以太坊:獨家 | 以太坊智能合約安全解析：那些智能合約獨有的風險屬性

智能合約（Smart Contract）的概念最早由知名學者Nick Szabo在上世紀90年代提出。他在公開發表的多篇文章中提到了智能合約的概念，將其定義為：“一個智能合約是一套以數字形式定義的承諾（commitment），包括合約參與方可以在上面執行這些承諾的協議。”

這個概念提出后的很長一段時間里，它只停留在概念階段，并沒有在實際應用中產生實例。

為什么呢？

在我們看來這其中的關鍵點就在于既然它是一個“承諾”，那么如何保證這個“承諾”一定得到執行？如果合約的參與方不執行這份承諾，有什么辦法讓其承擔后果或強制其執行？

如果對一份合約規定的責任和義務僅僅只是用現實社會中的法律手段保障實施和執行，那這僅僅只相當于合約的數字化、信息化，它在本質上仍然是現實社會中的法律合約，只不過換了一種形式而已，所以這樣的“數字化合約”不能算“智能合約”。

獨家 | DeFi累計用戶數接近45萬:據DappBirds DeFi Data專題數據顯示，DeFi累計用戶數接近45萬，DeFi中鎖定資產總價值達98.31億美元，較昨日上升-0.60%，其中Uniswap，Aave，SushiSwap，MakerDAO，Curve分別以14.37億美元，13.24億美元，12.10億美元，10.98億美元，10.18億美元位列前五名。[2020/9/9]

這個局面的徹底顛覆是在以太坊出現之后，以太坊的出現第一次讓“智能合約”得以實現，并且讓人們見識到了信息技術和加密技術如何完美地結合從而強制保證一份“數字合約”的執行和實施。

那么以太坊是如何讓智能合約從概念變為現實的，也就是說如何保證一份被數字化的合約得到嚴格、強制執行的呢？

這就要和以太坊的特性說起了。

獨家 | 鄶冬評FCoin事件：如果是現實銀行會引發金融危機海嘯:針對今日“張健發布FCoin內部真相”一事，98年的加密分析師鄶冬表示：消息面預計會給此時正在做空的沽空機構帶來巨大契機，我看外網還沒有報道這件事情，但很容易會被媒體和社區過度解讀為「FCoin有13000枚BTC(相當于1.2億多美元)的資產被盜」，這確實不是什么好消息。FCoin目前被全網偵測到的熱錢包資產，大概還有600多枚BTC，假設按13000枚未付現BTC來計算的話，這之間的比例數字已經高達21。什么概念呢？相當于你存在銀行的錢，一夜蒸發了95%，可以說是已經引發金融危機海嘯了，預計這件事件帶來的負面影響，會持續很長一段時間。[2020/2/17]

相較于比特幣，以太坊最突出的特點就是它支持了“圖靈完備”的編程語言。所謂“圖靈完備”的編程語言用通俗的話說就是理論上只要人能夠用數學方式描述的邏輯如果都能用這種語言編寫出來，那么這種語言就是“圖靈完備”的編程語言。

獨家 | 淘寶商家“區塊鏈技術產品”類目半年前已上線:金色財經報道，12月19日有消息稱淘寶新增加了“區塊鏈技術產品”二級類目，金色財經第一時間向部分淘寶賣家求證此事，淘寶賣家表示，在幾個月前賣硬件錢包的時候已經發現有這個分類了。隨后金色財經記者向阿里相關人士求證后證實，“淘寶上‘區塊鏈技術產品’類目半年前即已上線，新增該類目主要是為了便于管理。”[2019/12/19]

如果把這種語言用于定義合同，那就成了只要一份合同能夠用這個編程語言描述出來，那這份合同就能用計算機來執行。

但僅僅只憑這一點編寫出的合約還遠不能算“智能合約”，為什么呢？因為傳統的計算機技術早就有了大量的編程語言（C語言、C++語言、Java語言等）能夠被用于編寫各種復雜邏輯的合同。那為什么傳統計算技術編寫出的這類合約不能算“智能合約”呢？因為這樣的合約在執行過程中完全可能因為受到各種干擾（比如計算機突然宕機，系統突然被毀壞等），而根本無法得到強制和一定執行。

獨家 | 游戲Token被盜事件初步調查 ?:據成都鏈安科技消息，8月22日游戲God.game遭黑客攻擊，合約內所有Token被攻擊者席卷一空。成都鏈安科技團隊立即展開安全排查。

疑似攻擊地址：0x3abc8325a9ff36d78844ea8281b8c190c66c3d44根據此地址異常情況分析出的疑似攻擊手段：1.攻擊者先通購買了部分token；2.然后通過sell賣出token；3.導致賬戶dividends異常增加；4.最終通過調用reinvest()函數使用dividends購買大量token，

體現在Etherscan上的具體交易信息：

https://etherscan.io/tx/0x38c5499e8c8be5af32d6207fdaf088103cabaad05563915a21fb2f8aedce9618

該賬戶異常dividends如下圖中左上角（1）部分所示;異常余額token總量如下圖中右上角（2）部分所示;整套操作在Etherscan上體現為下圖左下角（3）部分。針對真正產生異常的具體原因需要在代碼層面進行排查，嚴謹論證結果報告需要更多的時間。

除了上述異常操作現象之外，成都鏈安科技還發現其“后門”，如下圖中右下角（4）所示，這段代碼給予合約創建者一個特殊權限，即能“隨意更改指定地址上的賬戶余額”。其中_identifier是欲指定的地址，value為設置的賬戶代幣余額。這兩點是否都與此次攻擊事件聯系密切，亦或兩者之間有聯系。成都鏈安科技團隊正進行合約代碼安全漏洞排查并形成系統的分析報告。[2018/8/22]

而基于以太坊的智能合約就不同，它相比傳統計算技術除了能支持理論上任意的編程邏輯，還有一個傳統計算技術無法比擬的特點：它的執行過程在現實世界中幾乎難以被中斷、難以被干擾，也就是說一旦以太坊開始運行一個合約，只要這個合約的條款還沒有執行完，任何外界因素都很難干擾、阻斷它的執行和實施。 

這個特點曾被V神比喻為“永不停歇的世界計算機”-----以太坊這臺“電腦”幾乎永遠不會宕機，甚至在未來V神規劃的以太坊2.0中，它更是強大到能抵抗第三次世界大戰。

此外，智能合約還有一個特點，那就是一旦一個合約被部署到以太坊，它就無法撤回，無法更改。這和傳統信息技術中，我們一旦發現一個系統有問題可以將它下線，將它撤回有著根本的區別。

 

因為這些特性，在以太坊上運行的任何合約就在技術上第一次實現了“無法篡改”、“強制執行”、“無法干擾”，智能合約就這樣神奇的落地了。

然而“成也蕭何、敗也蕭何”，當我們享受智能合約強制執行的特點給我們帶來的顛覆性變革時，它的負面作用也同時顯現：這就是當一個合約在以太坊上部署并且運行后，一旦合約本身出現漏洞，這個漏洞給合約參與方帶來的損失也將無法挽回、無法阻擋。我們有時甚至只能眼睜睜地看著它的漏洞被引爆，我們的數字資產被吞噬，而無能為力。

那如何才能防止這樣的慘劇發生呢？除了進行常規的測試之外，在這個領域還誕生了一個獨特的行業----智能合約審計。智能合約的審計最關鍵的作用就是盡量在合約被部署到以太坊上之前，檢查出它的漏洞，發現它的隱患，盡量讓一份高質量、安全的合約被用戶使用。

對智能合約的審計將是這個行業永遠的剛需，也是行業進步的強大助推力，更是Fairyproof Tech為之奮斗的目標。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

Tags：以太坊區塊鏈TECECH以太坊硬幣模版區塊鏈最新騙局曝光blockchaintechnologyFree Speech

幣安交易所app下載