查看原文
其他

课程预告 | 以太坊智能合约漏洞介绍与规模化审计方法详解(上)

小雪 看雪学院 2019-05-26


前段时间,看雪区块链小组成员roysue@kanxue在对Bitron Coin智能合约的代码进行审计时,发现存在着整数溢出型漏洞,于是看雪学院也在第一时间上报漏洞并发布预警威胁情报。


那么什么是智能合约呢?智能合约漏洞又会引起哪些问题呢?对智能合约的审计方法又是什么样的......


1

什么是智能合约?

     

所谓智能合约(Smart Contract),是密码学家Nick Szabo在1994年首次提出以数字形式定义的一系列承诺 ,包括合约参与方可以在上面执行这些承诺的协议。智能合约一旦设立指定后,能够无需中介的参与自动执行,并且没有人可以阻止它的运行。


区块链智能合约提供可信执行环境,智能合约为区块链扩展应用。


以太坊(Ethereum)是一个开源的有智能合约功能的公共区块链平台。区块链上的所有用户都可以看到基于区块链的智能合约。



随着智能合约开始获得越来越多的使用,人们也发现,就像现实世界的合同一样,如果没有认真审核的话,其中就有可能出现漏洞,并且被坏人利用。


2

智能合约的漏洞有多可怕?


2016年6月17日,由于以太坊智能合约存在重大缺陷,区块链业界最大的众筹项目TheDAO遭遇攻击。在攻击前,TheDAO拥有1亿美元左右的资产,攻击后300多万以太币资产被分离资产池。这是区块链历史上的沉重一击。


今年5月,360公司Vulcan(伏尔甘)团队发现了EOS区块链系统在解析智能合约WASM文件时的一个越界写缓冲区溢出漏洞。


360公司首席用户体验官周鸿祎,在微博发文称该漏洞“价值超过百亿美金,严重情况下,EOS乃至整个虚拟货币市场都会遭遇滑铁卢。



如何尽可能地消除漏洞,降低风险呢?


这就需要我们在智能合约上线之前,对其进行全面深入的代码安全审计。


3

什么是智能合约审计?


智能合约审计其实就是仔细研究代码的过程,即把合约部署到以太坊(假设此项目是运行在以太坊上的)主网络中,并对其进行错误、漏洞和风险等方面的审查,然后讨论如何改进。因为一旦发布,这些代码将无法再被修改。值得注意的是审计并不是验证代码安全的法律文件,仅仅表示你的代码已被专家校订过,基本上是安全的。没有人能100%确保代码不会在未来发生错误或产生漏洞。



想要了解更多有关智能合约的知识内容?


那就不要错过本周四(11月22日)的【看雪直播课程】之《以太坊智能合约漏洞介绍与规模化审计方法详解(上)》


由看雪讲师、看雪区块链小组成员、上海交通大学密码学实验室成员——xrosheart,为各位带来精彩课程。


现在就报名!


只需扫描下方海报二维码,添加看雪工作人员,即可入群免费参与直播课程。







- End -


往期热门资讯:                                        




公众号ID:ikanxue
官方微博:看雪安全

商务合作:wsc@kanxue.com



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存