值得關注的其他問題
盡管有一個安全問題排名很不錯,但它往往一些有趣的細節,因為某些細節與排名列表并不完全一致。在深入挖掘10大問題之前,必要闡述一下原始研究中一些值得關注的亮點問題:
在2018年,最主要的兩個問題是外部合約拒絕服務和重入。但是現在這些問題有所緩解。可以從我們的研究博客中了解更多有關Reentrancy的信息:從安全角度出發審視智能合約。
譯者注:實際上由于DeFi應用之間的組合應用,又導致了多起嚴重的重入攻擊事件。
現在Solidityv0.6.x發布了,它帶來了許多重大變化,然而掃描的智能合約中有50%甚至還沒有準備好使用Solidityv0.5.0編譯器。另外30%智能合約使用了過時的語法,并且83%的合約在指定編譯器版本存在規范問題。
歐盟金融穩定監督機構:需要新法規來涵蓋加密集團和智能合約:金色財經報道,歐盟金融穩定監督機構表示,可能需要新的法規來涵蓋大型加密貨幣集團和智能合約,因為它警告說,不斷增長的數字資產和DeFi部門可能會對經濟構成系統性風險。
隨著新的加密資產市場法規(MiCA)將于2024年在集團內部生效,由歐盟央行行長Christine Lagarde主持的歐洲系統性風險委員會(ESRB)在周四的一份報告中警告說,加密貸款和投資的風險以及數字資產市場的高杠桿率仍存在。
雖然MiCA為錢包提供商和穩定幣發行人等參與者設定了治理、許可和準備金要求,但它遺漏了加密貸款和押注等領域,這些領域可能“對消費者構成重大風險”。[2023/5/25 10:39:46]
譯者注:Solidity0.6在語義上更明確了,有助于編譯器及時發現問題,讓代碼更安全,
盡管可見性問題沒有出現在2018年的前10位,也沒有出現今年的前10,但可見性問題增加了48%,值得關注。
智能合約錢包Argent全面開放Layer 2賬戶注冊:3月8日消息,智能合約錢包 Argent 宣布全面開放 Layer 2 賬戶注冊,現在任何人都可以進行訪問其以太坊 zkSync 網絡 Layer 2 錢包。Argent 表示,其 Layer 2 錢包支持更低的 gas 費用,更快的交易速度,并且提供質押和收益耕作服務,網絡交易的碳排放量將減少 100 倍。[2022/3/8 13:44:14]
下表比較了2018年和2020年十大常見問題列表之間的變化。這些問題按嚴重程度和流行程度排序:
1.未檢查的外部調用
在2018年Solidity十大安全問題榜單上未檢查的外部調用是第三個常見問題。由于現在前兩個解決了,因此未檢查的外部調用成為了2020年更新列表中最常見的問題。
美聯社將推出官方Chainlink節點,以支持智能合約創新:10月21日消息,美聯社將推出官方Chainlink節點,將高質量的經濟數據、體育成果和商業財務數據帶入區塊鏈,以支持智能合約創新。[2021/10/21 20:46:57]
Solidity底層調用方法,(例如
address.call()
)不會拋出異常。而是在遇到錯誤,返回
false
。
而如果使用合約調用
ExternalContract.doSomething()
時,如果
doSomething()
拋出異常,則異常會繼續「冒泡」傳播。
應該通過檢查返回值來顯式處理不成功的情況,以下使用
addr.send()
進行以太幣轉賬是一個很好的例子,這對于其他外部調用也有效。
Cardano新智能合約開發平臺Plutus已啟動運行:1月26日,Cardano開發公司IOHK官方宣布,新的智能合約開發平臺Plutus已啟動運行。該平臺允許所有開發人員為Cardano(ADA)編寫和部署其智能合約的測試版本。[2021/1/26 13:34:50]
if(!addr.send(1)){revert(。
2.高成本循環
高成本循環從Solidity安全榜單的第四名上升至第二名。受該問題影響的智能合約數量增長了近30%。
大家都知道,以太坊上的運算是需要付費的。因此,減少完成操作所需的計算,不僅僅是優化問題,還涉及到成本費用。
循環是一個昂貴的操作,這里有一個很好的例子:數組中包含的元素越多,就需要更多迭代才能完成循環。最終,無限循環會耗盡所有可用GAS。
for(uint256i=0;i<elements.length;i++){//dosomething}
SMT最新公告:“以太坊智能合約溢出漏洞事件”已經得到全面控制:據SmartMesh(SMT)官方微博公告,此次“以太坊智能合約溢出漏洞事件”已經得到全面控制。對于此次溢出事件流出的“假幣”,SMT基金會承諾將從公開流通市場進行回購,并進行銷毀。[2018/4/27]
如果攻擊者能夠影響元素數組的長度,則上述代碼將導致拒絕服務(執行無法跳出循環)。而在掃描的智能合約中發現有8%的合約存在數組長度操縱問題。
3.權力過大的所有者
這是Soldiity十大安全問題新出現的問題,該問題影響了約16%的合約,某些合約與其所有者緊密相關,某些函數只能由所有者地址調用,如下例所示:
只有合約所有者能夠調用
doSomething()和doSomethingElse()
函數:前者使用onlyOwner修飾器,而后者則顯式執行該修飾器。這帶來了嚴重的風險:如果所有者的私鑰遭到泄露,則攻擊者可以控制該合約。
4.算術精度問題
由于使用256位虛擬機,Solidity的數據類型有些復雜。Solidity不提供浮點運算,并且少于32個字節的數據類型將被打包到同一個32字節的槽位中。考慮到這一點,你應該預見以下程序精度問題:
functioncalculateBonus(uintamount)returns(uint){returnamount/DELIMITER*BONUS;}
如上例所示,在乘法之前執行的除法,可能會有巨大的舍入誤差。
5.依賴tx.origin
6.溢出
Solidity的256位虛擬機存在上溢出和下溢出問題,這里有具體的分析。在
for
循環條件中使用
uint
數據類型時,開發人員要格外小心,因為它可能導致無限循環:
7.不安全的類型推導
該問題在Solidity十大安全問題排行榜中上升了兩位,現在影響到的智能合約比之前多了17%以上。
8.不正確的轉賬
此問題在Solidity十大安全問題榜單中從第六位下降到第八位,目前影響不到1%的智能合約。
9.循環內轉帳
當在循環體中進行以太幣轉賬時,如果其中一個轉賬失敗,那么整個交易將被回滾。
for(uinti=0;i<users.lenghth;i++){users.transfer(amount);}
在這個例子中,攻擊者可能利用此行為來進行拒絕服務攻擊,從而阻止其他用戶接收以太幣。
10.時間戳依賴
如果你的應用需要隨機性,可以參考RANDAO合約,該合約基于任何人都可以參與的去中心化自治組織,是所有參與者共同生成的隨機數。
總結
比較2018年和2020年十大常見問題時,我們可以觀察到開發最佳實踐的一些進展,尤其是那些影響安全性的實踐。看到2018年排名前2位的問題:外部合約拒絕服務和重入,已經不再榜單了,這是一個積極的信號,但仍然需要采取措施來避免這類常見錯誤。
請記住,智能合約在設計上是不可變的,這意味著一旦創建,就無法修補源代碼。這對安全性構成了巨大挑戰,開發人員應利用可用的安全測試工具來確保在部署之前對源代碼進行了充分的測試和審核。
Solidity是一種非常新且仍在成熟的編程語言,Solidityv0.6.0引入了一些重大更改,并且預計在以后的版本中還會有更多更改。
作為以消費電子,科技巨頭,電子競技和全球創新而聞名的高科技中心,Cindicator的一份報告顯示韓國將在加密貨幣采用方面發揮重要作用,這也就不足為奇了.
1900/1/1 0:00:00上周五,委內瑞拉總統尼古拉斯·馬杜羅宣布了一項與Petro虛擬貨幣掛鉤的玻利瓦爾新單一匯率。根據新的指導原則,一個Petro將等于60美元,這意味著該國的貨幣基本上貶值了96%.
1900/1/1 0:00:00小探本期為大家帶來的內容主題是“創客鯨魚活動減少了了,市場會有反應?”歡迎大家關注小探,小探每天都會給您獻上關于幣圈的優質內容哦。上周,MKR的大型投資者行動有所減少.
1900/1/1 0:00:00數字資產數據在原始和未經過濾的形勢下,可能會是誤導人的。當按表面價值去進行計算時,一些指標會夸大某些活動,而其它指標可能會低估了使用量.
1900/1/1 0:00:00最大的加密貨幣交易所之一FTX的倒閉是自Mt.Gox騙局以來最大的災難。該行業已經失去了聲譽,但最重要的是,加密貨幣交易所失去了信心,現在正在盡一切努力提高其活動的透明度.
1900/1/1 0:00:00小探本期為大家帶來的內容主題是“SEC提案威脅美國區塊鏈行業”歡迎大家關注小探,小探每天都會給您獻上關于幣圈的優質內容哦.
1900/1/1 0:00:00