编者按:本文来自登链社区,Odaily星球日报经授权转载。在2018年,我们曾对智能合约安全状况进行过初步研究,重点是Solidity编写的智能合约。当时,我们根据公开的合约源代码编写了最常见的10个智能合约安全问题。两年过去了该更新研究并评估智能合约安全性发展的如何了。值得关注的其他问题
尽管有一个安全问题排名很不错,但它往往一些有趣的细节,因为某些细节与排名列表并不完全一致。在深入挖掘10大问题之前,必要阐述一下原始研究中一些值得关注的亮点问题:在2018年,最主要的两个问题是外部合约拒绝服务和重入。但是现在这些问题有所缓解。可以从我们的研究博客中了解更多有关Reentrancy的信息:从安全角度出发审视智能合约。译者注:实际上由于DeFi应用之间的组合应用,又导致了多起严重的重入攻击事件。现在Solidityv0
OpenSea智能合约已完成升级,迁移将于2月26日截止:2月19日消息,OpenSea 官方在社交媒体上发文表示,其智能合约升级已完成,新的智能合约已经上线,用户迁移智能合约需签署挂单迁移请求,签署此请求不需要 Gas 费,无需重新进行 NFT 审批或初始化钱包。在迁移期间,旧智能合约上的报价将失效。英式拍卖将于合约升级完成后暂时禁用几个小时,新合约生效后,可以再次创建新的定时拍卖。现有智能合约的荷兰式拍卖将于北京时间2月26日3时在迁移期结束时到期。[2022/2/19 10:02:11]
如上例所示,在乘法之前执行的除法,可能会有巨大的舍入误差。5.依赖tx
YAM2.0智能合约已通过PeckShield安全审计:8月19日, 区块链安全公司PeckShield(派盾)正式宣布完成了对YAM2.0智能合约的安全审计。YAM 2.0将对YAM 1.0合约进行系统迁移工作,同时持币用户可以进行1:1的映射,为其挖矿产品的上线做必要准备工作。
PeckShield表示,经过数天的严密安全审计,我们发现YAMv2迁移合约的整体设计清晰,逻辑缜密,代码简练有效。
注:此前,备受关注的YAM1.0曾因一行代码漏洞,致使项目服务搁浅,并造成治理合约中的75万枚yCRV代币被永久锁定,而其项目代币YAM二级市场价格也在数分钟内跌落99%以上。[2020/8/19]
}可以在Solidity的文档中找到TxOrigin攻击的详细说明。简单的说,tx
动态 | 支付初创公司Wyre收购比特币智能合约开发商:Crypto支付初创公司Wyre收购了风险投资支持的比特币智能合约开发公司Hedgy的100%股权。该公司联合创始人兼首席运营官约阿尼斯?贾纳罗斯(Ioannis Giannaros)在接受CoinDesk采访时表示,这笔交易将帮助Wyre拓宽其为crypto初创公司提供的服务范围。Wyre通过使用比特币、ethereum、litecoin等加密货币进行跨境支付来结算交易。[2018/9/7]
在上面的示例中,当i的值为0时,下一个值为2^256-1,这使条件始终为true。开发人员应当尽量使用<、>、!=和==进行比较。7.不安全的类型推导
该问题在Solidity十大安全问题排行榜中上升了两位,现在影响到的智能合约比之前多了17%以上。Solidity支持类型推导,但有一些奇怪的表现。例如,字面量0会被推断为byte类型,而不是通常期望的整型。在下面的示例中,i的类型被推断为uint8,因为这时能够存储i的值uint8就足够。但如果elements数组包含256个以上的元素,则下面的代码就会发生溢出:for(vari=0;i<elements
在这个例子中,攻击者可能利用此行为来进行拒绝服务攻击,从而阻止其他用户接收以太币。10.时间戳依赖
在2018年,时间戳依赖问题排名第五,重要的是要记住,智能合约在不同时刻多个节点上运行的。以太坊虚拟机不提供时钟时间,并且通常用于获取时间戳的now变量实际上是矿工可以操纵的环境变量。if(timeHasCome==block
由于矿工可以操纵当前的环境变量,因此只能在不等式>、<、>=和<=中使用其值。如果你的应用需要随机性,可以参考RANDAO合约,该合约基于任何人都可以参与的去中心化自治组织,是所有参与者共同生成的随机数。总结
比较2018年和2020年十大常见问题时,我们可以观察到开发最佳实践的一些进展,尤其是那些影响安全性的实践。看到2018年排名前2位的问题:外部合约拒绝服务和重入,已经不再榜单了,这是一个积极的信号,但仍然需要采取措施来避免这类常见错误。请记住,智能合约在设计上是不可变的,这意味着一旦创建,就无法修补源代码。这对安全性构成了巨大挑战,开发人员应利用可用的安全测试工具来确保在部署之前对源代码进行了充分的测试和审核。Solidity是一种非常新且仍在成熟的编程语言,Solidityv0.6.0引入了一些重大更改,并且预计在以后的版本中还会有更多更改。来源链接:securityboulevard.com
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。