课程预告 | 以太坊智能合约漏洞介绍与规模化审计方法详解(上)
前段时间,看雪区块链小组成员roysue@kanxue在对Bitron Coin智能合约的代码进行审计时,发现存在着整数溢出型漏洞,于是看雪学院也在第一时间上报漏洞并发布预警威胁情报。
那么什么是智能合约呢?智能合约漏洞又会引起哪些问题呢?对智能合约的审计方法又是什么样的......
1
什么是智能合约?
所谓智能合约(Smart Contract),是密码学家Nick Szabo在1994年首次提出以数字形式定义的一系列承诺 ,包括合约参与方可以在上面执行这些承诺的协议。智能合约一旦设立指定后,能够无需中介的参与自动执行,并且没有人可以阻止它的运行。
区块链为智能合约提供可信执行环境,智能合约为区块链扩展应用。
以太坊(Ethereum)是一个开源的有智能合约功能的公共区块链平台。区块链上的所有用户都可以看到基于区块链的智能合约。
随着智能合约开始获得越来越多的使用,人们也发现,就像现实世界的合同一样,如果没有认真审核的话,其中就有可能出现漏洞,并且被坏人利用。
2
智能合约的漏洞有多可怕?
2016年6月17日,由于以太坊智能合约存在重大缺陷,区块链业界最大的众筹项目TheDAO遭遇攻击。在攻击前,TheDAO拥有1亿美元左右的资产,攻击后300多万以太币资产被分离资产池。这是区块链历史上的沉重一击。
今年5月,360公司Vulcan(伏尔甘)团队发现了EOS区块链系统在解析智能合约WASM文件时的一个越界写缓冲区溢出漏洞。
360公司首席用户体验官周鸿祎,在微博发文称该漏洞“价值超过百亿美金,严重情况下,EOS乃至整个虚拟货币市场都会遭遇滑铁卢。”
如何尽可能地消除漏洞,降低风险呢?
这就需要我们在智能合约上线之前,对其进行全面深入的代码安全审计。
3
什么是智能合约审计?
智能合约审计其实就是仔细研究代码的过程,即把合约部署到以太坊(假设此项目是运行在以太坊上的)主网络中,并对其进行错误、漏洞和风险等方面的审查,然后讨论如何改进。因为一旦发布,这些代码将无法再被修改。值得注意的是审计并不是验证代码安全的法律文件,仅仅表示你的代码已被专家校订过,基本上是安全的。没有人能100%确保代码不会在未来发生错误或产生漏洞。
想要了解更多有关智能合约的知识内容?
那就不要错过本周四(11月22日)的【看雪直播课程】之《以太坊智能合约漏洞介绍与规模化审计方法详解(上)》。
由看雪讲师、看雪区块链小组成员、上海交通大学密码学实验室成员——xrosheart,为各位带来精彩课程。
现在就报名!
只需扫描下方海报二维码,添加看雪工作人员,即可入群免费参与直播课程。
- End -
往期热门资讯:
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com