智能合約開發必讀：這10個Solidity安全問題不容忽視_SOL

編者按：本文來自登鏈社區，Odaily星球日報經授權轉載。在2018年，我們曾對智能合約安全狀況進行過初步研究，重點是Solidity編寫的智能合約。當時，我們根據公開的合約源代碼編寫了最常見的10個智能合約安全問題。兩年過去了該更新研究并評估智能合約安全性發展的如何了。值得關注的其他問題

盡管有一個安全問題排名很不錯，但它往往一些有趣的細節，因為某些細節與排名列表并不完全一致。在深入挖掘10大問題之前，必要闡述一下原始研究中一些值得關注的亮點問題：在2018年，最主要的兩個問題是外部合約拒絕服務和重入。但是現在這些問題有所緩解。可以從我們的研究博客中了解更多有關Reentrancy的信息：從安全角度出發審視智能合約。譯者注：實際上由于DeFi應用之間的組合應用，又導致了多起嚴重的重入攻擊事件。現在Solidityv0

以太坊技術服務商 OpenZeppelin 發布 Optimism 智能合約審計報告:11月25日消息，以太坊技術服務商 OpenZeppelin 發布 Optimism 智能合約審計報告。從 2021 年 3 月 15 日開始，OpenZeppelin 在 7 周的時間里與 3 位審計師一起審計了 Optimism 的代碼庫，共發現 4 個嚴重和 4 個高度嚴重的問題，并提出修改建議以減少代碼的攻擊面和提高其整體質量，Optimism 團隊已承認或修復所有嚴重問題，代碼已遷移到新存儲庫。[2021/11/25 7:10:27]

如上例所示，在乘法之前執行的除法，可能會有巨大的舍入誤差。5.依賴tx

金色財經現場報道Emotiq首席執行官Joel Reymont：智能合約是用戶與區塊鏈的接口:金色財經前方記者實時報道，第二屆全球金融科技與區塊鏈中國峰會于4月12日在上海召開，CEmotiq首席執行官Joel Reymont在峰會上表示，智能合約語言其實就是一個接口，也就是你和區塊鏈的接口。但是現實存在的問題是，目前智能合約的語言非常復雜，編程起來也比較困難，而且還存在很多漏洞，黑客可以利用這些漏洞來偷取加密貨幣。而我們要做什么呢？我們會不會有更加專業化，或者去培育更加專業化的程序員，把這個事情做對。我覺得這個可能不太現實。我們想要區塊鏈能夠讓大家共享的，但是我們卻給區塊鏈接入創造了一些障礙，但是我們還是有一絲希望存在，這個一絲希望叫做靜態的分析。[2018/4/12]

}可以在Solidity的文檔中找到TxOrigin攻擊的詳細說明。簡單的說，tx

以太坊智能合約有89%的概率存在漏洞:最新的研究顯示，基于以太坊架構，被稱作是“最安全、最可靠、最方便”的智能合約技術卻漏洞百出。在倫敦大學學院計算機科學系副教授伊利亞·謝爾蓋最新的研究論文中，通過對將近 100 萬份智能合約進行每份合約 10 秒分析時間的分析后發現，這其中有 34200 份智能合約很容易受到黑客攻擊。同時他們又對 3759 份智能合約抽樣調查，在這之中，3686 份智能合約有 89% 的概率含有漏洞。[2018/3/5]

在上面的示例中，當i的值為0時，下一個值為2^256-1，這使條件始終為true。開發人員應當盡量使用<、>、!=和==進行比較。7.不安全的類型推導

該問題在Solidity十大安全問題排行榜中上升了兩位，現在影響到的智能合約比之前多了17％以上。Solidity支持類型推導，但有一些奇怪的表現。例如，字面量0會被推斷為byte類型，而不是通常期望的整型。在下面的示例中，i的類型被推斷為uint8，因為這時能夠存儲i的值uint8就足夠。但如果elements數組包含256個以上的元素，則下面的代碼就會發生溢出：for(vari=0;i<elements

在這個例子中，攻擊者可能利用此行為來進行拒絕服務攻擊，從而阻止其他用戶接收以太幣。10.時間戳依賴

在2018年，時間戳依賴問題排名第五，重要的是要記住，智能合約在不同時刻多個節點上運行的。以太坊虛擬機不提供時鐘時間，并且通常用于獲取時間戳的now變量實際上是礦工可以操縱的環境變量。if(timeHasCome==block

由于礦工可以操縱當前的環境變量，因此只能在不等式>、<、>=和<=中使用其值。如果你的應用需要隨機性，可以參考RANDAO合約，該合約基于任何人都可以參與的去中心化自治組織，是所有參與者共同生成的隨機數。總結

比較2018年和2020年十大常見問題時，我們可以觀察到開發最佳實踐的一些進展，尤其是那些影響安全性的實踐。看到2018年排名前2位的問題：外部合約拒絕服務和重入，已經不再榜單了，這是一個積極的信號，但仍然需要采取措施來避免這類常見錯誤。請記住，智能合約在設計上是不可變的，這意味著一旦創建，就無法修補源代碼。這對安全性構成了巨大挑戰，開發人員應利用可用的安全測試工具來確保在部署之前對源代碼進行了充分的測試和審核。Solidity是一種非常新且仍在成熟的編程語言，Solidityv0.6.0引入了一些重大更改，并且預計在以后的版本中還會有更多更改。來源鏈接：securityboulevard.com

Tags：SOLLIDDITSOLIDsolana幣下半年會漲到多少價格BLIDNolian CreditsSOLID幣

歐易okex官網