以太坊爆重大安全漏洞,或會無限量增發區塊鏈
如果智能合約開發者疏忽或者測試不充分,而造成智能合約的代碼有漏洞的話,就非常容易被黑客利用并攻擊,ATN最近就是出現了類似的情況。
近日,黑客利用了一個ERC223合約與DS-AUTH庫的混合漏洞,重設了owner權限,進行了ATN Token的增發。ATN技術人員收到異常監控警示,介入后確定TOKEN合約受到黑客攻擊并發現了相關漏洞,隨后對漏洞進行了修復,并凍結了增發的Token。
另據慢霧區透露,ATN基金會將銷毀1100萬個ATN,并恢復ATN總量,同時將在主鏈上線映射時對黑客地址內的資產予以剔除,確保原固定總量不變。
智能合約漏洞頻現
如果智能合約開發者疏忽或者測試不充分,而造成智能合約的代碼有漏洞的話,就非常容易被黑客利用并攻擊。并且越是功能強大的智能合約,就越是邏輯復雜,也越容易出現邏輯上的漏洞。黑客利用了一個ERC223合約與DS-AUTH庫的混合漏洞,重設了owner權限,進行了Token的增發。這個漏洞雖然比較隱秘,但安全等級很高。
謹防亡羊補牢事件再次發生
目前漏洞已被修復,修復后的合約成功通過了第三方專業區塊鏈安全機構的安全審計,合約安全威脅已解除。目前已知存在Solidity漏洞、短地址漏洞、交易順序依賴、時間戳依賴、可重入攻擊等漏洞,在調用合約時漏洞可能被利用,而智能合約部署后難以更新的特性也讓漏洞的影響更加廣泛持久。
合約無小事,區塊鏈合約的安全,僅依靠開發者的經驗和能力并非萬無一失。鑒于以太坊其運行時間還不到3年,如上漏洞可能只是其所有漏洞的冰山一角,為保證業務在區塊鏈上安全可靠運行,保護數字資產的安全,采用以太坊做為區塊鏈技術方案時必須對智能合約代碼進行充分測試。
在幣曉看來,在區塊鏈和智能合約的設計與編碼實踐中,需做到以下幾點:
簡化區塊鏈腳本語言設計,犧牲一部分圖靈完備性換取安全性
嚴格執行智能合約代碼審查
強化對智能合約程序員培訓
在應用實踐中要謹慎漸行
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
