包含440萬個以太幣的34,000多份以太坊智慧合約可能存在容易被攻擊的漏洞。這是新加坡和英國幾位研究員得出的結論。他們的技術報告目前還在同行評審中,指出由於智慧合約編碼不完善,存在數個漏洞,導致數百萬美元的暴露在風險中。
智慧合約僅僅與建立者一樣智慧上週新加坡和英國學生髮布研究報告採用挑釁的標題,“大規模發現貪婪、浪費、自殺式合約”(Finding The Greedy, Prodigal, and Suicidal Contracts at Scale)。作者已經深挖以太坊智慧合約,“發現合約要麼無限期鎖定資金或者隨意暴露給任意使用者,要麼可以被任何人殺死”。後面一個缺陷正是去年十一月Parity錢包的遭遇。依賴沒有完成獨立審計的智慧合約危險性早就有記錄。去年程式碼問題就導致5億美元損失,一半金額涉及。最臭名昭著的案例是Parity漏洞導致1.68億美元的以太幣永久不可獲取,此外還有大量小型事故,發現了沒經驗或者馬虎的開發員。滄海一粟報告作者宣稱,已經用工具分析幾乎一百萬份智慧合約,發現其中34,200存在漏洞,2,365屬於著名專案。意味著,大約3.4%的全部智慧合約可能存在被攻擊、被違反或者利用的風險。研究中標註為存在問題的一個智慧合約,“可以提取的最大以太幣數量接近4,905個”,價值440萬美元。報告說,“此外,目前6,239個以太幣鎖定在事後生效的區塊鏈合約中,其中313個以太幣已經傳送到殺死而無效的合約”。報告故意省略了這些做了風險標註的智慧合約身份,但是幾乎1/20的合約存在漏洞,450萬美元以太幣的獎池等待著,下定決心的攻擊者有充足的理由考慮到這個研究。轉自:區塊鏈鉛筆
更多區塊鏈數字貨幣資訊:http://www.qukuaiwang.com.cn/news
