以太坊安全调查突显了区块链中的漏洞
8月13日,发布了一项关于以太坊安全性的应用调查。由学术研究人员Huashan Chen,Marcus Pendleton,Laurent Njilla和Shouhuai Xu撰写的调查显示,使用区块链进行去中心化应用(DApps)而不是加密货币使其对多种攻击持开放态度。
由于以太坊现在广泛用于DApps并且是许多企业项目的基础,因此调查的作者认为有必要解释区块链的弱点。他们写道:“尽管已经进行了一些调查,但他们并没有像我们那样对以太坊漏洞,攻击和防御系统而全面的观点。”
该平台已成为应用程序构建的“标准”,现在价值超过200亿美元,拥有100万个智能合约。调查解释说,这些智能合约和区块链自动化所涉及的复杂性带来了新的安全问题。
它概述了总共44种不同类型的以太坊漏洞,其中26个位于智能合约和DApps构建的“应用层”中。事实上,迄今为止,对这一层的攻击造成了超过3.7亿美元的损失。该报告还确定了47项防御措施。
“由以太坊区块链的设计和实施引起的漏洞比其他漏洞更难以应对,”陈等人说。 Al写道。
“(这)很有意思,因为它突出了设计和实施安全区块链平台的困难,尽管(……)区块链中的漏洞可能不会像应用层的漏洞那样造成大的损失。”
例如,去年颇受欢迎的庞氏游戏“Fomo3D”是由一名以300万美元左右挣脱的攻击者赢得的。游戏的设计是在计时器用完之前购买最后一个“钥匙”的人赢得的 – 而每次购买钥匙时,计时器都会加入30秒。
攻击者利用了一个漏洞,该漏洞去中心化了矿工的注意力并设法使网络拥挤,因此没有人可以购买密钥。此漏洞尚未消除。
调查并不止于此。在44个弱点中,只有6个被完全淘汰。现有的最佳实践可以降低风险。尽管这些最佳实践是有益的,但它们“仅仅不足以确保安全性”。
那么作者对开发人员和企业的建议是什么呢?简而言之:不仅要追逐钱已经丢失的地方,还要防范所有可能的攻击。除合约最佳实践外,该报告还提出了各种防御措施。
调查显示,“似乎防御措施是由于利用某些漏洞所造成的后续财务损失所致。”考虑到各种行业中近2,500个DApps正在使用以太坊区块链,这是一个明确的呼吁,要求在保护应用程序方面做更多工作。