報告指出34,000份以太坊智慧合約存在安全漏洞

點選上方“藍色字”可關注我們！

作者：Kai Sedgwick    翻譯：Annie_Xu

包含440萬個以太幣的34,000多份以太坊智慧合約可能存在容易被攻擊的漏洞。這是新加坡和英國幾位研究員得出的結論。他們的技術報告目前還在同行評審中，指出由於智慧合約編碼不完善，存在數個漏洞，導致數百萬美元的以太幣暴露在風險中。

智慧合約僅僅與建立者一樣智慧

上週新加坡和英國學生髮布研究報告採用挑釁的標題，“大規模發現貪婪、浪費、自殺式合約”（Finding The Greedy, Prodigal, and Suicidal Contracts at Scale）。作者已經深挖以太坊智慧合約，“發現合約要麼無限期鎖定資金或者隨意暴露給任意使用者，要麼可以被任何人殺死”。後面一個缺陷正是去年十一月Parity錢包的遭遇。

依賴沒有完成獨立審計的智慧合約危險性早就有記錄。去年程式碼問題就導致5億美元損失，一半金額涉及以太幣。最臭名昭著的案例是Parity漏洞導致1.68億美元的以太幣永久不可獲取，此外還有大量小型事故，發現了沒經驗或者馬虎的開發員。

滄海一粟

報告作者宣稱，已經用工具分析幾乎一百萬份智慧合約，發現其中34,200存在漏洞，2,365屬於著名專案。意味著，大約3.4%的全部智慧合約可能存在被攻擊、被違反或者利用的風險。研究中標註為存在問題的一個智慧合約，“可以提取的最大以太幣數量接近4,905個”，價值440萬美元。

報告說，“此外，目前6,239個以太幣鎖定在事後生效的區塊鏈合約中，其中313個以太幣已經傳送到殺死而無效的合約”。報告故意省略了這些做了風險標註的智慧合約身份，但是幾乎1/20的合約存在漏洞，450萬美元以太幣的獎池等待著，下定決心的攻擊者有充足的理由考慮到這個研究。

本文僅代表作者個人觀點，不代表區塊鏈鉛筆的立場，不構成投資建議，內容僅供參考。

關注本公眾號後，進入公眾號

回覆關鍵詞可以查閱資料，以下是部分關鍵詞

回覆 WEF ，檢視《WEF：世界經濟論壇認為區塊鏈是網際網路金融行業的未來報告》

回覆 智慧合約 ，檢視《巴克萊銀行報告》

回覆 moody ，檢視《穆迪120個區塊鏈專案報告》

回覆 SWIFT ，檢視SWIFT《區塊鏈對證券交易全流程產生的影響及潛力》報告

回覆 論文11 ，檢視論文《可擴充套件的去中心區塊鏈》

回覆 埃森哲2 ，檢視埃森哲《區塊鏈每年可以為投資銀行節省120億美元》報告

回覆 聯合國報告 ，檢視聯合國報告《數字貨幣和區塊鏈技術在構建社會和可信金融之間扮演的角色》

回覆 使用者特性 ，檢視普林斯頓大學首本比特幣教科書初稿《比特幣使用者的特性（Characteristics of Bitcoin Users）》

回覆 普林斯頓 ，檢視普林斯頓大學首本比特幣教科書初稿《比特幣和數字貨幣技術（Bitcoin and Cryptocurrency Technologies）》

回覆 IMF，檢視國際貨幣基金組織報告《Virtual Currencies and Beyond: Initial Considerations》

回覆 DTCC ，檢視美國存管信託清算公司報告《DTCC: 擁抱分散式》

回覆 廣發 ，檢視報告《科技前沿報告：區塊鏈：正快速走進公眾和政策視野》

回覆 川財1 ，檢視報告《川財證券：區塊鏈技術調研報告之一：具有顛覆所有行業的可能性》

回覆 川財2 ，檢視報告《川財證券：區塊鏈技術調研報告之二：區塊鏈技術進化論-區塊鏈技術的國內實踐和展望》

回覆 桑坦德 ，檢視桑坦德銀行報告《The Fintech 2.0 Paper: rebooting financial services》

回覆 拜占庭 ，檢視《拜占庭將軍問題詳解》

回覆 論文1 ，檢視論文《比特幣閃電網路：可擴充套件的離線即時支付》

回覆 論文2 ，檢視論文《比特幣骨幹協議》

回覆 論文3 ，檢視論文《數字貨幣是否應該進入Barbados央行國際儲備貨幣組合中》

回覆 幫助 ，檢視本公眾號全部關鍵詞列表

點選下方“閱讀原文”檢視更多，頁面出現後再點選“來源”可以檢視譯文原文連結 ↓↓↓