“每個(gè)人都可能是被黑客攻擊的目標(biāo)。我們需要保持警惕?！?/p>

這是以太坊底層安全專家Martin Swende，在Devcon3論壇上做關(guān)于智能合約安全的演講時(shí)所說的。關(guān)于這點(diǎn)，他已經(jīng)見證了以太坊區(qū)塊鏈上的各種不同攻擊，同時(shí)他也希望社區(qū)成員能知道現(xiàn)在所存在的問題。

比如DAO攻擊，在這次事件中以太坊區(qū)塊鏈上幾百萬美元的資金被盜了，就是由于智能合約的漏洞。有段時(shí)間由于不知名的攻擊，以太坊轉(zhuǎn)賬的時(shí)間變慢了，這件事就發(fā)生在Swende在以太坊工作的前幾天。幾個(gè)月后，以太坊錢包Parity在被黑客侵入后，損失了3千萬美元。而且這還沒有提到比特幣相關(guān)的黑客事件。

研發(fā)人員指出，以太坊作為一次技術(shù)革命，還有很多的問題需要解決，這也是為什么要在這樣的頂尖區(qū)塊鏈論壇，第二天就需要和代碼開發(fā)者還有學(xué)術(shù)專家一起著重強(qiáng)調(diào)工具安全的重要性，這樣做有助于智能合約在安全方面有很大的進(jìn)步。盡管現(xiàn)在有很多的代碼攻擊，研發(fā)人員對(duì)于智能合約安全問題仍然保持樂觀態(tài)度。

RSK實(shí)驗(yàn)室的首席科學(xué)家和區(qū)塊鏈安全顧問Sergio Demian Lerner告訴CoinDesk說：“在安全方面，整個(gè)以太坊生態(tài)系統(tǒng)正在日趨成熟?！?/p> 正確的工具

以太坊有不同的部分都需要安全認(rèn)證，但是在Devcon會(huì)議的第二天就將重點(diǎn)放在智能合約上，因?yàn)榇蠖鄶?shù)情況下智能合約的漏洞是資金失竊的根源。

ManuelAráoz，區(qū)塊鏈安全公司Zeppelin的首席技術(shù)官，把2016年稱為是以太坊安全的 “黑暗歲月” ，和所有人一樣，他發(fā)現(xiàn)以太坊的安全問題需要得到重視。

如果以太坊區(qū)塊鏈上存在重大漏洞，那么就肯定需要立即“升級(jí)”智能合約。和傳統(tǒng)的軟件代碼不同，如果在智能合約代碼中發(fā)現(xiàn)漏洞，而且在攥寫代碼的時(shí)候沒有考慮到安全防護(hù)措施，那么對(duì)于開發(fā)者來說是不可能在出現(xiàn)問題后立即更新代碼的。

針對(duì)此情況，Aroz和他在Zeppelin的團(tuán)隊(duì)在開發(fā)一個(gè)工具，并啟動(dòng)一項(xiàng)新的OS項(xiàng)目，來使得即使更改正在運(yùn)行的區(qū)塊鏈代碼變得更加方便。

“如果區(qū)塊鏈中存在代碼缺陷或者需要升級(jí)程序，我們可以使用這項(xiàng)工具，其有利于解決代碼書寫中遇到的問題?！?/p>

如果這還沒有完全解決代碼漏洞，該項(xiàng)目還會(huì)提供一個(gè)新的工具。這些方案很受以太坊系統(tǒng)開發(fā)者的認(rèn)可，因?yàn)樗鼈兒艽蟪潭壬咸岣吡艘蕴坏陌踩浴?/p>

Securify項(xiàng)目被稱為“一鍵式安全審查工具”，給開發(fā)人員提供了一個(gè)簡易的界面來寫入智能合約代碼，同時(shí)檢查其中的漏洞。在這個(gè)會(huì)議上，蘇黎世聯(lián)邦理工大學(xué)軟件可靠性實(shí)驗(yàn)室研究員QuenTIn Hibon說Securify是以太坊強(qiáng)大的安全保障。就像Lerner所說，所有事情的發(fā)展都保持在正確的方向上。

以太坊虛擬設(shè)備的安全性上已經(jīng)被大大提升了，現(xiàn)在已經(jīng)增添了正規(guī)的驗(yàn)證方法，并且使用數(shù)學(xué)驗(yàn)證來檢測智能合約是否能正常工作。以太坊主要的智能合約語言，Solidity已經(jīng)非常成熟了，所以現(xiàn)在很多的錯(cuò)誤在Solidity上就被糾正了。

這并不是說以后智能合約就沒有問題存在了。幾乎在每個(gè)以太坊安全會(huì)議上，都在強(qiáng)烈呼吁大家要做行動(dòng)派，全球第二大市值的數(shù)字貨幣以太坊正在面臨這一系列的問題。

RSK實(shí)驗(yàn)室的Lerner，就提到他在業(yè)余時(shí)間有參加ICO智能合約的工作，發(fā)現(xiàn)了很多明顯的錯(cuò)誤。事實(shí)上現(xiàn)在的代幣項(xiàng)目方很需要安全專家來審查他們的智能合約代碼是否足夠安全。一些大學(xué)的研究人員正在嘗試一項(xiàng)激勵(lì)活動(dòng)，鼓勵(lì)黑客像項(xiàng)目方匯報(bào)漏洞而不是為自己謀利。

Hydra擬出了大致的代碼漏洞獎(jiǎng)勵(lì)模式：給黑客提供的獎(jiǎng)勵(lì)高于去入侵客戶所獲得的受益。但是很多這樣的項(xiàng)目還處在初期階段，以太坊和其他的加密貨幣，現(xiàn)在仍然是黑客的天堂?！昂诳偷挠^念也在逐漸改變。僵尸網(wǎng)絡(luò)和拒絕服務(wù)攻擊是黑客主要的受益來源，但是這個(gè)變得越來越難能完成?！?/p>

區(qū)塊鏈開發(fā)者還面臨很多新的風(fēng)險(xiǎn)，需要時(shí)刻做好準(zhǔn)備。最重要的就是有警覺心，不要相信任何人。