智能合约漏洞或摧毁区块链体系,社区共识可修复多数公链问题
网络安全问题一直颇受大众关注, 区块链 的平台安全也牵动着圈内人的心。
近日EOS被曝出智能合约漏洞问题,让大众对 区块链 安全打上了一个大大的问号。虽然社区共识可以解决公链架构体系问题,但链上运行的智能合约一旦出现问题,也会造成严重损害,甚至摧毁整个体系。
业内人士表示,智能合约安全是 区块链 行业面临的重点问题,需要全行业在底层链安全设计、简化智能合约编写复杂度,以及提供安全的智能合约模板等方面来提供解决方案。
EOS.IO V1将会如期发布
5月29日中午,国内安全软件360安全卫士在其官方微博上发布长文《360发现 区块链 史诗级漏洞 可完全控制虚拟货币交易》。消息传出后,EOS行情一度大幅下跌。
5月29日EOS资金净流出达8.06亿元,流入跌幅为67.97%。此后,BM表示目前已经修复了360发现的EOS高危漏洞。
5月30日,周鸿祎在接受采访时表示,360安全团队在发现漏洞并完成对这个大漏洞的研究测试之后,立刻联系了EOS创始人BM。在他们修复完成之后,才披露的。
“采用这种比较公开的方式,我们也是希望以此呼吁大众,关注 区块链 技术的同时也注意 区块链 安全。”周鸿祎说。
EOS.IO团队也在30日表示:由于软件存在漏洞,有媒体错误地发布了关于EOS.IO可能会延期发布的消息,我们团队已经修复了大部分漏洞并且致力于修复余下的漏洞,
智能合约漏洞问题普遍存在
360团队表示,在 区块链 网络和数字货币体系中,节点、钱包、矿池、交易所、智能合约等都存在很多的攻击面,360安全团队此前已经发现和揭露了多个针对数字货币节点、钱包、矿池和智能合约的严重安全漏洞。
此次360在EOS平台的智能合约虚拟机中发现的一系列新型安全漏洞,是前所未有的安全风险。此前尚未有安全研究人员发现这类问题。
这类型的安全问题不仅仅影响EOS,也可能影响其他类型的 区块链 平台与虚拟货币应用。
中关村 区块链 产业联盟秘书长朱佩江对猎云财经表示,
据了解,这不是业内第一次发生智能合约漏洞事件。就在4月22日,美链BEC智能合约被曝出安全漏洞,同一时间大额BEC被瞬间抛售套现,导致BEC蒸发60亿元,市值大跌近94%,最大蒸发额近120亿元。
据媒体报道,这是BEC安全漏洞被黑客利用所导致的。
利用安全漏洞,黑客可以通过转账的手段生成合约中不存在的、巨量的Token并将其转入正常账户。账户中收到的Token可以正常地转入交易所进行交易,与真的Token无差别。
以太坊The DAO漏洞事件
在2016年6月,由于智能合约存在重大缺陷,当时 区块链 界最大的项目The DAO被攻击。
DAO是以太坊智能合约支持的一个功能。The DAO是通过这种功能技术创建并运行在以太坊上的一个智能合约,融资众筹一度达到1.5亿美元。
虽然以太坊本身通过一系列的 区块链 技术确保了安全,但是在其上创建的智能合约却未必如此。The DAO合约的源码中存在着一个编程漏洞,使得攻击者可以将The DAO资产池中的以太币非法转移给自己。
2016年7月,以太坊官方修改了以太坊的源码,并夺回了被攻击者控制的DAO合约中的币。但是这样却让以太坊发生了分叉,变成了两条链,一条为原始的 区块链 (ETC),一条是分叉出来的新链(ETH)。
以太坊钱包Parity被盗币事件
Parity是一款多重签名钱包,是目前使用最广泛的以太坊钱包之一。2017年7月20日,以太坊Parity多重签名钱包智能合约出现漏洞,有15万以太坊被盗。
2017年11月7日,以太坊Parity钱包再出漏洞。一名开发者“无意中”攻破了一小部分代码。这个“意外”触发的系统缺陷致使钱包崩溃,导致以太币无法转出。有100万以太币被冻结在钱包里,大约价值2.8亿美元。
虽然在事件出现后,官方陆续修复了漏洞。但是,有人不禁会问,
社区力量可修复漏洞问题
据悉,比特币之所以比较安全,是因为比特币的脚本编程较为简单,只支持很有限的如P2PKH、P2SH等操作,所以它安全运行了9年。相对于比特币,以太坊和EOS的编程则复杂很多。
对于此次发生的EOS安全漏洞事件,北京邮电大学 区块链 实验室主任范宏接受猎云财经采访时表示:“EOS这样的智能合约漏洞是可以解决的,关键在于从业人员对终端安全、网络安全、漏洞检测及安全防护的专业性。”
PalletOne架构师曾毅认为,从 区块链 安全来说,以太坊和EOS这些平台有漏洞是很正常的,越是复杂的系统漏洞就越多。
“无论是以太坊还是EOS,都有强大的社区和灵魂人物,他们可以通过线下的共识回滚交易、硬分叉来解决出现的问题。”曾毅说。
对于如何提高 区块链 领域的安全,朱佩江表示,可能需要从几个方面去考虑提高智能合约的安全性。
“互联网损失数据, 区块链 损失资产”
据了解,虽然传统互联网和 区块链 的安全问题都是信息系统的代码问题导致的,但是目前很多 区块链 智能合约安全问题都是一些初级漏洞。
相对的传统信息系统经历了长期的发展和考验,很多常见安全漏洞都会被开发者和系统建设维护者有意识的规避,在某种程度上,这也说明 区块链 还是处于新生阶段。
朱佩江认为,,所有更应该谨慎认真对待。
“幸运的是这次漏洞是EOS主网上线前就发现了,相信EOS以及其他 区块链 的技术团队都会以此为戒加强智能合约安全,本次发现的问题对所有开发人员都是一次警醒。”朱佩江说。
“ 区块链 底层技术目前还都不太完善,各个公链之间的差别其实不是特别大,从经营时间到生态参与的DAPP,生态所覆盖的用户群都还没有太大的差距,”溯源链创始人王鹏飞说。
AD: 6月15日,北京千禧大酒店!猎云网将与您相约“破界·颠覆——猎云网2018年度区块链产业峰会”,共同见证行业嘉宾的思想洞见与最新前沿趋势!