请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

智能合约漏洞或摧毁区块链体系,社区共识可修复多数公链问题 ...

2018-5-31 14:56| 发布者: 怪蜀黍| 查看: 315| 评论: 0|原作者: 郑婷婷

摘要: 智能合约安全是区块链行业面临的重点问题,需要全行业在底层链安全设计、简化智能合约编写复杂度,以及提供安全的智能合约模板等方面来提供解决方案...... ... ... ... ...
智能合约安全是区块链行业面临的重点问题,需要全行业在底层链安全设计、简化智能合约编写复杂度,以及提供安全的智能合约模板等方面来提供解决方案。

网络安全问题一直颇受大众关注,区块链的平台安全也牵动着圈内人的心。

近日EOS被曝出智能合约漏洞问题,让大众对区块链安全打上了一个大大的问号。虽然社区共识可以解决公链架构体系问题,但链上运行的智能合约一旦出现问题,也会造成严重损害,甚至摧毁整个体系。

业内人士表示,智能合约安全是区块链行业面临的重点问题,需要全行业在底层链安全设计、简化智能合约编写复杂度,以及提供安全的智能合约模板等方面来提供解决方案。

EOS.IO V1将会如期发布

5月29日中午,国内安全软件360安全卫士在其官方微博上发布长文《360发现区块链史诗级漏洞 可完全控制虚拟货币交易》。消息传出后,EOS行情一度大幅下跌。

5月29日EOS资金净流出达8.06亿元,流入跌幅为67.97%。此后,BM表示目前已经修复了360发现的EOS高危漏洞。

5月30日,周鸿祎在接受采访时表示,360安全团队在发现漏洞并完成对这个大漏洞的研究测试之后,立刻联系了EOS创始人BM。在他们修复完成之后,才披露的。

“采用这种比较公开的方式,我们也是希望以此呼吁大众,关注区块链技术的同时也注意区块链安全。”周鸿祎说。

EOS.IO团队也在30日表示:由于软件存在漏洞,有媒体错误地发布了关于EOS.IO可能会延期发布的消息,我们团队已经修复了大部分漏洞并且致力于修复余下的漏洞,EOS.IO V1将会如期发布。

智能合约漏洞问题普遍存在

360团队表示,在区块链网络和数字货币体系中,节点、钱包、矿池、交易所、智能合约等都存在很多的攻击面,360安全团队此前已经发现和揭露了多个针对数字货币节点、钱包、矿池和智能合约的严重安全漏洞。

此次360在EOS平台的智能合约虚拟机中发现的一系列新型安全漏洞,是前所未有的安全风险。此前尚未有安全研究人员发现这类问题。

这类型的安全问题不仅仅影响EOS,也可能影响其他类型的区块链平台与虚拟货币应用。

中关村区块链产业联盟秘书长朱佩江对猎云财经表示,智能合约漏洞是支持智能合约的区块链系统长期存在的一个问题。从以往类似事件来看,智能合约安全是整个行业都面临的重点问题。

据了解,这不是业内第一次发生智能合约漏洞事件。就在4月22日,美链BEC智能合约被曝出安全漏洞,同一时间大额BEC被瞬间抛售套现,导致BEC蒸发60亿元,市值大跌近94%,最大蒸发额近120亿元。

据媒体报道,这是BEC安全漏洞被黑客利用所导致的。

利用安全漏洞,黑客可以通过转账的手段生成合约中不存在的、巨量的Token并将其转入正常账户。账户中收到的Token可以正常地转入交易所进行交易,与真的Token无差别。

以太坊The DAO漏洞事件

在2016年6月,由于智能合约存在重大缺陷,当时区块链界最大的项目The DAO被攻击。

DAO是以太坊智能合约支持的一个功能。The DAO是通过这种功能技术创建并运行在以太坊上的一个智能合约,融资众筹一度达到1.5亿美元。

虽然以太坊本身通过一系列的区块链技术确保了安全,但是在其上创建的智能合约却未必如此。The DAO合约的源码中存在着一个编程漏洞,使得攻击者可以将The DAO资产池中的以太币非法转移给自己。

2016年7月,以太坊官方修改了以太坊的源码,并夺回了被攻击者控制的DAO合约中的币。但是这样却让以太坊发生了分叉,变成了两条链,一条为原始的区块链(ETC),一条是分叉出来的新链(ETH)。

以太坊钱包Parity被盗币事件

Parity是一款多重签名钱包,是目前使用最广泛的以太坊钱包之一。2017年7月20日,以太坊Parity多重签名钱包智能合约出现漏洞,有15万以太坊被盗。

2017年11月7日,以太坊Parity钱包再出漏洞。一名开发者“无意中”攻破了一小部分代码。这个“意外”触发的系统缺陷致使钱包崩溃,导致以太币无法转出。有100万以太币被冻结在钱包里,大约价值2.8亿美元。

虽然在事件出现后,官方陆续修复了漏洞。但是,有人不禁会问,为什么比特币没有出现过这样的问题?

社区力量可修复漏洞问题

据悉,比特币之所以比较安全,是因为比特币的脚本编程较为简单,只支持很有限的如P2PKH、P2SH等操作,所以它安全运行了9年。相对于比特币,以太坊和EOS的编程则复杂很多。

复杂带来了功能的强大,也带来了更多的危险。

对于此次发生的EOS安全漏洞事件,北京邮电大学区块链实验室主任范宏接受猎云财经采访时表示:“EOS这样的智能合约漏洞是可以解决的,关键在于从业人员对终端安全、网络安全、漏洞检测及安全防护的专业性。”

PalletOne架构师曾毅认为,从区块链安全来说,以太坊和EOS这些平台有漏洞是很正常的,越是复杂的系统漏洞就越多。

“无论是以太坊还是EOS,都有强大的社区和灵魂人物,他们可以通过线下的共识回滚交易、硬分叉来解决出现的问题。以后EOS还会被爆出更多的漏洞,社区的力量能够使得这些问题得到大部分人满意的解决方案。”曾毅说。

对于如何提高区块链领域的安全,朱佩江表示,可能需要从几个方面去考虑提高智能合约的安全性。一是底层链在虚拟机设计和实现方面需要全面的安全考虑。

二是智能合约的各种操作需要严格的限定,严格使用各种运算的安全操作,简化智能合约的编写复杂度。甚至可以考虑牺牲一定的灵活性和图灵完备性,比如考虑限制循环和递归。

三是区块链的底层链系统应该提供安全的智能合约模板供合约开发者使用。

“互联网损失数据,区块链损失资产”

据了解,虽然传统互联网和区块链的安全问题都是信息系统的代码问题导致的,但是目前很多区块链智能合约安全问题都是一些初级漏洞。

相对的传统信息系统经历了长期的发展和考验,很多常见安全漏洞都会被开发者和系统建设维护者有意识的规避,在某种程度上,这也说明区块链还是处于新生阶段。

朱佩江认为,传统信息系统安全问题损失的是数据信息,区块链的安全问题损失的很可能是有价值的资产,所有更应该谨慎认真对待。

“幸运的是这次漏洞是EOS主网上线前就发现了,相信EOS以及其他区块链的技术团队都会以此为戒加强智能合约安全,本次发现的问题对所有开发人员都是一次警醒。”朱佩江说。

区块链底层技术目前还都不太完善,各个公链之间的差别其实不是特别大,从经营时间到生态参与的DAPP,生态所覆盖的用户群都还没有太大的差距,技术底层更稳定,运营更有经验的项目将在2018年逐渐显露出竞争力。”溯源链创始人王鹏飞说。