以太坊、EOS频爆漏洞，区块链安全如何解决？

区块链头条

快讯·交易动态·行业观察

编辑：Lynne

摘要

5月29日，360公布了其发现EOSIO严重漏洞的消息。此新闻及后续一系列相关跟进事件迅速成为区块链领域内的舆论热点。

随着越来越多的声音与内容出现，各界对此次事件也逐渐有了更为清晰的认识。

从本次漏洞结合近期以太坊ERC20漏洞等安全事件，我们应更加认识到：区块链安全生态不仅仅需要项目团队、开发人员，更需要多方的通力合作。

以太坊、EOS频爆漏洞

近几个月以来，市场上的公有链项目和虚拟币集中爆发出了一批漏洞，最严重的BEC被直接“归零”，其他遭受严重损失的项目还包括SMT等其他一大批沿用ERC20体系的项目。

实际上，在该漏洞被曝光之后，业界还发现了以太坊上多达十几个其他合约也使用了transferProxy这个引起BatchOverFlow 漏洞的函数，该漏洞让攻击者可以通过数据溢出的手段，根据需要创建天量代币，从而将整个代币系统击溃。这次攻击发生在上个月，而就在上周，EDU和BAI也遭遇了黑客攻击。

这已经不是以太坊智能合约第一次出问题了，2016年，the DAO事件中，黑客利用the DAO智能合约中的漏洞，大规模盗取原the DAO智能合约中的以太币，对以太坊造成了巨大的打击。

这几次攻击事件让整个以太坊和ERC20体系遭遇了前所未有的重大打击。由于所有的漏洞都集中在智能合约上，智能合约又是区块链技术能否进入商业应用（或被称为区块链3.0）阶段的关键，以太坊和ERC20币价也在几天内呈现出下跌的趋势。

某位区块链圈中的安全大佬认为，此次 EOS 的漏洞只是刚刚开始，还是站在开源代码的基础上的，所以安全同行能发现各种问题，提前修补，EOS 官方的态度也比较正确。但目前依然有很多藏着掖着不开源的同行，安全问题其实一点没少。

技术分析

智能合约频频出现问题的原因很多，有业内人士总结，主要可以归结为几点：

首先，智能合约是不可逆的，这意味着一旦智能合约被部署，基金会就无法升级或修改它们。因此在部署和使用智能合约之前，需要保证一切都不会出错。

其次，智能合约是可公开访问的，存储在智能合约里的内容对任何人可见，而且每个人都可以调用智能合约里的方法，这也让智能合约成为了区块链鸡蛋上的缝。

另外，只有上帝写的代码才没有bug。无论多么小心谨慎，让智能合约真正无懈可击几乎是不可能的。

构建区块链安全生态

从本次漏洞结合近期以太坊ERC20漏洞等安全事件，我们应更加认识到：区块链安全生态不仅仅需要项目团队、开发人员，更需要多方的通力合作。火币研究院团队提出从项目团队内控、项目生态激励和投资者自我防范这三个方面去探讨区块链安全生态的建设。

1. 完善代码安全审查机制

回顾ERC20漏洞事件和EOSIO的缓冲区溢出事件，他们完全都可以通过有效的代码安全审查机制来避免。以ERC20漏洞为例，经过核查，使用ERC20协议的项目竟然有20余个都存在类似的问题。

瞬息万变的币圈确实发展的太快，每一个人都是飞奔着前进，都赶着写白皮书、赶着募资、赶着上项目，自然而然就很少有人沉下心来好好做测试，好好做安全审查，导致漏洞频出、安全事件频发。

区块链作为一个分布式的去中心化系统，代码一旦部署将很难更新，需通过硬分叉或者软分叉来对代码进行升级，成本不可谓不高。THE DAO事件则直接将以太坊分裂成为ETH和ETC，是对以太坊生态的重大破坏。所以在项目发布之前，充足的测试和代码审核变得十分关键和必要。比如多人代码审核、内部测评小组、外部专家评测等。

多人代码审核

由于一个人的能力和认知总是有限的，所以对于同一段代码，不同的人将会发现不同的问题，多人代码审核机制能使得代码的BUG率和漏洞率大大降低。这种方式也是软件行业降低错误率最为通用和有效的方式之一。

内部测评小组

项目组建立内部安全测评小组，梳理业界常见的安全问题清单，并逐一对发布的项目进行安全审计，通过简单的梳理和测评便能将常见的基本漏洞一扫而空，大大增加了系统的可靠性。

外部专家评测

对于某些新型的，特殊性的漏洞，项目组可以借助于例如第三方评测机构等外部安全专家的帮助进行梳理和测评，争取在项目发布前将安全隐患降到最低程度。

2. 发展白帽黑客激励机制

世界无非两极，一阴一阳、一黑一白、一正一邪，有黑客肆意破坏，就有白帽黑客维护世界正义。

随着各类数字资产的市值越来越高，黑客们从中套取的收益也越来越客观，相比之下，白帽黑客们却穷酸的多。这种巨大的收入差导致越来越多人加入的黑客的阵营，而白帽黑客们则为数稀少。通过激励白帽黑客来抑制或者是平衡黑客越来越肆无忌惮的破坏行为或许将成为一种有效的手段。

那么如何激励白帽黑客们为平台做出贡献呢？可以从两方面入手，一是物质激励，二是精神激励。

物质激励

对于发行通证的公链来说，最实在的物质激励自然就是通证。它既是区块链平台的价值载体，也是平台生态治理的重要手段。比如COSMOS，为了鼓励发现并及时报告缺陷，Cosmos Hub允许黑客通过ReportHackTx 交易来“邀功”，主要就是说明，“这个节点已被攻击，请将奖金发到这个地址”。黑客可以收到击中资产的5%作为赏金。

除此之外我们也可以通过设立黑客奖金池、黑客基金或者项目特别顾问等方式来激励白帽黑客主动挖掘漏洞，帮助平台持久安全地运行。

精神激励

除了物质奖励，对于Hacker这一非常另类、有性格的群体来说，精神上的激励或许是更持久有效的方式。对于每一个为平台或者项目作出贡献的黑客来说，项目组、基金会或者社区都应将给与其相应的荣誉奖励。可以是排行榜、贡献值亦或是某种稀缺头衔等等，使其不仅能被社区其它成员知晓，更能明显区别于普通会员，增强其在社区的存在感、参与感和荣誉感。更可考虑用较为“极客”的方式进行精神激励，例如将白帽黑客对平台、社区的贡献记录在区块链上，形成更有针对性的生态系统良性循环。

祝大朋友小朋友

儿童节快乐！