智能合約開發必讀：這10個Solidity安全問題不容忽視，防失業_以太坊

值得關注的其他問題

盡管有一個安全問題排名很不錯，但它往往一些有趣的細節，因為某些細節與排名列表并不完全一致。在深入挖掘10大問題之前，必要闡述一下原始研究中一些值得關注的亮點問題：

在2018年，最主要的兩個問題是外部合約拒絕服務和重入。但是現在這些問題有所緩解。可以從我們的研究博客中了解更多有關Reentrancy的信息：從安全角度出發審視智能合約。

譯者注：實際上由于DeFi應用之間的組合應用，又導致了多起嚴重的重入攻擊事件。

現在Solidityv0.6.x發布了，它帶來了許多重大變化，然而掃描的智能合約中有50％甚至還沒有準備好使用Solidityv0.5.0編譯器。另外30％智能合約使用了過時的語法，并且83％的合約在指定編譯器版本存在規范問題。

Chainlink推出新社區資助計劃以推動智能合約采用:金色財經報道，Chainlink（LINK）最近推出了一項新的社區資助計劃，旨在使智能合約成為“數字協議的主要形式”。[2020/8/5]

譯者注：Solidity0.6在語義上更明確了，有助于編譯器及時發現問題，讓代碼更安全，

盡管可見性問題沒有出現在2018年的前10位，也沒有出現今年的前10，但可見性問題增加了48％，值得關注。

下表比較了2018年和2020年十大常見問題列表之間的變化。這些問題按嚴重程度和流行程度排序：

1.未檢查的外部調用

在2018年Solidity十大安全問題榜單上未檢查的外部調用是第三個常見問題。由于現在前兩個解決了，因此未檢查的外部調用成為了2020年更新列表中最常見的問題。

Dillon Chen：Edgeware可能成為波卡網絡第一個智能合約平臺:BiKi交易平臺與Polkadot（波卡）生態聯合舉辦的主題為“探究Polkadot生態的奧秘”AMA于2020年3月20日20點舉行，參與此次AMA的分別為波卡生態內五個項目，分別為Edgeware、Phala Network、LamianrChain、ChainX、Darwinia。

Edgeware聯合創始人及CEO Dillon Chen在此次AMA中表示：Edgeware很可能會成為波卡網絡上第一個智能合約平臺，我們的競爭優勢在于波卡區塊鏈互操作性、安全性、以及我們的WASM合約運行。[2020/3/20]

Solidity底層調用方法，(例如

address.call()

)不會拋出異常。而是在遇到錯誤，返回

false

。

而如果使用合約調用

ExternalContract.doSomething()

動態 | Cardano發布新論文介紹在路線圖Goguen更新中實施智能合約:Cardano (ADA)在1月27日發布了一篇新論文，其中詳細介紹了如何在即將到來的路線圖Goguen更新中實施智能合約。雖然該系統是獨一無二的，但鑒于Cardano的延遲歷史，其發布日期仍不確定。（Cointelegraph）[2020/1/29]

時，如果

doSomething()

拋出異常，則異常會繼續「冒泡」傳播。

應該通過檢查返回值來顯式處理不成功的情況，以下使用

addr.send()

進行以太幣轉賬是一個很好的例子，這對于其他外部調用也有效。

if(!addr.send(1)){revert(。

2.高成本循環

高成本循環從Solidity安全榜單的第四名上升至第二名。受該問題影響的智能合約數量增長了近30％。

聲音 | V神：很后悔在以太坊中采用“智能合約”這個術語:V神在某社交軟件中回復用戶關于\"CryptoLaw\"討論時稱，明確一點，非常后悔采用“智能合約”一詞。應該把它們稱為更乏味或偏技術性的東西，也許就像“可持續性腳本”。[2018/10/15]

大家都知道，以太坊上的運算是需要付費的。因此，減少完成操作所需的計算，不僅僅是優化問題，還涉及到成本費用。

循環是一個昂貴的操作，這里有一個很好的例子：數組中包含的元素越多，就需要更多迭代才能完成循環。最終，無限循環會耗盡所有可用GAS。

for(uint256i=0;i<elements.length;i++){//dosomething}

如果攻擊者能夠影響元素數組的長度，則上述代碼將導致拒絕服務(執行無法跳出循環）。而在掃描的智能合約中發現有8％的合約存在數組長度操縱問題。

3.權力過大的所有者

這是Soldiity十大安全問題新出現的問題，該問題影響了約16％的合約，某些合約與其所有者緊密相關，某些函數只能由所有者地址調用，如下例所示：

以太坊智能合約再曝安全漏洞 攻擊者可任意竊取受影響合約地址的數字資產:區塊鏈安全公司PeckShield近日發現一種新型的智能合約安全漏洞evilReflex，攻擊者可通過公開的接口竊取合約地址賬戶中存放的Token。據PeckShield研究人員透露，目前已發現有數十個Token受該漏洞影響，其中部分Token已在某些頂級交易所上線并交易。[2018/6/24]

只有合約所有者能夠調用

doSomething()和doSomethingElse()

函數：前者使用onlyOwner修飾器，而后者則顯式執行該修飾器。這帶來了嚴重的風險：如果所有者的私鑰遭到泄露，則攻擊者可以控制該合約。

4.算術精度問題

由于使用256位虛擬機，Solidity的數據類型有些復雜。Solidity不提供浮點運算，并且少于32個字節的數據類型將被打包到同一個32字節的槽位中。考慮到這一點，你應該預見以下程序精度問題：

functioncalculateBonus(uintamount)returns(uint){returnamount/DELIMITER*BONUS;}

如上例所示，在乘法之前執行的除法，可能會有巨大的舍入誤差。

5.依賴tx.origin

6.溢出

Solidity的256位虛擬機存在上溢出和下溢出問題，這里有具體的分析。在

for

循環條件中使用

uint

數據類型時，開發人員要格外小心，因為它可能導致無限循環：

7.不安全的類型推導

該問題在Solidity十大安全問題排行榜中上升了兩位，現在影響到的智能合約比之前多了17％以上。

8.不正確的轉賬

此問題在Solidity十大安全問題榜單中從第六位下降到第八位，目前影響不到1％的智能合約。

9.循環內轉帳

當在循環體中進行以太幣轉賬時，如果其中一個轉賬失敗，那么整個交易將被回滾。

for(uinti=0;i<users.lenghth;i++){users.transfer(amount);}

在這個例子中，攻擊者可能利用此行為來進行拒絕服務攻擊，從而阻止其他用戶接收以太幣。

10.時間戳依賴

如果你的應用需要隨機性，可以參考RANDAO合約，該合約基于任何人都可以參與的去中心化自治組織，是所有參與者共同生成的隨機數。

總結

比較2018年和2020年十大常見問題時，我們可以觀察到開發最佳實踐的一些進展，尤其是那些影響安全性的實踐。看到2018年排名前2位的問題：外部合約拒絕服務和重入，已經不再榜單了，這是一個積極的信號，但仍然需要采取措施來避免這類常見錯誤。

請記住，智能合約在設計上是不可變的，這意味著一旦創建，就無法修補源代碼。這對安全性構成了巨大挑戰，開發人員應利用可用的安全測試工具來確保在部署之前對源代碼進行了充分的測試和審核。

Solidity是一種非常新且仍在成熟的編程語言，Solidityv0.6.0引入了一些重大更改，并且預計在以后的版本中還會有更多更改。

Tags：以太坊GASDAO以太坊幣是什么幣GAS幣是什么幣DAO幣DAO價格

BNB