交流中,CertiK大中华区负责人陈波锦表示,相比多维测试和实时监控,形式化验证可以从数学逻辑上保证合约中没有漏洞。但安全问题没有100%的系数,其中还涉及公链的安全性等。我们看到很多安全事故都是人为因素导致的,所以真正的安全是多维度的。
第11期Neutrino追问®AMA,我们邀请到CertiK大中华区负责人 陈波锦,围绕《智能合约攻击频发,如何维护区块链生态安全?》为主题进行了讨论,交流中,陈波锦表示,相比多维测试和实时监控,形式化验证可以从数学逻辑上保证合约中没有漏洞。它在两个层次上对合约进行保证,第一层安全无漏洞,即用数学推理的方法,捕捉合约中所有行为,覆盖所有的可能性,从而保证合约没有漏洞。第二层可信,即公开透明,合约的创建者不仅要说明执行哪些操作,还要向大家证明代码确实是这样执行的。经过这两个层次所验证过并证明安全的智能合约,只要源代码不发生任何变化,在上链前就基本达到100%安全无漏洞。但安全问题没有100%的系数,其中还涉及公链的安全性等。我们看到很多安全事故都是人为因素导致的,所以真正的安全是多维度的。
以下为1月17日第11期追问®AMA交流整理
话题主持@Neutrino 问题 1:区块链行业在过去一年得到了进一步发展,但安全问题却令人担忧。据有关统计,2018年,全球区块链领域发生近百起安全事件,损失超20亿美元,相较于2017年增长了538%。想问下陈总,目前智能合约都有哪些常见的漏洞或攻击类型,以及相应的会导致什么后果?
陈波锦:智能合约的漏洞如今大概被分为了三大类:
第一,以整数溢出为代表的代码安全漏洞。这些通常是被写代码的人不小心引入的,可能会引起合约某些功能部件失效。最严重可能导致黑客攻击,用户丢币,甚至黑客凭空造币。
第二,智能合约权限控制。一般智能合约里面会设置一个拥有超级权限的管理员,这类合约的安全隐患比较大,因为一旦管理员的私钥被盗用,很容易造成巨大的损失。
第三,规范性问题。现在很多智能合约的实现并没有统一的规范,智能合约是以交互的方式进行多人合作。没有一个规范的合约容易导致不同人对合约的行为产生误解从而出现大量安全隐患。
关于智能合约的代码安全漏洞以及可能导致的后果主要包括以下几个常见的种类:
-
整数溢出:合约失效,无限发币等风险
-
越权访问:越权发币等风险
-
拒绝服务:无心循环,递归栈耗尽等风险
-
基于重如漏洞的恶意转账等风险
-
信息泄露:重要信息的泄露
-
函数误用:可预测随机数,接口函数返回异常风风险
话题主持@Neutrino 问题 2:我们看到,去年某公链自主网上线以来, 发生了多起DApp安全事件,似乎成了黑客的提款机一样,攻击手段层出不穷:随机数攻击、种子漏洞、假币攻击等。这
最低0.47元/天 解锁文章
809
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
