代幣漏洞安全事件代碼審計(jì)是必要條件

代幣漏洞安全事件代碼審計(jì)是必要條件
目前，區(qū)塊130鏈整體9370還處于6165低迷期，但是智能合約的發(fā)展卻非常穩(wěn)定，根據(jù)安全中心的數(shù)據(jù)，近一個(gè)月以太坊的智能合約平均每天以2000+的數(shù)量在增長(zhǎng)。
智能合約漏洞雖然數(shù)量不多，但是所造成的損失是非常巨大的，這與solidity語(yǔ)言的特性有關(guān)，也與erc20協(xié)議使代幣發(fā)行變得便捷有關(guān)。
智能合約漏洞的0攻擊類型為：重入攻擊、權(quán)限控制、整型溢出、未檢查的call返回值、順序依賴、時(shí)間戳依賴、條件競(jìng)爭(zhēng)、短地址攻擊、可預(yù)測(cè)的隨機(jī)處理等。
所有智能合約事件中的當(dāng)屬美鏈?zhǔn)录?8年4月22下午，才發(fā)行兩個(gè)月左右的bec美蜜合約出現(xiàn)重大的溢出漏洞通過(guò)合約的批量轉(zhuǎn)賬方法無(wú)限生成代幣，天量bec從兩個(gè)地址轉(zhuǎn)出，進(jìn)而引發(fā)拋售潮。當(dāng)ec的價(jià)值幾乎歸零。損失金額超過(guò)10億。
由于的“代碼即一切”的原則，導(dǎo)致目前沒(méi)有有效的安全防護(hù)手段來(lái)避免智能合約安全的問(wèn)題。
對(duì)于智能合約的開發(fā)，小豹建議摒棄“敏捷開發(fā)”的理念。而采用緩慢而有條理的方法來(lái)開發(fā)智能合約，在設(shè)計(jì)和編碼時(shí)，就盡量謹(jǐn)慎和考慮周全。
開發(fā)管理者也不要對(duì)開發(fā)人員太大的壓力（比如制定嚴(yán)格的期限等），通常來(lái)說(shuō)，趕出來(lái)的東西都多多少少會(huì)有問(wèn)題。
另外，在上鏈之前，找到的安全公司對(duì)智能合約進(jìn)行安全審計(jì)是基礎(chǔ)和必要的。
以下是2018年智能合約大事件，以及相關(guān)事件的一些細(xì)節(jié)：
（1）2018年 8月22god.game合約遭到攻擊，god智能合約上的以太坊總量歸零
（2）2018年4月25artmesh 出現(xiàn)重大安全漏洞，導(dǎo)致1.4億美元損失
（3）18年4月22午，才發(fā)行兩個(gè)月左右的bec美蜜合約因?yàn)榇嬖谝绯雎┒?，被從兩個(gè)地址不斷轉(zhuǎn)出代幣，使bec價(jià)格幾乎歸零，損失金額總計(jì)超過(guò)10億美元。
安全
據(jù)網(wǎng)絡(luò)安全公司 cifertrace 10月發(fā)布的一份報(bào)告顯示，2018年前9個(gè)月，通過(guò)的加密就已達(dá)9.27億美金，已經(jīng)是整個(gè)2017年的2.5倍。
韓國(guó)科技部的調(diào)查報(bào)告稱：“大部分都存在安全漏洞。”
那么，為什么加密安全問(wèn)題層出不窮？
一方面的匿名性，不可篡改性以及無(wú)監(jiān)管特性，導(dǎo)致了資產(chǎn)轉(zhuǎn)移便捷，溯源找回難度大。另一方面交易行業(yè)出現(xiàn)時(shí)間短，發(fā)展又非?？?，利潤(rùn)高，導(dǎo)致本來(lái)技術(shù)積累就不足的情況下，仍然忽視信息安全方面的建設(shè)，隱藏的安全漏洞多，攻擊起來(lái)相對(duì)容易。甚至還有一些加密數(shù)字甚至完全沒(méi)有安全系統(tǒng)。
數(shù)字面臨的安全威脅主要包括：服務(wù)器軟件漏洞、配置不當(dāng)、攻擊、服務(wù)端web程序漏洞（包括技術(shù)性漏洞和業(yè)務(wù)邏輯缺陷）、辦公電腦安全問(wèn)題、內(nèi)部人員攻擊等。
對(duì)于規(guī)模較大，用戶較多的還會(huì)面臨用戶者利用的網(wǎng)站騙取認(rèn)證信息的問(wèn)題。
而針對(duì)這些安全威脅，小豹建議在面向用戶之前行滲透測(cè)試，代碼審計(jì)等安全服務(wù)，挖掘并系統(tǒng)存在的安全漏洞。
另外，建議對(duì)所有正式入職的員工進(jìn)行必要的基礎(chǔ)的安全培訓(xùn)。
后，針對(duì)數(shù)字交易的建議大家主動(dòng)學(xué)習(xí)安全知識(shí)，并在電腦端、手機(jī)端使用安全軟件，千萬(wàn)不要自信“裸奔”，以避免掉進(jìn)網(wǎng)絡(luò)陷阱以及錢包被盜事件的發(fā)生。
以下是2018年加密被盜事件，以及相關(guān)事件的具體細(xì)節(jié)。
（1）1月，日本數(shù)字加密 coincheck 被盜走價(jià)值5.34億美元的xem。coincheck 是日本第二大在之后的發(fā)布會(huì)上，coincheck 表示，xem 被盜是因?yàn)榇鎯?chǔ) xem 的熱錢包的私鑰被所但是沒(méi)有其他幣種被盜。受此事件影響，xem 當(dāng)天下跌9.8%。
（2）2月11日，意大利加密 bitgrail價(jià)值 1.7 億美元的加密nano 被盜。
（3）3月7日inance 遭到，通過(guò)控制幣安部分賬戶，賣出這些賬戶持倉(cāng)的btc，買入 via 幣，導(dǎo)致 via 逆市大漲。幣安將異常交易進(jìn)行了回滾處理，但此事件依然引起市場(chǎng)恐懼，隨后幾天跌幅超過(guò)15%。
（4）4月1日t-z 遭遇攻擊，未造成資金損失。為此 bit-z 專門設(shè)立了10000個(gè) eth 安全用于獎(jiǎng)勵(lì)安全漏洞提交者。這筆獎(jiǎng)勵(lì)在當(dāng)時(shí)價(jià)值400萬(wàn)美金。
（5）4月13日，印度三大之一 coinsecure 在發(fā)布公告稱，該438個(gè) btc 失竊，價(jià)值約330萬(wàn)美元。該首席安全官 amitabh saxena 被列為嫌疑人。這是印度加密被盜事件。
（6）6月5日tfinex 遭到“拒絕服務(wù)（denial-of-service）”攻擊，bitfinex 隨即暫停了的所有交易。
（7）6月10日，韓國(guó)數(shù)字加密 coinrail 遭到攻擊，損失超過(guò)5000萬(wàn)美元。coinrail 加密總量的70%被保存在冷錢包，被盜總量的三分之二已被追回。
（8）6月20日，韓國(guó)加密 bithumb價(jià)值3000萬(wàn)美元的加密被盜，這是 bithumb 第三。
此前，該還遭受了兩次“攻擊”。
次：2017年4月，bithumb 某員工電腦被黑，導(dǎo)致超過(guò)3萬(wàn)名用戶的資料被竊，bithumb 也因此被韓國(guó)監(jiān)管機(jī)構(gòu)罰款5.5萬(wàn)美元。
第二次：2017年12月22日，韓國(guó)mbc雇傭了一家安保公司，對(duì)包括bithumb 在內(nèi)的5家韓國(guó)進(jìn)行安全測(cè)試。該安保公司成功“黑入”包括bithumb 在內(nèi)的5家并獲取了部分用戶數(shù)據(jù)和資金。受雇“”聲稱僅使用了“基本的技巧”。
但是，安全問(wèn)題并未引起足夠重視，這才導(dǎo)致了2018年6月份的事件發(fā)生。
（9）9月20日，日本 zaif 宣布遭受攻擊，損失5967萬(wàn)美元。其中1959萬(wàn)美元屬于該自有資金，其余4007萬(wàn)美元屬于客戶資金。
代碼審計(jì)成就合約
智能合約通過(guò)代碼建立一套“法律合同”，軟件工程師創(chuàng)造一個(gè)完全無(wú)誤差的代碼是不可能的，程序員總存在疏忽的地方。紅岸科技和科技大學(xué)的ulord項(xiàng)目研究團(tuán)隊(duì)對(duì)市面上的智能合約進(jìn)行了審計(jì)，他們的研究發(fā)現(xiàn)：
對(duì)所有的程序員來(lái)說(shuō)，寫一個(gè)沒(méi)有bug的代碼實(shí)在是太難了，即使采取了所有可能的措施，在復(fù)雜的軟件中也總會(huì)出現(xiàn)沒(méi)有預(yù)料到的執(zhí)行路徑或可能的漏洞。
這是為什么要代碼審計(jì)的原因之一。
中的 “法律合同”是一項(xiàng)受解釋和仲裁的約束，程序員很難去創(chuàng)造一個(gè)縝密的合約。在任意一個(gè)大的合約里，可能出現(xiàn)的文稿錯(cuò)誤以及一些條款需要解釋和仲裁。
同時(shí)，軟件工程師不是法律反之亦然。起草一份好的合約需要各種各樣的技能，不一定與編寫的計(jì)算機(jī)程序兼容。
因此，智能合約代碼在一定程度上都可能存在安全隱患。傳統(tǒng)的智能合約代碼審計(jì)主要利用人工，依靠code reviewer閱讀智能合約代碼。人工代碼審計(jì)終還是依賴人的經(jīng)驗(yàn)，代碼審計(jì)效果不明顯，針對(duì)目前eth大量代幣的智能合約，人工審計(jì)工作量大，難以的完成工作。
在領(lǐng)域從事代碼審計(jì)業(yè)務(wù)的項(xiàng)目公司較少，目前每個(gè)代幣在上之前，其智能合約代碼由進(jìn)行審察和判定，但有時(shí)并不能完全有效地判斷合約是否。