護(hù)和增加代碼的可讀性。

• 盡可能減少交易中g(shù)as的消耗，如果有必須使用大量計(jì)算的地方，盡量將其放到鏈下去處理。

• 在智能合約中添加一個(gè)函數(shù)，執(zhí)行一些自我檢查，如“有沒(méi)有以太泄漏？”。如果自檢失敗，智能合約會(huì)自動(dòng)切換到某種“故障安全”模式，例如，禁用大部分功能，將控制交給固定和可信的第三方，或者將智能合約轉(zhuǎn)換成簡(jiǎn)單的“把我的錢(qián)還給我”智能合約。

雷鋒網(wǎng)AI金融評(píng)論

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。