风险提示:理性看待区块链,提高风险意识!
检测了3万多份智能合约,这份白皮书找到了9大安全漏洞(附下载链接)
首页 > 币界资讯 > 区块链新闻 2019-01-07 11:50:52
币界网报道:

以太坊智能合约数量与日俱增,其安全问题也随之暴露。攻击者利用安全漏洞对智能合约进行攻击,导致数字资产发生丢失或被盗取。故加强区块链智能合约的安全性随着以太坊合约的增加逐步进入大众视野,成为了区块链智能合约开发中工作中的一个难题。

近日,区块链安全研究中心(由中国信息通信研究院泰尔终端实验室、上海交通大学网络空间安全学院、上海掌御信息科技有限公司共建)、中国区块链应用研究中心等机构联合发布了《区块链智能合约安全审计白皮书(2018年)》。

本白皮书通过检测区块链智能合约安全检测平台内 31276 份智能合约,归纳出9大类智能合约安全漏洞。从数量上来看,权限控制占比最重,达到了46.97%,远高于其他类型,其他占比较高的安全漏洞有错误使用随机数、逻辑设计缺陷等类型。

以下为内容精选,经授权发布:

目前,以太坊智能合约的编程语言 solidity 和以太坊智能合约运行的虚拟环境 EVM 的设计还不完善,不排除出现安全漏洞的情况。

如果智能合约开发者稍有疏忽或者测试不充分,就有可能造成智能合约的代码存在漏洞。这对项目安全来说就像一颗隐藏的炸弹,一旦爆炸,后果将不堪设想。目前以太坊智能合约的安全漏洞容易导致用户资产贬值,被冻结,被非法转移等重大问题。

TIM截图20181219165545_看图王

本白皮书内 31276 份智能合约为数据样本以以太坊 ERC20 Token 标准进行检测,检测技术采用区块链智能合约安全检测平台的快速扫描引擎,检测时间为 2 周。

最终得出智能安全合约在call 安全漏洞、条件竞争漏洞、重入攻击、权限控制漏洞、数值溢出、事务顺序依赖、账户冻结及绕过、逻辑设计缺陷、错误使用随机数等九大安全漏洞类型的分布,并对每种类型的漏洞严重等级进行了评级。

检测的智能合约相关数据如下:

·检测智能合约数:31276
·检测智能合约代码行数:9407593
·检测智能合约函数数:371655
·检测智能合约的交易笔数:87608190
·检测智能合约价值:$1,002,810,870

智能合约安全漏洞及其严重等级定义如下:

图片1

安全检测结果及分析

根据检测结果,按照安全漏洞类型智能合约安全漏洞的分布如下:

TIM截图20181219170631_看图王

智能合约安全漏洞目前有 9 类,从安全漏洞的数量来看,权限控制占比最重,达到了 46.97%,远高于其他类型。而数据溢出未在本次数据样本中被监测出。

根据检测结果,按照安全漏洞严重等级智能合约安全漏洞的分布如下:

TIM截图20181219170754_看图王

从安全漏洞的严重性看,3 级漏洞占比最重,高达 48.65%,二级漏洞也有 41.82%。

典型分析案例

检测样本合约中选取了 TopToken 智能合约进行分析,TopToken 智能合约以太坊地址:0x0E6BB94B7f25B96f13E0baf5bC04b8Ba39b897A8。

此智能合约的源代码可在https://etherscan.io/address/0x0e6bb94b7f25b96f13e0baf5bc04b8ba39b897a8#code 上查看。

通过 BSCSCS 平台的快速扫描引擎,TopToken 的安全漏洞扫描结果如下:

图片3

根据漏洞分布,我们可以看出 TopToken 安全漏洞主要体现在权限控制、逻辑设计缺陷和错误使用随机数三个方面。
按照漏洞数量排序:错误使用随机数、逻辑设计缺陷和权限控制。
按照漏洞严重等级:L2、L3,其中 L2 安全漏洞数量为 23 个,L3安全漏洞数量为 7 个。

结语

作为智能合约的相关方又该如何避免漏洞的发生呢?

1.开发者应该提高自己的安全意识

现在发现的漏洞中,大多是因为直接使用普通的加减乘除符号,但却没有对可能溢出的情况作判断,这就造成了数据溢出的隐患,而解决方法也很简单,使用安全的运算库 library SafeMath 就可以彻底避免数据溢出的问题。

2.项目方也应建立自己统一的合约编写安全标准,并对照安全标准严格执行,进行逐一检查

在完成智能合约编写后,请专业的智能合约审计公司,对合约代码用形式化验证的方法进行审计,并由审计公司给出审计报告和潜在漏洞的修复建议。

3.数字资产交易平台也应该做好对项目方的审核工作和自身安全防护

对交易平台中的项目,应要求其能提供智能合约安全凭证,避免有漏洞的代币对交易平台的信誉产生不良影响。

2018 年是区块链行业发展的转折年,随着数字资产市场逐渐转冷,区块链项目开始出现明显分化,这些都是行业泡沫逐渐稀释的迹象。人们越来越意识到,除了发币圈钱之外,区块链技术需要更多的应用场景来证明自己的价值。

随着区块链行业日趋发展,应用场景逐渐增多,区块链智能合约的安全问题也成为了区块链产业的一大重点。未来,人们在不断提高对区块链的理解和认知的同时,也要对智能合约的安全加以重视,对安全漏洞加以防范。

白皮书下载链接:http://8btc.com/doc-view.html?d=3105

——————————————————

一份白皮书,选取多个维度,建立严格的数据筛选模型,详解数据背后的意义,用数据证明价值,凝聚区块链行业价值标准共识。它就是《鉴识2019·区块链价值白皮书》,白皮书即将在杭州发布,欢迎您现场见证,购票链接:http://www.huodongxing.com/event/4469946085700

上一篇: 区块链上的现金流丨通证化债务协议应该是怎样的?
下一篇: 在深圳开票不用1分钟!微信支付商户平台上线区块链电子发票
推荐专栏
Boss Wallet Web3 Econom Pass
专注币圈最新资讯
通俗浅显地聊透Web3大事小情
读懂区块链生态与未来,尽在币界网!
热门币种
更多
币种
美元价格
24H涨跌幅
BTC比特币
60,963.61 USDT
¥435,103.38
-2.72%
ETH以太坊
3,368.69 USDT
¥24,042.67
-0.3%
BNB币安币
570.68 USDT
¥4,073.00
-0.28%
USDT泰达币
1.02 USDT
¥7.25
-0.19%
SOL
135.96 USDT
¥970.36
+7.66%
USDC
1.00 USDT
¥7.15
-0.01%
TON
7.59 USDT
¥54.14
+4.55%
XRP瑞波币
0.47720 USDT
¥3.41
+0.48%
DOGE狗狗币
0.12210 USDT
¥0.87140
+2.43%
ADA艾达币
0.39050 USDT
¥2.79
+3.88%
热搜币种
更多
币种
美元价格
24H涨跌幅
比特币
61399.13 USDT
¥445,917.32
-0.52%
Solana
144.25 USDT
¥1,047.63
-2.46%
Curve
0.2902 USDT
¥2.11
-1.96%
Filecoin
4.5278 USDT
¥32.88
+1.36%
Beta Finance
0.078922 USDT
¥0.57
-16.81%
柚子
0.5945 USDT
¥4.32
+1.17%
狗狗币
0.1269 USDT
¥0.92
+2.17%
Conflux
0.1668 USDT
¥1.21
-1.13%
Shiba Inu
1.727E-5 USDT
¥0.00
-1.82%
Terra Classic
8.338E-5 USDT
¥0.00
+0.36%
Arweave
26.1582 USDT
¥189.98
-3.73%
dYdX
1.4205 USDT
¥10.32
+0.06%
最新快讯
更多
尼日利亚SEC对当地加密货币产业的估值为4亿美元
2024-06-28 21:23:34
FET跌破1.5美元
2024-06-28 21:18:36
币界网最新行情晚报:PEOPLE价格达0.08751美元/枚,日内跌幅-3.20%
2024-06-28 21:10:55
Nostra首席执行官在代币空投11天后辞职
2024-06-28 21:09:29
币界网最新行情晚报:UNI价格达9.321美元/枚,日内跌幅-3.04%
2024-06-28 21:06:05
币界网最新行情晚报:SOL索拉纳价格达143.7美元/枚,日内跌幅-3.06%
2024-06-28 21:04:51
币界网晚报|6月28日晚间重要动态一览
2024-06-28 21:03:13
下载币界网APP