SOLID:智能合约开发必读：这10个Solidity安全问题不容忽视_creditbit

编者按：本文来自登链社区，Odaily星球日报经授权转载。在2018年，我们曾对智能合约安全状况进行过初步研究，重点是Solidity编写的智能合约。当时，我们根据公开的合约源代码编写了最常见的10个智能合约安全问题。两年过去了该更新研究并评估智能合约安全性发展的如何了。值得关注的其他问题

尽管有一个安全问题排名很不错，但它往往一些有趣的细节，因为某些细节与排名列表并不完全一致。在深入挖掘10大问题之前，必要阐述一下原始研究中一些值得关注的亮点问题：在2018年，最主要的两个问题是外部合约拒绝服务和重入。但是现在这些问题有所缓解。可以从我们的研究博客中了解更多有关Reentrancy的信息：从安全角度出发审视智能合约。译者注：实际上由于DeFi应用之间的组合应用，又导致了多起严重的重入攻击事件。现在Solidityv0

Ethermine矿池母公司Bitfly提醒矿工若直接向智能合约支付，可能会耗尽gas:Ethermine矿池母公司Bitfly表示，矿工需要注意，如果直接向智能合约支付，支付交易可能会耗尽gas（交易失败）。最近的柏林硬分叉改变了具体操作的gas消耗。如果受此影响，请更改挖矿地址。[2021/4/21 20:44:09]

如上例所示，在乘法之前执行的除法，可能会有巨大的舍入误差。5.依赖tx

}可以在Solidity的文档中找到TxOrigin攻击的详细说明。简单的说，tx

动态 | 腾讯《区块链智能合约安全技术要求》标准获CCSA TC8立项:11月22日，由中国通信标准化协会主办、深圳市腾讯计算机系统有限公司承办的网络与信息安全技术工作委员会（CCSA TC8）第二十六次全会在广州市顺利落幕。腾讯公司在云服务和区块链两大领域提出的《云客户信息安全管理体系评估指南》和《区块链智能合约安全技术要求》两项标准在会上成功立项，助力互联网信息安全标准化体系的建立健全，为产业互联网的安全发展提供新的保障。[2019/11/23]

在上面的示例中，当i的值为0时，下一个值为2^256-1，这使条件始终为true。开发人员应当尽量使用<、>、!=和==进行比较。7.不安全的类型推导

动态 | Facebook加密货币项目Libra的核心：去中心化、低波动性、智能合约:Facebook加密货币项目Libra的介绍白皮书今日正式发布。根据白皮书介绍，Libra的使命是建立一个简单的全球货币和金融基础设施，为数十亿人提供动力。该文件概述了我们的计划，一个新的去中心化区块链，低波动性的加密货币，和一个智能合约平台，旨在创造一个新的机会，负责任的金融服务创新。[2019/6/18]

该问题在Solidity十大安全问题排行榜中上升了两位，现在影响到的智能合约比之前多了17％以上。Solidity支持类型推导，但有一些奇怪的表现。例如，字面量0会被推断为byte类型，而不是通常期望的整型。在下面的示例中，i的类型被推断为uint8，因为这时能够存储i的值uint8就足够。但如果elements数组包含256个以上的元素，则下面的代码就会发生溢出：for(vari=0;i<elements

在这个例子中，攻击者可能利用此行为来进行拒绝服务攻击，从而阻止其他用户接收以太币。10.时间戳依赖

在2018年，时间戳依赖问题排名第五，重要的是要记住，智能合约在不同时刻多个节点上运行的。以太坊虚拟机不提供时钟时间，并且通常用于获取时间戳的now变量实际上是矿工可以操纵的环境变量。if(timeHasCome==block

由于矿工可以操纵当前的环境变量，因此只能在不等式>、<、>=和<=中使用其值。如果你的应用需要随机性，可以参考RANDAO合约，该合约基于任何人都可以参与的去中心化自治组织，是所有参与者共同生成的随机数。总结

比较2018年和2020年十大常见问题时，我们可以观察到开发最佳实践的一些进展，尤其是那些影响安全性的实践。看到2018年排名前2位的问题：外部合约拒绝服务和重入，已经不再榜单了，这是一个积极的信号，但仍然需要采取措施来避免这类常见错误。请记住，智能合约在设计上是不可变的，这意味着一旦创建，就无法修补源代码。这对安全性构成了巨大挑战，开发人员应利用可用的安全测试工具来确保在部署之前对源代码进行了充分的测试和审核。Solidity是一种非常新且仍在成熟的编程语言，Solidityv0.6.0引入了一些重大更改，并且预计在以后的版本中还会有更多更改。来源链接：securityboulevard.com

标签：DITLIDSOLID比特币creditbitLido Staked ETHSolidblock比特币以太币

FTT热门资讯