10億美元并不能保證不出現(xiàn)漏洞

10億美元——這是Hosho審計過的智能合約項目所籌集的資金數(shù)額。這家安全公司聲稱，它審計的智能合約比審計過的其他行業(yè)公司都要多。盡管這些項目有大量的人力和財力資源可供使用，但如果他們忽視對其代碼進(jìn)行徹底審查，他們中的許多項目將會陷入癱瘓。Hosho審計過的項目中，有四分之一被發(fā)現(xiàn)存在嚴(yán)重的漏洞，大約60%的項目至少存在一個安全問題。

ICO項目的啟動平臺以太坊受到的影響最為嚴(yán)重，其中存在的大量可利用代碼導(dǎo)致數(shù)億美元的以太幣被竊取或鎖定。雖然像Stratis這樣的智能合約平臺正在推動使用C#來調(diào)試部署套件和專業(yè)反編譯器的可用性，但是以太坊的圖靈完備（Turing-complete）系統(tǒng)為漏洞留下了更大的余地。識別和消除所有潛在的安全漏洞是一項永無休止的的任務(wù)，即使是經(jīng)驗豐富的可靠開發(fā)人員也很難做到這一點。獲得專門從事智能合約審計的第三方的支持，雖然不能確保萬無一失，但卻是避免發(fā)布漏洞叢生代碼的最好辦法。

智能合約測試服務(wù)

雖然行業(yè)慣例是在代幣發(fā)售前對智能合約進(jìn)行審計，但尚未籌集資金的項目可能會嘗試走捷徑，在這一程序上節(jié)省開支。然而，這樣的做法可能是致命的，因為最惡性的漏洞會導(dǎo)致錢包被洗劫一空，而通過操縱緩沖區(qū)溢出漏洞可以更改帳戶余額。數(shù)個基于以太坊的項目在執(zhí)行第一次智能合約時就搞砸了，然后被迫進(jìn)行代幣替換。

在EOS方面，本周所有的精力都集中在修復(fù)最近發(fā)現(xiàn)的RAM漏洞上。這個漏洞允許惡意用戶“在他們的帳戶上設(shè)置代碼，這樣他們就可以以另一個賬戶的名義插入執(zhí)行向他們發(fā)送代幣的代碼行?！碑?dāng)DAPP/用戶向它們發(fā)送代幣時，他們可以在行中插入大量無用數(shù)據(jù)，從而鎖定RAM。

Amazix是加密貨幣經(jīng)濟(jì)領(lǐng)域內(nèi)一家卓越的社區(qū)管理和咨詢公司，現(xiàn)已與Hosho合作，為客戶提供智能合約審計服務(wù)。Amazix首席營銷官肯尼思?貝爾森（Kenneth Berthelsen）說道：“在缺乏行業(yè)標(biāo)準(zhǔn)的情況下，我們認(rèn)為智能合約審計和滲透測試是確保區(qū)塊鏈系統(tǒng)良好安全性的重要組成部分。在我們看來，沒有誰比Hosho的工程師更有資格做這件事的了?！?/span>

加密貨幣的擁躉者們認(rèn)為，智能合約最終會滲透到從保險到糾紛解決等服務(wù)的方方面面中來。在此之前，在治理智能合約的代碼上建立信任至關(guān)重要。