25%智能合約存在bug,智能合約審計(jì)將成安全細(xì)分領(lǐng)域區(qū)塊鏈
審計(jì)并不是驗(yàn)證代碼安全的法律文件,僅僅表示你的代碼已被專(zhuān)家校訂過(guò)。
“智能合約”區(qū)塊鏈項(xiàng)目的重要部分,合約中的漏洞若被作惡者利用,將導(dǎo)致token被盜且往往無(wú)法收回,而錯(cuò)誤代碼的執(zhí)行,也會(huì)給社區(qū)帶來(lái)?yè)p失。
最近安全公司Hosho稱(chēng),在他們所審查過(guò)的項(xiàng)目中1/4存在嚴(yán)重錯(cuò)誤,約有60%至少存在一個(gè)安全問(wèn)題。同時(shí)指出,由專(zhuān)門(mén)從事智能合約審計(jì)的第三方對(duì)智能合約代碼進(jìn)行審計(jì),雖然不能萬(wàn)無(wú)一失,但能減少代碼錯(cuò)誤漏洞。
什么是智能合約審計(jì)?
智能合約審計(jì)其實(shí)就是仔細(xì)研究代碼的過(guò)程,即把合約部署到以太坊(假設(shè)此項(xiàng)目是運(yùn)行在以太坊上的)主網(wǎng)絡(luò)中,并對(duì)其進(jìn)行錯(cuò)誤、漏洞和風(fēng)險(xiǎn)等方面的審查,然后討論如何改進(jìn)。因?yàn)橐坏┌l(fā)布,這些代碼將無(wú)法再被修改。值得注意的是審計(jì)并不是驗(yàn)證代碼安全的法律文件,僅僅表示你的代碼已被專(zhuān)家校訂過(guò),基本上是安全的。沒(méi)有人能100%確保代碼不會(huì)在未來(lái)發(fā)生錯(cuò)誤或產(chǎn)生漏洞。
為了檢查合約的安全性,一般會(huì)測(cè)試多種攻擊,以確保合約是否安全。如重入攻擊(Reentrancy attack)、數(shù)值溢出(Over and under flows)、重放攻擊(Replay attack)、重排攻擊(Reordering attack)、短地址攻擊(Short address attack)。
目前國(guó)內(nèi)提供智能合約審計(jì)服務(wù)的公司比較出名的是知道創(chuàng)宇,但它除了智能合約審計(jì)之外還有其他安全方面的產(chǎn)品和服務(wù)。國(guó)外則已經(jīng)衍生出了這一專(zhuān)門(mén)的領(lǐng)域,如前文所提到的Hosho公司就是專(zhuān)門(mén)做智能合約審計(jì)的。相信隨著智能合約的增多乃至未來(lái)可能的大規(guī)模發(fā)展,對(duì)各種合約代碼的審計(jì)會(huì)成為一個(gè)專(zhuān)業(yè)的不可忽視的領(lǐng)域。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為T(mén)MT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
