24
说起智能合约,其实它就是一段写在区块链上的代码,在智能合约中,一旦有哪个事件触发了合约中的条款,代码就会自动执行,这整个过程是不需要人为操控的。其实我们日常生活中的很多业务都可以借助智能合约来简单化,就像是保险业务,我们只要设置好条件,在达到条件时合约就会自动触发,自动理赔,这样既能够减少人们的纠纷,也能够提高理赔的效率。不过智能合约中也有漏洞,那么究竟智能合约漏洞是什么意思?大家想知道智能合约漏洞有哪些?下面就让币圈子小编给大家说一说。
智能合约本质是一段运行在区块链网络中的代码,它完成用户所赋予的业务逻辑。以以太坊体系的代币为例,其业务逻辑是代币发币和交易。以太坊在设计之初,将智能合约设计成了一旦部署就不能修改的模式。这种设计有可能是为了提高智能合约的可信性。但是我们知道,只要是由人编写的程序,就一定会出现错误和缺陷。
以太坊这种设计本身就违背了程序设计的一般规律,在智能合约出现漏洞的时候可能会造成无法弥补的损失。我们可以看到,近期出现的以太坊体系智能合约的漏洞,造成了巨大的影响,有的代币也因此毁灭。
目前以太坊体系区块链智能合约的机制设计,加之漏洞可能带来的毁灭性影响,使得已上线智能合约的漏洞的报告和处理变得非常棘手。360代码卫士团队在近期的研究中发现了以太坊体系下多个已上市交易的代币的智能合约安全漏洞,并已第一时间报告厂商,但到目前为止厂商尚未作出任何回应。
对于厂商来说,由于智能合约不可修改的特性,要对上线后发现的漏洞进行有效修复,只能选择重新部署新的合约,这将付出巨大的代价,因此有的厂商可能会选择不响应,不处理。
1.矿工恶意利用漏洞
矿工可恶意利用存在于智能合约执行之外的变量,并从中获益。
交易时间戳(当一个新的区块被“挖掘”出来时,本地必会生成一个对应的时间戳)
2.整数的溢出下溢
计算机中整数都有一个宽度,因此它有一个可以表示的最大值。当保存一个超过最大值的数时,就会发生整数溢出;相反,当保存一个小于最小值的数时,就会发生下溢。
3.访问和权限控制漏洞
在公共区块链中,任何人都可以在链中读写区块的性质决定了访问和权限控制并不是什么重要的设置。但随着区块链技术的发展,网络安全的形势越来越严峻,私有链如今需要深入思考如何建立更为安全的访问机制。
4.DDoS(分布式拒绝服务)攻击
区块链虽然可以减少部分传统DDoS攻击,但此攻击仍难以避免。如果链协议没有内置保护措施,区块链节点很容易被恶意编码的智能合约以DDoS的方式进行攻击。这将导致网络中的所有资源都用以处理这些问题,最终导致网络崩溃。
5.可重入性攻击
以智能合约为中介进行的攻击并不总是来自于外部。恶意合约可以在第一个函数完成前回调到调用合约之中。
换言之,恶意合约可以被编码到一个受到攻击的智能合约中。所以当受攻击的合约执行第一次操作时,恶意合约便可以中断此次操作,然后再通过回退功能运行另一个新的功能。一般来说,这种操作是可重入的,因为它在初始调用完成之前就进入了另一个合约的调用操作之中。
上述内容就是币圈子小编对于智能合约漏洞是什么意思以及智能合约漏洞有哪些这两个问题的详细解答。其实对于一些安全研究者来说,现在也面临着一个比较尴尬的情况,因为如果在厂商修补漏洞前公开漏洞细节对于厂商是很不利的,这有悖于漏洞披露的一般原则,但是如果厂商迟迟不修补漏洞的话,那么公众并不知道漏洞的存在,这其中的风险也会随着时间的增长迅速膨胀,一旦漏洞爆发,那造成的危害会更大,波及的人群范围也会更广,很多人的投资可能会化为乌有。
932
641
507
573
688
380
672
599
412
434
