以太坊爆重大安全漏洞,或会无限量增发

越是功能强大的智能合约,就越是逻辑复杂

近日,黑客利用了一个ERC223合约与DS-AUTH库的混合漏洞,重设了owner权限,进行了ATN Token的增发。ATN技术人员收到异常监控警示,介入后确定TOKEN合约受到黑客攻击并发现了相关漏洞,随后对漏洞进行了修复,并冻结了增发的Token。

另据慢雾区透露,ATN基金会将销毁1100万个ATN,并恢复ATN总量,同时将在主链上线映射时对黑客地址内的资产予以剔除,确保原固定总量不变。

智能合约漏洞频现

如果智能合约开发者疏忽或者测试不充分,而造成智能合约的代码有漏洞的话,就非常容易被黑客利用并攻击。并且越是功能强大的智能合约,就越是逻辑复杂,也越容易出现逻辑上的漏洞。黑客利用了一个ERC223合约与DS-AUTH库的混合漏洞,重设了owner权限,进行了Token的增发。这个漏洞虽然比较隐秘,但安全等级很高。

以太坊爆重大安全漏洞,或会无限量增发

谨防亡羊补牢事件再次发生

目前漏洞已被修复,修复后的合约成功通过了第三方专业区块链安全机构的安全审计,合约安全威胁已解除。目前已知存在Solidity漏洞、短地址漏洞、交易顺序依赖、时间戳依赖、可重入攻击等漏洞,在调用合约时漏洞可能被利用,而智能合约部署后难以更新的特性也让漏洞的影响更加广泛持久。

合约无小事,区块链合约的安全,仅依靠开发者的经验和能力并非万无一失。鉴于以太坊其运行时间还不到3年,如上漏洞可能只是其所有漏洞的冰山一角,为保证业务在区块链上安全可靠运行,保护数字资产的安全,采用以太坊做为区块链技术方案时必须对智能合约代码进行充分测试。

在币晓看来,在区块链和智能合约的设计与编码实践中,需做到以下几点:

简化区块链脚本语言设计,牺牲一部分图灵完备性换取安全性

严格执行智能合约代码审查

强化对智能合约程序员培训

在应用实践中要谨慎渐行


鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

全部评论

本文作者2018-6-21 16:21
admin
粉丝0 阅读283 回复0

精彩阅读

排行榜

ICO微信公众号码

扫码微信公众号
给您最新的资讯

用心服务,专业可靠!
官方QQ群:40409052
周一至周五 9:00-18:00
商务合作:icojz@icojz.com

扫一扫关注我们

加入官方QQ群

随时了解最新资讯

声明:本站严禁任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论!

本站内容由网友原创或转载,如果侵犯了您的合法权益,请及时联系处理! ICOJZ Co.Ltd.