检测了3万多份智能合约,这份白皮书找到了9大智能合约安全漏洞(附下载链接)

栏目: 编程工具 · 发布时间: 5年前

内容简介:以太坊智能合约数量与日俱增,其安全问题也随之暴露。攻击者利用安全漏洞对智能合约进行攻击,导致数字资产发生丢失或被盗取。故加强区块链智能合约的安全性随着以太坊合约的增加逐步进入大众视野,成为了区块链智能合约开发中工作中的一个难题。近日,区块链安全研究中心(由中国信息通信研究院泰尔终端实验室、上海交通大学网络空间安全学院、上海掌御信息科技有限公司共建)、中国区块链应用研究中心等机构联合发布了本白皮书通过检测区块链智能合约安全检测平台内

以太坊智能合约数量与日俱增,其安全问题也随之暴露。攻击者利用安全漏洞对智能合约进行攻击,导致数字资产发生丢失或被盗取。故加强区块链智能合约的安全性随着以太坊合约的增加逐步进入大众视野,成为了区块链智能合约开发中工作中的一个难题。

近日,区块链安全研究中心(由中国信息通信研究院泰尔终端实验室、上海交通大学网络空间安全学院、上海掌御信息科技有限公司共建)、中国区块链应用研究中心等机构联合发布了 《区块链智能合约安全审计白皮书(2018年)》

本白皮书通过检测区块链智能合约安全检测平台内 31276 份智能合约 ,归纳出 9大类智能合约安全漏洞。 从数量上来看,权限控制占比最重,达到了46.97%,远高于其他类型,其他占比较高的安全漏洞有错误使用随机数、逻辑设计缺陷等类型。

以下为内容精选,巴比特经授权发布:

目前,以太坊智能合约的编程语言 solidity 和以太坊智能合约运行的虚拟环境 EVM 的设计还不完善,不排除出现安全漏洞的情况。

如果智能合约开发者稍有疏忽或者测试不充分,就有可能造成智能合约的代码存在漏洞。这对项目安全来说就像一颗隐藏的炸弹,一旦爆炸,后果将不堪设想。目前以太坊智能合约的安全漏洞容易导致用户资产贬值,被冻结,被非法转移等重大问题。

检测了3万多份智能合约,这份白皮书找到了9大智能合约安全漏洞(附下载链接)

本白皮书内 31276 份智能合约为数据样本以 以太坊 ERC20 Token 标准 进行检测,检测技术采用区块链智能合约安全检测平台的快速扫描引擎,检测时间为 2 周。

最终得出智能安全合约在call 安全漏洞、条件竞争漏洞、重入攻击、权限控制漏洞、数值溢出、事务顺序依赖、账户冻结及绕过、逻辑设计缺陷、错误使用随机数等 九大安全漏洞类型 的分布,并对每种类型的漏洞严重等级进行了评级。

检测的智能合约相关数据如下:

·检测智能合约数:31276 ·检测智能合约代码行数:9407593 ·检测智能合约函数数:371655 ·检测智能合约的交易笔数:87608190 ·检测智能合约价值:$1,002,810,870

智能合约安全漏洞及其严重等级定义如下:

检测了3万多份智能合约,这份白皮书找到了9大智能合约安全漏洞(附下载链接)

安全检测结果及分析

根据检测结果, 按照安全漏洞类型智能合约安全漏洞的分布如下:

检测了3万多份智能合约,这份白皮书找到了9大智能合约安全漏洞(附下载链接)

智能合约安全漏洞目前有 9 类,从安全漏洞的数量来看,权限控制占比最重,达到了 46.97%,远高于其他类型。而数据溢出未在本次数据样本中被监测出。

根据检测结果, 按照安全漏洞严重等级智能合约安全漏洞的分布如下:

检测了3万多份智能合约,这份白皮书找到了9大智能合约安全漏洞(附下载链接)

从安全漏洞的严重性看,3 级漏洞占比最重,高达 48.65%,二级漏洞也有 41.82%。

典型分析案例

检测样本合约 中选取了 TopToken 智能合约进行分析,TopToken 智能合约以太坊地址:0x0E6BB94B7f25B96f13E0baf5bC04b8Ba39b897A8。

此智能合约的源代码可在 https://etherscan.io/address/0x0e6bb94b7f25b96f13e0baf5bc04b8ba39b897a8#code 上查看。

通过 BSCSCS 平台的快速扫描引擎,TopToken 的安全漏洞扫描结果如下:

检测了3万多份智能合约,这份白皮书找到了9大智能合约安全漏洞(附下载链接)

根据漏洞分布,我们可以看出 TopToken 安全漏洞主要体现在权限控制、逻辑设计缺陷和错误使用随机数三个方面。 按照漏洞数量排序:错误使用随机数、逻辑设计缺陷和权限控制。 按照漏洞严重等级:L2、L3,其中 L2 安全漏洞数量为 23 个,L3安全漏洞数量为 7 个。

结语

作为智能合约的相关方又该如何避免漏洞的发生呢?

1.开发者应该提高自己的安全意识

现在发现的漏洞中,大多是因为直接使用普通的加减乘除符号,但却没有对可能溢出的情况作判断,这就造成了数据溢出的隐患,而解决方法也很简单,使用安全的运算库 library SafeMath 就可以彻底避免数据溢出的问题。

2.项目方也应建立自己统一的合约编写安全标准,并对照安全标准严格执行,进行逐一检查

在完成智能合约编写后,请专业的智能合约审计公司,对合约代码用形式化验证的方法进行审计,并由审计公司给出审计报告和潜在漏洞的修复建议。

3.数字资产交易平台也应该做好对项目方的审核工作和自身安全防护

对交易平台中的项目,应要求其能提供智能合约安全凭证,避免有漏洞的代币对交易平台的信誉产生不良影响。

2018 年是区块链行业发展的转折年,随着数字资产市场逐渐转冷,区块链项目开始出现明显分化,这些都是行业泡沫逐渐稀释的迹象。人们越来越意识到,除了发币圈钱之外,区块链技术需要更多的应用场景来证明自己的价值。

随着区块链行业日趋发展,应用场景逐渐增多, 区块链智能合约的安全问题也成为了区块链产业的一大重点 。未来,人们在不断提高对区块链的理解和认知的同时,也要对智能合约的安全加以重视,对安全漏洞加以防范。

白皮书下载链接: http://8btc.com/doc-view.html?d=3105

——————————————————

一份白皮书,选取多个维度,建立严格的数据筛选模型,详解数据背后的意义,用数据证明价值,凝聚区块链行业价值标准共识。它就是《鉴识2019·区块链价值白皮书》,白皮书即将在杭州发布,欢迎您现场见证,购票链接: http://www.huodongxing.com/event/4469946085700

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

挑战程序设计竞赛

挑战程序设计竞赛

秋叶拓哉、岩田阳一、北川宜稔 / 巫泽俊、庄俊元、李津羽 / 人民邮电出版社 / 2013-7-1 / CNY 79.00

世界顶级程序设计高手的经验总结 【ACM-ICPC全球总冠军】巫泽俊主译 日本ACM-ICPC参赛者人手一册 本书对程序设计竞赛中的基础算法和经典问题进行了汇总,分为准备篇、初级篇、中级篇与高级篇4章。作者结合自己丰富的参赛经验,对严格筛选的110 多道各类试题进行了由浅入深、由易及难的细致讲解,并介绍了许多实用技巧。每章后附有习题,供读者练习,巩固所学。 本书适合程序设计......一起来看看 《挑战程序设计竞赛》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器