智能合约漏洞频发，大牛教你如何应对？

从The DAO，BEC，SocialChain，Hexagon，再到EOS漏洞，“智能合约”已经成为区块链安全的重灾区。

面对日益突出的区块链安全问题，及以太坊智能合约漏洞不断增多的现状，i春秋通过一期公开课《深入理解智能合约漏洞》，深度解析智能合约漏洞的几种形式，智能合约安全性问题，及应对措施。

感兴趣的小伙伴，识别二维码立即看课

PS：Web端看课体验更佳，看课地址：

https://www.ichunqiu.com/open/63177

讲师介绍

蒋劭捷，ID：Sherlock，360Aegis Team安全研究员，研究方向区块链安全、Web安全、攻击检测，为EOS超级节点提供安全解决方案，区块链安全态势感知项目负责人；

王伟波，ID：maldiohead，360Aegis Team安全研究，专注APT分析、追溯、漏洞挖掘等系统底层安全，曾发现数个Windows漏洞，曾在Freebuf2017安全大会做主题演讲，对区块链安全有深入的研究。

本期重点

1、智能合约概述；

2、智能合约漏洞分析；

3、如何应对智能合约安全问题。

问

什么是智能合约？

智能合约是一种旨在以信息化方式传播、验证或执行合同的计算机协议。

智能合约可以提供没有第三方情况下进行可信交易的环境，并且这些交易可追踪且不可逆转。

智能合约程序不只是一个可以自动执行的计算机程序，它自己就是一个系统参与者，它对接收到的信息进行回应，可以接收和存储信息，也可以向外发送信息。这个程序就像一个可以被信任的人，可以临时保管资产，按照事先的规则执行操作。

常见漏洞形式

1、整数溢出漏洞；

2、可重入漏洞；

3、权限控制不严；

4、伪随机数问题；

5、组合利用底层安全缺陷。

应对措施

在一些联盟链中，智能合约的设计是可以在部署之后更新的，当然这种更新需要一定的线下协商流程。要应对区块链智能合约的安全漏洞问题，需要普遍考虑设计相应的智能合约协商更新机制，降低漏洞修复成本。

但现在，我们需要面对现实，做出几乎唯一可行的、切实有效的努力——在智能合约上线之前，对其进行全面深入的代码安全审计，尽可能的消除漏洞，降低安全风险。

以下列举一些常见的区块链智能合约的漏洞类型及其可能造成的风险，这些漏洞在智能合约上线之前，都应该进行详细的排查。

1. 整数溢出

• 智能合约中危险的数值操作

• 可能导致合约失效、无限发币等风险

2. 越权访问

• 智能合约中对访问控制处理不当

• 可能导致越权发币风险

3. 信息泄露

• 硬编码地址等

• 可能导致重要信息的泄露

4. 逻辑错误

• 代理转账函数缺失必要校验

• 可能导致基于重入漏洞的恶意转账等风险

5. 拒绝服务

• 循环语句、递归函数、外部合约调用等处理不当

• 可能导致无限循环、递归栈耗尽等拒绝服务风险

6. 函数误用

• 伪随机函数调用和接口函数实现问题

• 可能导致可预测随机数、接口函数返回异常等风险

总结

漏洞永远都会存在，区块链行业也可能会出现更多的安全问题，之前传统互联网领域里面遇到的安全问题，区块链行业也会遇到。

区块链行业要能够与网络安全行业做到协同开放，才能使行业更加健康、稳定、安全的发展。

End

— 往期回顾 —

技术交流会

▶ 敏感文件泄露漏洞挖掘

▶ 渗透测试：情报收集

▶ 代码审计实操

▶ SSRF漏洞防御措施

▶ 浅析勒索病毒

▶ JAVA反序列化学习

▶ 回首白帽老兵十年网安之路

▶ 通读Linux提权原理和手法

▶ 浅析红队基础设施

▶ Windows域渗透之Kerberos委派

安全小科普

▶XXE漏洞知识

▶cookie是什么

▶浅析威胁情报

▶浅析僵尸网络

▶信用卡安全

▶大数据的前世今生

▶大牛教你做好应急响应

▶免费的陷阱：警惕公共Wi-Fi

▶无线键盘有漏洞

▶0day危机，隐藏的攻防战

▶加密算法解析

▶DNS解析

▶ 红队建设之道

▶ 手机锁屏密码安全

▶ 中间人攻击

▶ 十分钟看懂隐写术

▶ 信息泄露问题

▶ 狡猾的漏洞利用

▶ RFID工作原理分析

▶ 披露世界顶级黑客的内心独白

▶ 一分钟看穿网络钓鱼

DC GROUP精品沙龙系列

▶ VPN设备的矛与盾

▶ CAN总线安全

▶ Windows 密码攻防

▶ 基于攻击链的威胁，工控安全如何防护

▶ 初窥IoT安全 浅析常规漏洞

力荐丨渗透测试就业班

i春秋官方公众号为大家提供

前沿的网络安全技术

简单易懂的实用工具

紧张刺激的安全竞赛

还有网络安全大讲堂

更多技能等你来解锁

本文始发于微信公众号（i春秋）：智能合约漏洞频发，大牛教你如何应对？