3%的以太坊智能合约遭爆有漏洞,曝以太币被盗、删除合约风险

安全研究人员运用分析工具Maian分析基于以太坊的近100万个智能合约,发现有34,200个合约含有安全漏洞,予黑客可趁之机,可窃取以太币或是冻结资产、删除合约。

来自英国与新加坡多所大学的6名研究人员在上个月发布一研究论文,以他们所建造的Maian分析工具,在基于以太坊(Ethereum)的近100万个智能合约(Smart Contract)上,发现有34,200个含有安全漏洞,将允许黑客窃取以太币(Ether)、冻结资产或删除合约。

智能合约是在区块链上运行的程序,它们将程序与状态存放于分类帐上,可发送与接收加密货币,最热门的应用之一为代币管理(token management),迄今已有超过100万个智能合约在以太坊网络上运行,且数量仍持续增长中。

然而,报告指出,智能合约也带来许多安全上的挑战,其一为在部署后便无法升级与修补,其次是它们在相对新颖的环境上运行,也采用新的语言,因而也相对较难测试,其三则是区块链上的代币通常具有重要价值,因而容易引来黑客的觊觎。

Maian总计分析了以太坊区块链上的97万个智能合约,当中有34,200个合约含有安全漏洞,涉及价值数百万美元的以太币。研究人员将漏洞分为3种形式,包括允许黑客窃取以太币、冻结合约资产,或是让任何人都能删除合约,在这些智能合约中,含有可冻结资产漏洞的就占了91%。

研究人员强调,Maian也找到了Parity加密货币钱包中的以太币遭到冻结的漏洞,先前并无任何工具可发现该漏洞。去年11月,一名代号为Devops199的开发人员通过一个漏洞冻结了Parity中价值近3亿美元的以太币。

值得注意的是,Maian识别各种漏洞的准确度不一,例如它识别可窃取加密货币漏洞的准确度(True Positives)为97%,识别可删除合约之漏洞的准确度为99%,识别可冻结资产之漏洞的准确度则只有69%。