6个简单的步骤来保护你的以太坊智能合约安全
以太坊使用"智能合约",或建立在区块链技术上的可编程软件程序,为去中心化的应用程序、不可伪造的代币和去中心化的自治组织提供动力。以太坊智能合约提供的丰富功能使web3开发者能够创建复杂的基于区块链的应用程序。
然而,智能合约的不稳定性增加了漏洞、bug和错误,随着加密货币市值达到数万亿美元,黑帽黑客正在寻找智能合约中可以利用的弱点。
在这篇文章中,我们将介绍智能合约安全的最佳做法,故障保护措施,以及用于加强智能合约安全的智能合约分析工具。
以太坊智能合约简介
以太坊智能合约是用Solidity编写的,这是一种类似于C++和Javascript的语言。以太坊智能合约在以太坊区块链上运行,其执行由以太坊虚拟机管理--这是一台执行以太坊智能合约的虚拟超级计算机,并分布在世界各地的多个节点上。
以太坊智能合约的架构可能与其他合约不同。智能合约可以是功能有限的简单合约,也可以是具有多层次功能的复杂合约。
持有32枚以上ETH的地址数量达到16个月高点:金色财经报道,据Glassnode数据显示,持有32枚以上ETH硬币的地址数量刚刚达到16个月高点,数值为116,135。[2022/7/9 2:01:20]
智能合约的4个好处
无论他们的预期设计如何,智能合约都提供了相同的好处。
1.不变性
智能合约不能被轻易修改,这使得它们可以抵抗未经批准的改动。一旦合同被验证并在区块链上存活,要改变或升级智能合同的代码需要很大的努力。
2.信任
根据设计,智能合约在满足预定条件时自动执行一组指令。这发生在没有外部控制的情况下,所以参与的用户可以信任代码在没有人类中介的情况下工作。两个人可以在不信任对方的情况下进行交易,因为他们知道智能合约将充当一个公平的仲裁者。
3.成本效益
智能合约与法律文书的结合,可以简化个人之间的交易,消除对中间人的需求。由于没有中间人的补偿,各方可以在执行和实施协议上花费更少。
4.速度
每个智能合约都在条件性编程上运行。当合同的逻辑规则得到满足时,这些程序化的行动立即发生。因此,交易可以比传统系统更快发生。
Santiment:主流加密货币流通量及其每日活跃地址处于6个月高位:12月5日消息,据Santiment数据显示,比特币周六反弹至5万美元以上,两个主要的积极因素是BTC的两个主要效用指标继续上升。主流加密货币的代币流通量及其每日活跃地址现在正处于6个月的高位。[2021/12/5 12:52:23]
保护以太坊智能合约的6种行之有效的方法
在区块链上运行的智能合约将为世界各地的用户改变治理、金融、物联网和许多其他行业。然而,由于开发人员必须考虑所有的安全挑战,智能合约的安全漏洞必须得到认真对待。
以下是web3开发者在以太坊和EVM兼容的区块链上构建dapp时必须采用的一些基本智能合约安全最佳实践。
1.严格执行智能合约审计
在2022年,在没有安全审计的情况下部署智能合约应该是一种犯罪。即便如此,许多开发者仍在推出未经审计的智能合约。来自Certik的DeFi安全状况报告显示,大多数被利用的智能合约没有得到安全审计。
可以理解的是,聘请智能合约审计师的费用并不便宜。但正确的安全检查可以为你在接下来的日子里节省更多。在DeFi,数百万人在利用拙劣代码的弱点进行的黑客攻击中损失。
闪电网络节点数量已达13616个:金色财经报道,据1ML.com数据,目前,支撑网络的节点数量达到13616个,相较30天前数据,环比上涨2.86%;通道数量为37266,相较30天前数据,环比下降0.3%;闪电网络承载能力目前为1047.76BTC,约合1199.32万美元。[2020/8/29]
一个好的区块链安全审计师遵循一个成熟的审计过程,以发现智能合约代码中的缺陷,并发现在开发过程中未被注意到的错误。此外,他们可以在部署前对智能合约的修复和优化给出有用的建议。
2.测试你的代码
测试、测试、再测试你的代码,以发现错误和其他漏洞。
严格的测试也许是确保智能合约在部署到主网后按预期执行的最简单和最有效的方法。
将智能合约部署在测试网络上,观察它是否有任何异常。这样,你就可以知道协议是否按照它应该的方式运行。
推荐用于测试Ethereum智能合约的测试网包括:
Rinkeby
Kovan
Ropsten
Truffle
需要测试网ETH吗?使用Alchemy的免费RinkebyETH龙头,开始测试你的合约。
HT已上线火币日本站 系日本第26个合规数字资产:6月16日,据火币日本公告,火币日本已正式上线HT。根据公告,火币日本将开通HT/JPY、HT/BTC、HT/ETH、BCH/HT、XRP/HT、LTC/HT 6个交易对。同时火币日本还上线HT抢购活动,后续会陆续推出HT手续费抵扣、投票、支付等多种功能,推动HT本土生态构建。
据悉,上线后HT已成为日本第26个合规数字资产,并在日本合规数字资产市值中排名第7。日本是全球第二大数字资产交易市场,有超过620万的数字资产投资者。[2020/6/16]
运行单元测试来隔离单个代码片段
单元测试也是提高合约安全性的一个好主意。单元测试着眼于你的代码的单一部分,所以如果发生故障,你可以知道什么地方出错了。
在将每个新功能整合到智能合约之前,最好为其运行单元测试。记住,智能合约在本质上是不可改变的,如果以后出现漏洞,就不可能对代码进行修补。
3.与同僚一起审查代码
如果你在一个团队中工作,确保每个成员都进行独立的代码审计并提供详细的反馈。单独的开发人员可能希望在整个开发过程中找到一个值得信赖的同事来同行审查他们的智能合约代码,以提高安全性。
声音 | 木屋资本黄海光:STO将在未来3-6个月开启第一轮迭代潮:金色财经现场报道,11月27日,木屋资本THE CABIN CAPITAL创始人黄海光在由Blocklike主办的“局·势——证券型通证产业发展与落地”论坛上表示,STO 将在未来3-6个月开启第一轮迭代潮,主要原因在于:第一,监管宽松型政策环境内的流动性扩张。第二,美国产业中心的弱化。第三,以交易所为主要基建的产业链进一步完善。第四,核心产业建设者的混业经营。[2018/11/27]
4.降低软件的复杂度
软件安全的最终规则是保持代码简单。代码中的复杂性越高,变量就越多,从而增加了失败的机会。
正如荷兰计算机科学家EdsgerW.Dijkstra所说。"简单是可靠性的先决条件"。
这并不意味着你应该避免构建功能丰富的智能合约,然而,你应该在一开始就从简单的架构开始,并随着时间的推移使用干净的代码和熟悉的模式慢慢扩展功能。
5.实施故障安全保护
编写Ethereum智能合约时的一条经验法则是"为失败做准备"。无论你测试多少次,你都不可能涵盖所有可能影响智能合约的错误。因此,为你的Ethereum智能合约设计一个故障安全机制是必要的。
故障安全模式对于限制恶意攻击的损害是很有用的。它们被设计为一旦检测到异常的智能合约活动就会触发。
智能合约故障安全保护的4个例子
兼容EVM的智能合约的故障安全保护的例子包括。
1.短路器
当发现错误和漏洞时,"短路器"可以用来阻止功能的执行。对于短路器,你有两个选择来激活它们。
给予受信任的管理员以触发断路器的权限
对短路机制进行编程,使其在满足预设条件后运行。
因为智能合约是自动化的,当错误发生时,短路器会限制操作。
2.速度缓冲器
减速器是一种减缓恶意行为的防故障机制,尽管它不会阻止攻击,但减速器给管理员足够的时间来立即采取纠正措施。
加速器的一个主要例子来自于2016年臭名昭著的DAO黑客攻击。该程序确保在27天后才有可能从DAO中提取资金,这使得资金一直在智能合约中,直到开发者能够取回它们。
3.速率限制
速率限制可以控制特定时间范围内调用函数的频率,提供了一个权宜之计,以防止重复调用函数以耗尽锁定的资金、发行大量ETH代币或执行多次提款的漏洞。
此外,合同层面的速率限制可以用来限制在一个时间间隔内发行代币的数量。
鉴于不良行为者在短时间内发行大量代币的漏洞数量,速率限制是加强智能合约安全的良好预防措施。
4.余额限制
余额限制通过限制单个智能合约中可锁定的ETH总量来降低智能合约风险。
余额限制将监测智能合约中持有的资金余额。一旦达到阈值,该机制会触发自动拒绝后续付款。
如果你正在推出一个新的智能合约,在你对合约的安全性有信心之前,余额限制可能是一个很好的预防性安全措施。
6.设计安全的访问控制机制
访问控制机制决定了谁可以管理和改变合约的某些元素,它是你的Ethereum智能合约架构的一个关键路径。
如果错误的人得到所有权或管理权限,他们可以重新编程合同,执行恶意交易。
为了防止错误的人获得管理权限,确保敏感功能需要多级授权才能访问。
Web3开发者应该知道的4个智能合约安全工具
智能合约的安全性是很严肃的。这里有一些分析工具,可以帮助你保护你的智能合约,防止被利用,bug,和漏洞。
1.Octopus
Octopus是一个高功能的分析工具,用于分析智能合约的字节码,深入了解内部行为。它与建立在流行区块链上的智能合约兼容,如NEO、比特币,当然还有以太坊。
2.Oyente
Oyente是一个自动化的智能合约审计工具,用于识别常见的智能合约安全漏洞。它包括一个验证器、资源管理器、CoreAnalysis工具和CGF构建器。每个组件都执行一个关键功能;例如,资源管理器运行智能合约,CoreAnalysis检测所产生的输出中的任何问题。
3.Mythril
Mythril是一个由ConSensys建立的智能合约安全工具,对测试以太坊虚拟机字节码很有用。它使用污点分析、SMT解算和符号执行的组合来发现智能合约代码中的漏洞。
4.Securify
Securify是一个由Ethereum基金会支持的智能合约漏洞扫描器。这个流行的以太坊智能合约扫描器可以检测到多达37个智能合约漏洞,并实现了针对上下文的静态分析,以获得更准确的安全报告。
用智能合约安全的最佳实践保护你的下一个项目
当正确实施时,智能合约技术可以被调整以支持各种使用情况。然而,智能合约是代码,由人类编写,有时并不完美。
作为一个智能合约的开发者,你在编写代码时必须遵循安全的最佳实践,包括运行详细的安全分析,利用多种安全分析工具和资源,获得同行评审,简化代码结构,并实施故障安全机制。
标签:以太坊区块链ETH以太坊币是什么币区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势ETH钱包地址ETH挖矿app下载Etherael指什么寓意
Santiments提供的链上数据表明,XRP仍然是唯一显示出未来轻微看涨迹象的大型加密货币。 报告:加密货币普及率高的地区房价高于没有加密货币普及的地区:金色财经报道,美国国家经济研究局的研究.
1900/1/1 0:00:00Cardano的每周发展报告讨论了其多个团队在过去7天内为改进网络所做的努力。链上表现不错,但ADA的价格令投资者失望。卡尔达诺一直在可扩展性方面努力,这是其第四代BASHO的主要关注点.
1900/1/1 0:00:00虽然加密货币领域的稳定币板块在过去快速增长,但现在已经连续13个月下滑,而Tether的USDT稳定币一直占据主导地位.
1900/1/1 0:00:00Tron为Stake2.0推出了两个新功能。根据TRONSCAN,截至发稿时,质押的TRX总量显示出回升迹象.
1900/1/1 0:00:00根据市场情报平台Santiment提供的数据,随着比特币(BTC)开始从关键的26,000美元大关下跌,社交量和对山寨币的情绪大幅上升.
1900/1/1 0:00:00大家好,这里是链客区块链技术问答社区。链客,专为开发者而生,有问必答! 什么是计算机安全? 要从总体上理解什么是计算机安全,有必要考虑一下安全在日常生活中意味着什么.
1900/1/1 0:00:00