目前�,區(qū)塊鏈項目被認為是傳銷、詐騙的居多���,因為我們看不到具體落地的場景與應(yīng)用���。
許多發(fā)行虛擬貨幣的項目方,沒有白皮書�、項目團隊,只靠一張嘴說�,自己用了區(qū)塊鏈技術(shù),就可以融資千萬����、甚至上億。
而且��,許多項目方在海外�����,而非在國內(nèi)進行代幣發(fā)行和交易所交易(國內(nèi)監(jiān)管政策也不允許上述行為)。
眾多投資者在投資過程當中���,只能盲目地跟從市場變化與一些市場傳聞����,捕風(fēng)捉影地去甄別區(qū)塊鏈項目的真假�����。
項目人員見不到����,開發(fā)地?zé)o從查找,僅僅存在于虛擬世界與網(wǎng)絡(luò)空間的區(qū)塊鏈項目到底是真是假���,我們該何以自處�。
那么���,我們就拿這些項目方?jīng)]有辦法了嗎���?
任憑他說自己用了區(qū)塊鏈技術(shù)我們就相信嗎����?
一個項目到底有沒有用區(qū)塊鏈技術(shù)��?
一個項目是否必須要使用區(qū)塊鏈技術(shù)才能實現(xiàn)��?
一個項目是否使用了完美的智能合約代碼��?
我們靠什么判斷��。
一�、區(qū)塊鏈代碼審計可以解決哪些問題:讓黑客無孔可入
隨著BTC��、ETH�����、EOS等區(qū)塊鏈項目的迅速發(fā)展����,區(qū)塊鏈項目已經(jīng)進入了智能合約時代,但是智能合約自身的正確性和安全性卻面臨著巨大的問題���。
也就是說任何一個項目在使用區(qū)塊鏈時都有可能走向歧途���,不能完全保證代碼的準確性�����。
就像每個人在電腦打字時都會打錯字一樣��,程序員在輸入代碼時也會存在筆誤和錯漏��。
而區(qū)塊鏈中的基礎(chǔ):智能合約代碼的開源性需要代碼的高可靠性����,這種可靠性要求100%的正確。
差之毫厘�,謬以千里。
用專業(yè)的術(shù)語來說:
類似比特幣這樣的代碼全部公開�����,用智能合約代碼存儲在區(qū)塊鏈上����,與交易數(shù)據(jù)一樣受到區(qū)塊鏈的加密保護,要想修改智能合約代碼需要掌握51%的算力,因此��,智能合約代碼的防篡改性得到大大提升����。
智能合約受到區(qū)塊鏈本身保護,所以智能合約代碼可以最大限度的開源和讓人閱讀�。
智能合約解決了可以公開代碼并保障其安全的問題����,但是代碼的公開性使得黑客容易掌握代碼的缺陷�����,進一步利用代碼缺陷觸發(fā)條件改變智能合約執(zhí)行結(jié)果����,使得區(qū)塊鏈項目存在巨大的經(jīng)濟隱患���。
就像��,我們在銀行里轉(zhuǎn)賬�����,每一個賬戶的信息都是對的���,轉(zhuǎn)賬才能夠是正確的��,你的財產(chǎn)才可以安全被保護,所以:區(qū)塊鏈代碼中一個字都不能錯�����。
二����、區(qū)塊鏈代碼錯誤導(dǎo)致的嚴重后果
區(qū)塊鏈中的智能合約代碼質(zhì)量不好造成了許多嚴重的后果����。
目前來看���,許多交易所和代幣項目在上交易所之前沒有經(jīng)過區(qū)塊鏈代碼審計��,造成了許多虛擬貨幣被盜竊的黑客事件�����。
(一)SMT項目方與美國BEC代幣的安全漏洞
2018年4月25日凌晨��,SmartMesh(SMT)項目方反饋發(fā)現(xiàn)其交易存在異常問題�,經(jīng)初步排查��,SMT的以太坊智能合約存在漏洞。受此影響�,火幣Pro目前暫停所有幣種的充提幣業(yè)務(wù)���。
另據(jù)媒體報道���,發(fā)現(xiàn)SMT與美圖BEC代幣存類似的安全漏洞,即可通過溢出攻擊可以收到大量的代幣�����。
(二)美圖BEC的異常交易漏洞
2018年4月22日����,美圖BEC出現(xiàn)異常交易,據(jù)分析�����,BEC智能合約中的batchTransfer批量轉(zhuǎn)賬函數(shù)存在漏洞��,攻擊者可傳入很大的value數(shù)值�,使cnt * value后超過unit256的最大值使其溢出導(dǎo)致amount變?yōu)?。
(三)Parity多簽名錢包漏洞
2017年7月����,Parity多簽名錢包由于其智能合約代碼中存在漏洞,被黑客盜取時價超過3000萬美金的ETH��。
(四)黑客盜幣漏洞
2016年6月由于智能合約的一個錯誤��,黑客從DAO偷走了價值5500萬美元的ETH���。
代碼的安全缺陷倒逼智能合約的代碼自動審計
三���、區(qū)塊鏈代碼審計成就完美合約
區(qū)塊鏈智能合約通過代碼建立一套“法律合同”,軟件工程師創(chuàng)造一個完全無誤差的代碼是不可能的���,程序員總存在疏忽的地方��。紅岸科技和國防科技大學(xué)的Ulord區(qū)塊鏈項目研究團隊對市面上的區(qū)塊鏈智能合約進行了審計����,他們的研究發(fā)現(xiàn):
對所有的程序員來說,寫一個沒有bug的代碼實在是太難了��,即使采取了所有可能的預(yù)防措施�����,在復(fù)雜的軟件中也總會出現(xiàn)沒有預(yù)料到的執(zhí)行路徑或可能的漏洞���。
這是為什么要代碼審計最重要的原因之一�。
區(qū)塊鏈中的?“法律合同”是一項受解釋和仲裁的約束�����,程序員很難去創(chuàng)造一個縝密的合約�����。
在任意一個大的合約里��,可能出現(xiàn)的文稿錯誤以及一些條款需要解釋和仲裁��。
同時��,軟件工程師不是法律專家�����,反之亦然��。起草一份好的合約需要各種各樣的技能��,不一定與編寫的計算機程序兼容�。
因此,智能合約代碼在一定程度上都可能存在安全隱患�����。傳統(tǒng)的智能合約代碼審計主要利用人工,依靠code reviewer閱讀智能合約代碼�。人工代碼審計最終還是依賴人的經(jīng)驗,代碼審計效果不明顯�,針對目前ETH大量代幣的智能合約,人工審計工作量大�,難以高效的完成工作。
在區(qū)塊鏈領(lǐng)域從事代碼審計業(yè)務(wù)的項目公司較少�,目前每個代幣在上交易所之前,其區(qū)塊鏈智能合約代碼由交易所進行審察和判定��,但交易所有時并不能完全有效地判斷合約是否完美�。
智能化代碼審計,利用計算機進行穩(wěn)健性檢驗是當前代碼審計最重要的方式�,掌握該項技術(shù)標準的國內(nèi)公司并不多。
但�,區(qū)塊鏈代碼審計的重要性不言而喻,區(qū)塊鏈世界本身是相當安全的�,但是由于人為撰寫代碼的問題,不可能完美���,必須加強代碼有效性的識別����。
