举几个例子,4月22日美图合约漏洞导致价值归零,4月24日SMT智能合约类似的漏洞被黑客利用。这是一个严重问题,因为普通代码的问题可能导致数据丢失或系统崩溃,但智能合约的漏洞被利用则直接造成经济损失。
今年年初,新加坡的研究者对以太坊智能合约进行了详细分析,专注于漏洞分析,并设计了形式化验证漏洞的方法和工具,并在Github上进行了开源。
据分析,智能合约漏洞大致分为三类:贪婪型、挥霍型和自杀型。研究人员对数万个合约进行了分析,结果显示69%的合约存在问题,其中最多达99%存在问题。一小段代码未正确使用安全加固措施,可能导致溢出。开发人员措施不当,导致后门和漏洞被利用,引发了重入攻击等问题。
解决这个问题的可能思路包括:检测(静态形式化检查、验证机制、动态分析和模糊测试技术)以及重新设计链的整体结构,从新的角度考虑,功能分层和对操作系统进行封装。
在智能合约中,检测技术,如CFI(控制流完整性)可能有广泛的应用前景,可以防止重入攻击等。此外,模糊测试对发现隐藏漏洞可能也是一种有效手段。
在设计整个链的角度上,结构分层可能增强安全性。通过将复杂业务在链外处理,可以降低链上合约的逻辑复杂性,减小漏洞可能性。
最近,我关注了一个名为Elastos的项目,它致力于构建区块链操作系统。这个想法对于提高安全性有所帮助。从架构设计上,将操作系统对应用进行封装,确保应用无法直接访问网络资源,从而增强安全性。这种新思路可能为未来安全互联网的构建提供借鉴。
