今天旺老師要跟大家分享的是近期炒得沸沸揚揚的黑客攻擊智能合約漏洞事件,如果投資數字貨幣不幸踩中這個雷,損失可就大了。
早在2016年以太坊的the DAO事件造成投資者損失6000萬美元以太幣,V神不得不用硬分叉來解決;今年4月22日的黑客攻擊BEC(美鏈的代幣“美蜜”)智能合約漏洞,直接導致幣價趨近歸零,市值蒸發超過64億人民幣;僅三天後,另一個智能合約SmartMesh(SMT)曝出漏洞,各交易所直接暫停SMT的充提幣和交易。
無論是the DAO事件還是BEC智能合約漏洞,都給投資者帶來了慘痛的損失。出現異常的4月22日,BEC當天最高價為2.27元,最低價0.137元,價格最高浮動率達94%。如果你手中持有10萬元的BEC,由於黑客攻擊這一事件,最終可能不到6000元。
不僅以太坊上智能合約漏洞問題頻發,主網還沒上線的EOS也未能倖免。近期,鏈安科技指出EOS體系中存在智能合約漏洞。隨後,BM發文回懟,他認為這完全是一個不負責任的報告,鏈安科技所呈現的問題不是一個安全漏洞,而是一個槽糕代碼實踐的結果。智能合約平臺並不能阻止開發人員犯的錯誤。
其實,BM說的挺對,智能合約漏洞這鍋不應該由平臺來背,細數以太坊智能合約漏洞均是程序員編寫的代碼出現BUG給黑客帶來了攻擊的可能性。
然而,程序員寫代碼出現BUG是個不可避免的問題,人總有出錯的時候。紅岸科技和國防科技大學的Ulord區塊鏈項目研究團隊對市面上的區塊鏈智能合約進行了審計,他們的研究發現:對所有的程序員來說,寫一個沒有bug的代碼實在是太難了,即使採取了所有可能的預防措施,在複雜的軟件中也總會出現沒有預料到的執行路徑或可能的漏洞。
傳統證券交易所的計算機軟件肯定也有BUG,卻很少出現被攻擊的情況。原因在於,證券交易所繫統非常封閉,黑客幾乎無法知道代碼的漏洞,攻擊也就無從說起。
區塊鏈平臺卻不一樣,代碼都是公開透明的,黑客想要獲取代碼並知道漏洞非常容易。這次的BEC和SMT事件就是個典型的例子。兩者都是因為程序員在寫代碼時,忘記使用safeMath方法(這一方法可以避免整數溢出漏洞),直接使用普通的加減乘除符號,同時缺少溢出判斷,造成數據溢出的隱患。黑客獲取代碼後,利用這一漏洞,通過轉賬的手段生成合約中不存在的代幣,並將這些無中生有的數字貨幣轉入正常賬戶。這些憑空產生的代幣在使用上與真實代幣沒有差別。
以太坊的智能合約漏洞並非僅有上面幾例,PeckShield團隊利用自動化系統掃遍了以太坊上諸多智能合約並對它們進行分析。結果發現,有超過12個ERC-20智能合約都存在BatchOverFlow(整數溢出漏洞)安全隱患。
智能合約漏洞的存在是個大概率事件,在倫敦大學學院(University College London,UCL)計算機科學系副教授伊利亞·謝爾蓋最新的研究論文《Finding The Greedy , Prodigal , and Suicidal Contractsat Scale》中,通過對將近 100 萬份智能合約進行每份合約 10 秒分析時間的分析後發現,這其中有 34200 份智能合約很容易受到黑客攻擊。同時他們又對 3759 份智能合約抽樣調查,在這之中,3686 份智能合約有 89% 的概率含有漏洞。真可謂生命不息,智能合約漏洞不止。
作為加密貨幣交易者,我們當然更關心如何避開這些存在智能合約漏洞的代幣了。由於智能合約代碼都是開源的,在以太坊上搭建智能合約程序員只需要copy代碼,隨意修修改改,就可以形成一份新的智能合約。市面上想圈錢的項目方手段均是如此,通過簡單的COPY和修改代碼來進行ICO,這樣被黑客攻擊的風險顯然是很大的。
作為一個不懂代碼的投資者,要避開這樣的坑並非是件容易的事情。但是有幾點我們卻是可以把握的。一方面,儘量避開山寨幣,選擇主流幣交易;另一方面,在投資之前可以上GITHUB網站查詢項目團隊的代碼提交頻率和代碼審計情況。
此外,在交易所選擇上可以選擇對項目代碼進行審計的交易所來規避風險。幣安最近就宣佈了已經僱傭代碼審計公司Quantstamp來對平臺上基於以太坊ECR-20發行的代幣進行審計,確保平臺上的代幣不存在ECR20智能合約漏洞,這一動作完全領先於其他交易所。
最後,旺老師也希望更多的項目方和交易所來對項目代碼進行嚴格審計,降低智能合約漏洞被黑客攻擊的風險,只有這樣,項目方、交易所和投資者三方才能實現共贏。
閱讀更多 區塊鏈小教室 的文章
