编者按:本文来自登链社区,Odaily星球日报经授权转载。在2018年,我们曾对智能合约安全状况进行过初步研究,重点是Solidity编写的智能合约。当时,我们根据公开的合约源代码编写了最常见的10个智能合约安全问题。两年过去了该更新研究并评估智能合约安全性发展的如何了。值得关注的其他问题
尽管有一个安全问题排名很不错,但它往往一些有趣的细节,因为某些细节与排名列表并不完全一致。在深入挖掘10大问题之前,必要阐述一下原始研究中一些值得关注的亮点问题:在2018年,最主要的两个问题是外部合约拒绝服务和重入。但是现在这些问题有所缓解。可以从我们的研究博客中了解更多有关Reentrancy的信息:从安全角度出发审视智能合约。译者注:实际上由于DeFi应用之间的组合应用,又导致了多起严重的重入攻击事件。现在Solidityv0
Filecoin将于3月推出智能合约:2月17日消息,根据Filecoin生态增长负责人“HQHan.eth”的推文,去中心化存储项目Filecoin将于3月推出智能合约,使其成为一个成熟的L1。据悉,FVM可为Filecoin带来智能合约功能。Filecoin官方也转发并确认了这一时间。
Filecoin此前表示将于2023年3月上线FVM。FVM将智能合约与可证明存储相结合,可被用于部署可编程存储原语言、跨链互操作性桥、以数据为中心的去中心化自治组织(DAO)以及Layer2解决方案等。[2023/2/17 12:12:55]
如上例所示,在乘法之前执行的除法,可能会有巨大的舍入误差。5.依赖tx
USDC在智能合约中的供应量占比达4个月高点:金色财经报道,Glassnode数据显示,目前USDC在智能合约中的供应量占比为42.230%,达4个月高点。此前监测到的高点为9月14日的42.222% 。[2022/9/16 7:00:44]
}可以在Solidity的文档中找到TxOrigin攻击的详细说明。简单的说,tx
在上面的示例中,当i的值为0时,下一个值为2^256-1,这使条件始终为true。开发人员应当尽量使用<、>、!=和==进行比较。7.不安全的类型推导
动态 | 智能合约审计安全公司Hosho削减约80%的员工:据Coindesk消息,安全公司Hosho在2018年底的大规模裁员中,该公司的雇员从37人减少到了7人。尽管该公司现在声称,在其17个月的运营中,它审计过的智能合同比世界上任何一家公司都多,但业务却突然放缓。公司联合创始人兼总裁Hartej Sawhney表示,强劲的ICO市场以及大量新的智能合约的消亡是Hosho收缩的主要原因。只要这些公司继续经营,Hosho的业务就很轻松,但目前业务变得越来越难做了。[2019/2/1]
该问题在Solidity十大安全问题排行榜中上升了两位,现在影响到的智能合约比之前多了17%以上。Solidity支持类型推导,但有一些奇怪的表现。例如,字面量0会被推断为byte类型,而不是通常期望的整型。在下面的示例中,i的类型被推断为uint8,因为这时能够存储i的值uint8就足够。但如果elements数组包含256个以上的元素,则下面的代码就会发生溢出:for(vari=0;i<elements
在这个例子中,攻击者可能利用此行为来进行拒绝服务攻击,从而阻止其他用户接收以太币。10.时间戳依赖
在2018年,时间戳依赖问题排名第五,重要的是要记住,智能合约在不同时刻多个节点上运行的。以太坊虚拟机不提供时钟时间,并且通常用于获取时间戳的now变量实际上是矿工可以操纵的环境变量。if(timeHasCome==block
由于矿工可以操纵当前的环境变量,因此只能在不等式>、<、>=和<=中使用其值。如果你的应用需要随机性,可以参考RANDAO合约,该合约基于任何人都可以参与的去中心化自治组织,是所有参与者共同生成的随机数。总结
比较2018年和2020年十大常见问题时,我们可以观察到开发最佳实践的一些进展,尤其是那些影响安全性的实践。看到2018年排名前2位的问题:外部合约拒绝服务和重入,已经不再榜单了,这是一个积极的信号,但仍然需要采取措施来避免这类常见错误。请记住,智能合约在设计上是不可变的,这意味着一旦创建,就无法修补源代码。这对安全性构成了巨大挑战,开发人员应利用可用的安全测试工具来确保在部署之前对源代码进行了充分的测试和审核。Solidity是一种非常新且仍在成熟的编程语言,Solidityv0.6.0引入了一些重大更改,并且预计在以后的版本中还会有更多更改。来源链接:securityboulevard.com
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。