前段时间，看雪区块链小组成员roysue@kanxue在对Bitron Coin智能合约的代码进行审计时，发现存在着整数溢出型漏洞，于是看雪学院也在第一时间上报漏洞并发布预警威胁情报。

那么什么是智能合约呢？智能合约漏洞又会引起哪些问题呢？对智能合约的审计方法又是什么样的......

所谓智能合约（Smart Contract），是密码学家Nick Szabo在1994年首次提出以数字形式定义的一系列承诺 ，包括合约参与方可以在上面执行这些承诺的协议。智能合约一旦设立指定后，能够无需中介的参与自动执行，并且没有人可以阻止它的运行。

区块链为智能合约提供可信执行环境，智能合约为区块链扩展应用。

以太坊（Ethereum）是一个开源的有智能合约功能的公共区块链平台。区块链上的所有用户都可以看到基于区块链的智能合约。

随着智能合约开始获得越来越多的使用，人们也发现，就像现实世界的合同一样，如果没有认真审核的话，其中就有可能出现漏洞，并且被坏人利用。

2016年6月17日，由于以太坊智能合约存在重大缺陷，区块链业界最大的众筹项目TheDAO遭遇攻击。在攻击前，TheDAO拥有1亿美元左右的资产，攻击后300多万以太币资产被分离资产池。这是区块链历史上的沉重一击。

今年5月，360公司Vulcan（伏尔甘）团队发现了EOS区块链系统在解析智能合约WASM文件时的一个越界写缓冲区溢出漏洞。

360公司首席用户体验官周鸿祎，在微博发文称该漏洞“价值超过百亿美金，严重情况下，EOS乃至整个虚拟货币市场都会遭遇滑铁卢。”

如何尽可能地消除漏洞，降低风险呢？

这就需要我们在智能合约上线之前，对其进行全面深入的代码安全审计。

智能合约审计其实就是仔细研究代码的过程，即把合约部署到以太坊（假设此项目是运行在以太坊上的）主网络中，并对其进行错误、漏洞和风险等方面的审查，然后讨论如何改进。因为一旦发布，这些代码将无法再被修改。值得注意的是审计并不是验证代码安全的法律文件，仅仅表示你的代码已被专家校订过，基本上是安全的。没有人能100％确保代码不会在未来发生错误或产生漏洞。

往期热门资讯：                                        

公众号ID：ikanxue
官方微博：看雪安全

商务合作：wsc@kanxue.com