原文标题:Trust No One: Ethereum Smart Contract Security Is Advancing 原文链接:https://www.coindesk.com/paranoia-rules-ethereum-smart-contract-security-advancing/ 原文作者:Alyssa Hertig
“每个人都可能是被黑客攻击的目标。我们需要保持警惕。”
这是以太坊底层安全专家Martin Swende,在Devcon3论坛上做关于智能合约安全的演讲时所说的。关于这点,他已经见证了以太坊区块链上的各种不同攻击,同时他也希望社区成员能知道现在所存在的问题。
比如DAO攻击,在这次事件中以太坊区块链上几百万美元的资金被盗了,就是由于智能合约的漏洞。有段时间由于不知名的攻击,以太坊转账的时间变慢了,这件事就发生在Swende在以太坊工作的前几天。几个月后,以太坊钱包Parity在被黑客侵入后,损失了3千万美元。而且这还没有提到比特币相关的黑客事件。
研发人员指出,以太坊作为一次技术革命,还有很多的问题需要解决,这也是为什么要在这样的顶尖区块链论坛,第二天就需要和代码开发者还有学术专家一起着重强调工具安全的重要性,这样做有助于智能合约在安全方面有很大的进步。尽管现在有很多的代码攻击,研发人员对于智能合约安全问题仍然保持乐观态度。
RSK实验室的首席科学家和区块链安全顾问Sergio Demian Lerner告诉CoinDesk说:“在安全方面,整个以太坊生态系统正在日趋成熟。”
正确的工具
以太坊有不同的部分都需要安全认证,但是在Devcon会议的第二天就将重点放在智能合约上,因为大多数情况下智能合约的漏洞是资金失窃的根源。
ManuelAráoz,区块链安全公司Zeppelin的首席技术官,把2016年称为是以太坊安全的 “黑暗岁月” ,和所有人一样,他发现以太坊的安全问题需要得到重视。
如果以太坊区块链上存在重大漏洞,那么就肯定需要立即“升级”智能合约。和传统的软件代码不同,如果在智能合约代码中发现漏洞,而且在攥写代码的时候没有考虑到安全防护措施,那么对于开发者来说是不可能在出现问题后立即更新代码的。
针对此情况,Aroz和他在Zeppelin的团队在开发一个工具,并启动一项新的OS项目,来使得即使更改正在运行的区块链代码变得更加方便。
“如果区块链中存在代码缺陷或者需要升级程序,我们可以使用这项工具,其有利于解决代码书写中遇到的问题。”
如果这还没有完全解决代码漏洞,该项目还会提供一个新的工具。这些方案很受以太坊系统开发者的认可,因为它们很大程度上提高了以太坊的安全性。
Securify项目被称为“一键式安全审查工具”,给开发人员提供了一个简易的界面来写入智能合约代码,同时检查其中的漏洞。在这个会议上,苏黎世联邦理工大学软件可靠性实验室研究员Quentin Hibon说Securify是以太坊强大的安全保障。就像Lerner所说,所有事情的发展都保持在正确的方向上。
以太坊虚拟设备的安全性上已经被大大提升了,现在已经增添了正规的验证方法,并且使用数学验证来检测智能合约是否能正常工作。以太坊主要的智能合约语言,Solidity已经非常成熟了,所以现在很多的错误在Solidity上就被纠正了。
人无远虑,必有近忧
这并不是说以后智能合约就没有问题存在了。几乎在每个以太坊安全会议上,都在强烈呼吁大家要做行动派,全球第二大市值的数字货币以太坊正在面临这一系列的问题。
RSK实验室的Lerner,就提到他在业余时间有参加ICO智能合约的工作,发现了很多明显的错误。事实上现在的代币项目方很需要安全专家来审查他们的智能合约代码是否足够安全。一些大学的研究人员正在尝试一项激励活动,鼓励黑客像项目方汇报漏洞而不是为自己谋利。
Hydra拟出了大致的代码漏洞奖励模式:给黑客提供的奖励高于去入侵客户所获得的受益。但是很多这样的项目还处在初期阶段,以太坊和其他的加密货币,现在仍然是黑客的天堂。“黑客的观念也在逐渐改变。僵尸网络和拒绝服务攻击是黑客主要的受益来源,但是这个变得越来越难能完成。”
区块链开发者还面临很多新的风险,需要时刻做好准备。最重要的就是有警觉心,不要相信任何人。