对,非常重要!
智能合约本质是一段运行在区块链网络中的代码,它完成用户所赋予的业务逻辑。以以太坊体系的代币为例,其业务逻辑是代币发币和交易。以太坊在设计之初,将智能合约设计成了一旦部署就不能修改的模式,这种设计有可能是为了提高智能合约的可信性。
但我们也知道,只要是由人编写的程序,就一定会出现错误和缺陷。如果智能合约存在安全漏洞问题,攻击者就可以通过发布包含恶意代码的“智能合约”,经过一系列操作,控制区块链网络中的所有节点,进而对项目造成毁灭性打击。
毁灭性打击实例
比如著名的THE DAO事件,黑客就利用了一个简单的递归函数漏洞,成功盗走价值2亿美元数字资产,直接导致明星项目The DAO夭折。
今年4月,有黑客利用以太坊 ERC-20智能合约中BatchOverFlow漏洞攻击BEC(美链的代币“美蜜”)智能合约,成功向两个地址转出了天量级别的 BEC代币,导致市场上海量BEC被抛售,使得当日BEC的价值几乎归零,64亿人民币瞬间蒸发。
由此,智能合约的代码审计和验证就显得尤为重要,只有在安全性和可执行性上获得了充分的审查,智能合约才能在未来执行的时候发挥既定的作用。
大量智能合约存在安全漏洞
伦敦大学学院计算机科学系副教授伊利亚·谢尔盖在最新的研究论文《Finding The Greedy , Prodigal , and Suicidal Contractsat Scale》中,通过对将近 100 万份智能合约进行每份合约 10 秒分析时间的分析后发现,这其中有 34200 份智能合约很容易受到黑客攻击。
同时他们又对 3759 份智能合约抽样调查,在这之中,3686 份智能合约有 89% 的概率含有漏洞。
今年年初,新加坡和英国几位研究员指出,包含440万个以太币的3.4万多份以太坊智能合约可能存在容易被攻击的漏洞。他们的技术报告目前还在同行评审中,指出由于智能合约编码不完善,存在数个漏洞,导致数百万美元的以太币暴露在风险中。
报告作者宣称,已经用工具分析几乎100万份智能合约,发现其中3.42万存在漏洞,2,365属于著名项目。
360代码卫士团队安全专家亦表示,当前区块链智能合约中可能出现的漏洞至少有20余种。
鉴此,最切实可行的做法就是:在智能合约上线之前,对其进行全面深入的代码安全审计,尽可能的消除漏洞,降低安全风险。
艺术区AET通过第三方安全审计
艺术区(Art Block)作为基于区块链技术的新生态项目,从一开始就非常重视智能合约的安全性,技术团队不仅在发行前注重智能合约的编写和自我检查,同时还对智能合约进行了第三方审计。
2018年11月8日,艺术区AET团队委托业内领先的、专注于区块链生态安全的慢雾科技对其智能合约进行安全审计。在为期一周的审计中,慢雾科技对艺术区AET代币合约进行了全面的检查,针对合约的函数、设计逻辑、竞争条件等方面提出了改进意见,并对改进后的合约进行了二审。
最终结果显示:艺术区AET全项通过慢雾智能合约安全审计,AET为代币(token)合约,合约合理的使用了 OpenZeppelin 的 SafeMath 模块,不存在溢出,条件竞争问题,综合评估合约无风险。
值得一提的是,接受审计申请的慢雾安全团队是由一支拥有十多年一线网络安全攻防实战的团队创建,累计审计 300 多份知名智能合约,涵盖以太坊(Ethereum)、EOS、A 链(AChain)、唯链(VeChain)、本体(ONT)、星云链(Nebulas)等公链平台,累计发现数十个高危、中危安全问题。
此外,慢雾还是国内首家进入 Etherscan 智能合约安全审计推荐名单,审计报告得到数十家知名交易所的认可。
艺术区AET项目此次顺利通过慢雾科技智能合约安全审计,进一步证明了艺术区AET智能合约的安全性以及团队过硬的技术实力。未来,艺术区将在用技术驱动产品发展的同时,严守安全防线,促进艺术品在链上安全流通。
长按识别下方二维码,了解更多项目详情。或微信搜索“艺术区”,关注项目官方公众号。
