報告指出34,000份以太坊智慧合約存在安全漏洞
作者:Kai Sedgwick 翻譯:Annie_Xu
包含440萬個以太幣的34,000多份以太坊智慧合約可能存在容易被攻擊的漏洞。這是新加坡和英國幾位研究員得出的結論。他們的技術報告目前還在同行評審中,指出由於智慧合約編碼不完善,存在數個漏洞,導致數百萬美元的以太幣暴露在風險中。
智慧合約僅僅與建立者一樣智慧
上週新加坡和英國學生髮布研究報告採用挑釁的標題,“大規模發現貪婪、浪費、自殺式合約”(Finding The Greedy, Prodigal, and Suicidal Contracts at Scale)。作者已經深挖以太坊智慧合約,“發現合約要麼無限期鎖定資金或者隨意暴露給任意使用者,要麼可以被任何人殺死”。後面一個缺陷正是去年十一月Parity錢包的遭遇。
依賴沒有完成獨立審計的智慧合約危險性早就有記錄。去年程式碼問題就導致5億美元損失,一半金額涉及以太幣。最臭名昭著的案例是Parity漏洞導致1.68億美元的以太幣永久不可獲取,此外還有大量小型事故,發現了沒經驗或者馬虎的開發員。
滄海一粟
報告作者宣稱,已經用工具分析幾乎一百萬份智慧合約,發現其中34,200存在漏洞,2,365屬於著名專案。意味著,大約3.4%的全部智慧合約可能存在被攻擊、被違反或者利用的風險。研究中標註為存在問題的一個智慧合約,“可以提取的最大以太幣數量接近4,905個”,價值440萬美元。
報告說,“此外,目前6,239個以太幣鎖定在事後生效的區塊鏈合約中,其中313個以太幣已經傳送到殺死而無效的合約”。報告故意省略了這些做了風險標註的智慧合約身份,但是幾乎1/20的合約存在漏洞,450萬美元以太幣的獎池等待著,下定決心的攻擊者有充足的理由考慮到這個研究。
本文僅代表作者個人觀點,不代表區塊鏈鉛筆的立場,不構成投資建議,內容僅供參考。
關注本公眾號後,進入公眾號
回覆關鍵詞可以查閱資料,以下是部分關鍵詞
回覆 WEF ,檢視《WEF:世界經濟論壇認為區塊鏈是網際網路金融行業的未來報告》
回覆 智慧合約 ,檢視《巴克萊銀行報告》
回覆 moody ,檢視《穆迪120個區塊鏈專案報告》
回覆 SWIFT ,檢視SWIFT《區塊鏈對證券交易全流程產生的影響及潛力》報告
回覆 論文11 ,檢視論文《可擴充套件的去中心區塊鏈》
回覆 埃森哲2 ,檢視埃森哲《區塊鏈每年可以為投資銀行節省120億美元》報告
回覆 聯合國報告 ,檢視聯合國報告《數字貨幣和區塊鏈技術在構建社會和可信金融之間扮演的角色》
回覆 使用者特性 ,檢視普林斯頓大學首本比特幣教科書初稿《比特幣使用者的特性(Characteristics of Bitcoin Users)》
回覆 普林斯頓 ,檢視普林斯頓大學首本比特幣教科書初稿《比特幣和數字貨幣技術(Bitcoin and Cryptocurrency Technologies)》
回覆 IMF,檢視國際貨幣基金組織報告《Virtual Currencies and Beyond: Initial Considerations》
回覆 DTCC ,檢視美國存管信託清算公司報告《DTCC: 擁抱分散式》
回覆 廣發 ,檢視報告《科技前沿報告:區塊鏈:正快速走進公眾和政策視野》
回覆 川財1 ,檢視報告《川財證券:區塊鏈技術調研報告之一:具有顛覆所有行業的可能性》
回覆 川財2 ,檢視報告《川財證券:區塊鏈技術調研報告之二:區塊鏈技術進化論-區塊鏈技術的國內實踐和展望》
回覆 桑坦德 ,檢視桑坦德銀行報告《The Fintech 2.0 Paper: rebooting financial services》
回覆 拜占庭 ,檢視《拜占庭將軍問題詳解》
回覆 論文1 ,檢視論文《比特幣閃電網路:可擴充套件的離線即時支付》
回覆 論文2 ,檢視論文《比特幣骨幹協議》
回覆 論文3 ,檢視論文《數字貨幣是否應該進入Barbados央行國際儲備貨幣組合中》
回覆 幫助 ,檢視本公眾號全部關鍵詞列表
相關文章
- 以太坊智慧合約 Hexagon 存在溢位漏洞Go
- 以太坊蜜罐智慧合約分析
- 以太坊智慧合約升級策略
- 以太坊智慧合約-猜數字
- 以太坊智慧合約開發:讓合約接受轉賬
- 以太坊智慧合約gas如何估計?
- 以太坊智慧合約call注入攻擊
- 如何打造安全的以太坊智慧合約
- 採用以太坊智慧合約技術的報名系統原始碼原始碼
- 以太坊智慧合約開發第四篇:實現Hello World智慧合約
- 區塊鏈——以太坊、智慧合約簡介區塊鏈
- 以太坊中如何獲取另外一個智慧合約部署的合約地址?
- eth以太坊智慧合約交易平臺開發
- 什麼是以太坊?什麼是智慧合約?
- 使用Remix編譯和部署以太坊智慧合約REM編譯
- 以太坊智慧合約開發第七篇:智慧合約與網頁互動網頁
- 【精通以太坊】——第九章 智慧合約安全
- 技術工坊|深度探索以太坊智慧合約(深圳)
- 使用truffle部署以太坊智慧合約到區塊鏈區塊鏈
- 以太坊智慧合約開發第二篇:理解以太坊相關概念
- 區塊鏈2.0以太坊智慧合約solidity之helloworld區塊鏈Solid
- 建立基於以太坊的私有網路和智慧合約
- 區塊鏈之--2小時構建以太坊智慧合約區塊鏈
- 如何通過以太坊智慧合約來進行眾籌(ICO)
- 【區塊鏈】實戰·以太坊智慧合約程式設計引導區塊鏈程式設計
- 以太坊智慧合約開發第六篇:truffle開發框架框架
- 智慧合約開發(3)—— 以太坊虛擬機器(EVM)基礎虛擬機
- olidity語言開發以太坊智慧合約中的繼承繼承
- 如何取消以太坊智慧合約授權,防止被黑客盜取Token?黑客
- 富士通推出新技術檢測以太坊智慧合約漏洞
- 以太坊教程:搭建環境、編寫編譯一個智慧合約編譯
- 以太坊智慧合約開發第五篇:字串拼接—Solidity字串Solid
- 以太坊智慧合約 Solidity 的常用資料型別介紹Solid資料型別
- 區塊鏈100講:淺析以太坊網路智慧合約原理區塊鏈
- Polygon馬蹄鏈在以太坊上的智慧合約開發應用Go
- 保險智慧合約
- 以太坊常見合約型別及其用途型別
- 第九課 如何除錯以太坊官網的智慧合約眾籌案例除錯