智能合约问题致区块链安全事件频发
|
曾经BEC批量转账裂痕变乱就是操作了没有行使安详函数计较乘法,导致计较机功效超出范畴造成溢失变乱,使判定前提创立,然后就可以举办大量的转账了,最终BEC蒸发了60多亿的市值,不只仅是给投资者,也给项目方造成了极大的丧失。
图中红框的处所是我们为了停止溢出裂痕而行使的安详数学函数。 在这种写法里,我们除了做正向计较外,还要做一次逆向计较,以担保运算功效可逆,这样的计较功效才是正确的。 也就是说做一个加法,我们计较a + b = c,安详函数在计较完之后必然要再计较一遍c >= a,这个功效创立,我们会以为这是一次有用的计较。固然这样增进了计较劲,可是因为智能合约陈设往后不行改观而且不行进级的特征,我们捐躯一点点服从,换来的是安详正确的计较功效,也是值得的。 以是在投资的时辰必然要找开源代码的来投,开源代码必然要搜查是不是用了安详函数,可是要留意,有了安详函数,不代表用了安详函数。 前不久有这样一个案例合约,项目方界说了安详函数,可是只有个体处所行使了。Transfer的操纵内里没有行使,这个时辰我们给项目方提供了风险提醒,项目方按照我们的指导,一一将安详函数应用到位,最终才通过考核。
对付投资者来说,我们给出几点提议。 第一,合约没有开源的产物不要碰,风险太大; 第二,没有颠末安详机构审计的产物不要碰,也许存在隐藏题目; 第三,投资风险,要审慎操纵,不要贪婪。 Armors Labs为了辅佐项目方规避智能合约中的题目,提供了基于以太坊的开源尺度库Armors Solidity和基于EOS的开源尺度库Armors EOSCpp。这两个尺度库可以辅佐项目方在以太坊和EOS上快速开拓本身的代币合约。行使尺度库的代码,可以低落合约出题目的概率。在必然水平上,保障合约的安详。 我本日要分享的内容,就到这里,感谢各人。 出色问答: Q1:刘先生,以太坊在2016年的时辰,被The DAO进攻,黑客偷取350万个以太币,功效是硬分叉成ETH和ETC,再团结此刻的以太坊瀑布行情,以太坊为代表的智能合约计划是不是存在裂痕?区块链的收集是开放的,理论上无法阻止更多的计较机资源成为节点,若节制大部门计较机资源,就能重改账本,实现51%双花进攻。 刘鹏:这个天下没有美满的体系,51%的双花进攻也早就成现过。此刻大量的算力被各大矿场占有,小我私人想把握够大的算力不现实。双花进攻自己是底链的安详题目,而智能合约的安详题目和它是两种环境,不能一路接头。智能合约出题目,首要是项目方的开拓团队失误造成的。这种环境,通过测试和安详审计可以很好地低落产生题目的也许。而51%是底链自己的机制造成的。跟着行业的成长,会有新的算法呈现,进一步的优化这个题目。 Q2:刘先生,区块链3.0是什么此刻还不黑白常确定,但终归会出来。比及3.0落地的时辰,基于以太坊上的2.0会怎么演变?灭亡吗?那陪伴的以太坊价值会不会很是低? 刘鹏:我以为3.0期间是一个百花齐放的期间,差异的公链呈现处事于差异的行业。以太坊上的2.0形态不会灭亡,由于以太坊自己也在进化生长,开拓团队会一向全力的让以太坊生长下去,顺应3.0期间的到来。行业型的公链具有垂直性,以太坊更具有广泛性,以是以太坊将来仍旧很有成长。至于价值方面,影响身分太多,我猜不出来。 相干阅读: 互联网法院司法区块链上线 全程溯源电子数据 把持缠身的互联网:区块链是否能成为其治病良药? 区块链+大数据,将来交通阶梯可否流畅无阻? (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
