以太坊目前已知安全问题汇总

中享比特，国内知名的区块链独立技术解决方案提供商，一直关注网络安全技术的发展。 近日，公司研发团队对知名以太坊项目的安全漏洞进行了梳理，并给出了相关意见。

以太坊是一个具有智能合约功能的开源公共区块链平台。 区块链上的所有用户都可以看到基于区块链的智能合约。 但是，这会导致所有漏洞（包括安全漏洞）都可见。 如果智能合约开发者疏忽或测试不充分，导致智能合约代码出现漏洞，极易被黑客利用和攻击。 而且智能合约越强大，逻辑越复杂，越容易出现逻辑漏洞。 同时，智能合约语言Solidity本身和合约设计也可能存在漏洞。

如果区块链也有315，那么以太坊肯定榜上有名。 以太坊自运行以来，因漏洞引发的重大安全事件屡见不鲜。 北京时间2016年6月17日，一场区块链史上的重磅来袭发生。 由于以太坊智能合约存在重大缺陷，区块链行业最大众筹项目TheDAO（攻击前资产约1亿美元）遭到攻击，导致超过300万以太坊资产从TheDAO资产池中分离.

2017 年 7 月 21 日，智能合约编码公司 Parity 警告称，1.5 及更高版本的钱包软件存在漏洞。 根据 Etherscan.io 的数据，价值 3000 万美元的 150,000 个以太币被盗。 2017 年 11 月 8 日，以太坊 Parity 钱包出现了另一个重大漏洞。 多重签名漏洞被黑客利用，导致数亿美元资金被冻结。

以太坊开源软件主要由社区极客编写。 目前已知的漏洞有Solidity漏洞、短地址漏洞、交易序列依赖、时间戳依赖、重入攻击等。 这些漏洞可能在调用合约时被利用。 智能合约部署后难以更新的特点也使得该漏洞的影响更为广泛和持久。

根据相关调查统计，以太坊的主要漏洞如下表所示：

上述漏洞已经广泛存在于以太坊网络中。 2018 年 2 月 24 日，新加坡和英国的多名研究人员指出，超过 34,000 个以太坊智能合约可能存在易受攻击的漏洞，导致数百万美元的以太坊被曝光。 在面临风险的人中，有 2,365 人属于著名项目。

鉴于以太坊运行不到3年，上述漏洞可能只是其所有漏洞的冰山一角。 为保证业务在区块链上安全可靠运行，保护数字资产安全，采用以太坊作为区块链技术。 在规划解决方案时，必须对智能合约代码进行全面测试。 在构建智能合约时，ZBT技术团队的安全建议如下：

限制存储在智能合约中的以太坊数量。 如果智能合约源代码、编译器或平台出现问题投资以太坊安全吗，这些资金可能会丢失。

使智能合约中的功能尽可能小和模块化。 必须保证源代码的质量（比如限制局部变量的个数和函数的长度），程序注释尽量完整，以方便日后维护，增加代码的可读性。

尽可能的减少交易中gas的消耗。 如果有一定要用到大量计算的地方，尽量放到链下处理。

向智能合约添加一个功能，执行一些自我检查，如“是否有任何以太泄漏？”。 如果自检失败，智能合约会自动切换到某种“故障安全”模式，例如，禁用大部分功能，将控制权移交给固定且可信的第三方投资以太坊安全吗，或者将智能合约转换为简单的“把我的钱还给我”的智能合约。