工信部李鸣谈区块链行业的安全现状

小编说:

对区块链来说,发展固然重要,但是安全问题也要解决好!

区块链安全威胁主要有哪些?为什么智能合约的安全问题如此重要,会引起这么多人关注?

智能合约由于比较灵活,任何人都可以创建,所以相对容易出安全问题。

任何用户都能创建一个有共识基础的合约,就好像是每个老百姓都可以基于某部法律写一份合同,这个法律是一种共识机制(平台),这个合同也是有内在的约束条款,使用DAPP就像签订合同,所有行为都要按照这个合同条款执行。因此,智能合约的安全隐患,直接关系到用户的财产损失。

到目前为止,市场上智能合约的三大问题:

1

以整数溢出为代表的安全漏洞

安全漏洞通常是被写代码的人不小心引入的,它可能引起合约某些功能部件失效,最严重的情况,可能导致黑客攻击、用户丢币、甚至黑客凭空造出来很多的币。

比如BEC、SMT、EDU,曾经就因整数溢出安全漏洞,被黑客攻击从而导致币值归零。

2

智能合约权限控制

一般智能合约里会设置一个管理员,管理员一般拥有超级权限,这类合约的安全隐患比较大,因为一旦管理员的私钥被盗用,很容易造成巨大损失。据安比实验室(SECBIT)不完全统计,排名前570名的Token合约中,有342个合约存在只有管理员能调用的功能(Only Owner),不少合约更存在管理员任意铸币、烧币、冻结账户、关停转账等过高权限 。

今年7月10日,加密货币交易平台Bancor称遭到攻击,丢失了当时折算法币金额为1250万美金的以太坊、1000万美金的Bancor 代币和100万美金的Pundix代币。经过我们分析发现,这次Bancor平台被盗事件就是与BancorConverter合约有关,攻击者(黑客/内鬼)通过获取了管理员账户的私钥,借用管理员身份盗走用户的Token,给用户造成巨大损失。

3

规范性问题

现在很多智能合约的实现并没有统一的规范。智能合约是以交互的方式多人协作,如果合约不规范,容易导致不同人对合约的行为产生误解,从而出现大量的安全问题。

比如,今年陆续爆出的“假充值”事件,包括以太坊代币、USDT等,根据一家机构进行的不完全统计显示,市场上的单代币合约有3619 份存在“假充值”漏洞风险,其中不乏知名代币。正常情况下,充值过程中转账不成功,账户将无法充值,账户余额仍然是0。但如果合约存在“假充值”漏洞,在转账不成功的时候,系统并不会显示充值失败(值),交易所就会误判结果为充值成功。如果有黑客发现这一漏洞,就会一直进行“假”充值,之后再把这笔钱提出,给交易所带来直接损失。

转载是一种动力 分享是一种美德

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181130A1EFAN00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券