以太坊智能合约面临的 5 大威胁

关键事实：

• 中心化和代码错误是主要风险。

• 通过代码审查和测试可以减少漏洞。

致力于区块链安全的公司 CertiK 的工程副总裁 David Tarditi 解释了以太坊和其他区块链上智能合约面临的主要威胁。 此外，他在昨天 3 月 15 日举行的以太坊里约 2022 大会上的演讲中，简要介绍了如何预防和应对它们。

去中心化金融 (DeFi) 协议的大幅上涨导致这些平台成为过去两年黑客多次攻击的目标。 正如 Tarditi 在他的演讲中解释的那样，2021 年这些计算机失窃造成了超过 13 亿美元的损失。

在去年最重要的 DeFi 黑客案例中，这位专家列举了 Uranium 发生的事情，损失了 5000 万美元； Compound，10 月份错发奖励为负余额 9000 万美元； bZx 在 11 月因电子邮件网络钓鱼攻击损失了 5500 万美元，并且在 2020 年也遭受了多次攻击。

同样在 2022 年，这些事件继续发生，就像 Qubit、Wormhole 和 Meter.io 协议一样。 自 2020 年年中以来，CriptoNoticias 经常报告这些案例。

关于这个话题，演讲者解释说，他的公司在过去六个月中进行了 1,400 多次智能合约审计，总共产生了 16,400 个问题，其中 5,300 个问题对协议的安全性至关重要。

以太坊智能合约的主要风险

为了深入研究这个问题，David Tarditi 上架了去中心化金融协议可能面临的五个漏洞。 他还讲述了如何提高安全性以减少遭受这些疾病的风险。

1.中心化

到目前为止，这是 Tarditi 及其团队在已审计的智能合约中发现的主要问题。 他们在 1,400 次审计中发现不少于 3,000 次中心化案例。 也就是说，每个合约超过 2 个错误或失败。

参展商解释说，当有一个“所有者”或中心化实体可以随意更改余额、分配代币、提取资金、更新合约或修改其参数以及其他敏感功能时，就会发生以太坊智能合约的中心化。

确切地说，这些合约和 DeFi 的本质，顾名思义就是消除中间人。 换句话说，协议的运行必须自动化并由代码本身管理，开发公司或任何其他人不可能根据自己的方便和标准对其进行修改。 当黑客控制时，这种中心化可能会更加危险。

根据 Tardini 的说法，避免这种情况的一些方法包括从代码中删除该特权角色，通过多重签名钱包或时间锁保护私钥，以及使用去中心化自治组织 (DAO) 进行社区决策。

David Tarditi 在 Ethereum Rio 2022 框架下就智能合约进行了虚拟会议。来源：Twitch Ethereum Rio. 2. 逻辑和正确性问题

智能合约中的逻辑和正确性失败与那些阻止其预期操作的错误有关。 这方面的一个例子是对加密货币质押的奖励计算错误或缺少某些变量的更新。 代码中的编程错误也包括在此处。

在分析的案例中，出现了 1,209 个此类问题。 上面提到的铀和Compound的情节可以在这里取景。 根据 Tarditi 的说法，这是由于“代码中遗漏了一个字符”导致了黑客能够利用的协议故障。

可以做些什么来防止这些故障？ 主要是对设计文档和白皮书非常精确和细致，进行代码审查并开发测试以检测这些可能的问题。

3. 戒断并发症

根据 David Tarditi 的说法，以太坊智能合约的第三个威胁是失败或提款的并发症。 这是一种在所研究的案例中很少发生的漏洞； 仅在 142 个合约中检测到，即几乎​​ 10% 的逻辑和正确性失败。

第三类的一个例子是智能合约中的资金冻结，而用户不可能将其移除。 在准备、测试和更正协议代码时，可以按照上一点的建议进行更正。

广告4.访问控制

访问问题是该专家上架的第四个威胁。 他们在审计期间在 120 份智能合约中检测到了它。

与此列表中的第一点类似，当任何人都可以执行合约的敏感操作时，即使他们不应该执行此操作，也会出现漏洞。 在这种情况下，这不是因为该用户具有特权角色，而是由于代码中的缺陷导致他获得该权力。

同样，这是一个可以从上面已经提到的良好实践中发现的问题。 在这方面，Tarditi 强调，每次对智能合约的代码进行修改时，都必须详尽地重复这些过程。

广告 5. 缺乏限制

最后，智能合约可能会出现缺乏限制的问题。 一个潜在的案例是征收关税； 如果这些没有上限并且太高，则在执行结算或任何其他功能时，合约中锁定的大部分价值可能会丢失。

正如该媒体报道的那样，由于网络拥塞，2021 年以太坊的价格非常高。

根据 Tarditi 的调查，智能合约缺乏限制的问题发生的程度较小，因为检测到了 96 个这种风格的缺陷。

以太坊智能合约，寻求优化

如果有什么东西让以太坊网络脱颖而出，那就是它为使用智能合约等工具提供的安全性和可扩展性。 这是比特币最与众不同的地方，也是它与主要竞争对手的区别，主要竞争对手从未盖过它。

然而，很明显还有一些地方需要改进，David Tarditi 等专家正在努力解决这个问题。 根据对危险的了解和先前建议的应用，可以生成一个更安全的环境，以减轻攻击并促进该网络的采用。