三、智能合约漏洞,如何应对?
时间:2022-03-24 12:57:01 | 来源:行业动态
时间:2022-03-24 12:57:01 来源:行业动态
在一些联盟链中,智能合约的设计是可以在部署之后更新的,当然这种更新需要一定的线下协商流程。要应对区块链智能合约的安全漏洞问题,未来需要普遍考虑设计相应的智能合约协商更新机制,降低漏洞修复的成本。
但现在,我们需要面对现实,做出几乎唯一可行的、切实有效的努力在智能合约上线之前,对其进行全面深入的代码安全审计,尽可能的消除漏洞,降低安全风险。
360代码卫士团队安全专家表示,当前区块链智能合约中可能出现的漏洞至少有20余种。以下列举一些常见的区块链智能合约的漏洞类型及其可能造成的风险,这些漏洞在智能合约上线之前,都应该进行详细的排查。
1. 整数溢出
智能合约中危险的数值操作
可能导致合约失效、无限发币等风险
2. 越权访问
智能合约中对访问控制处理不当
可能导致越权发币风险
3. 信息泄露
硬编码地址等
可能导致重要信息的泄露
4. 逻辑错误
代理转账函数缺失必要校验
可能导致基于重入漏洞的恶意转账等风险
5. 拒绝服务
循环语句、递归函数、外部合约调用等处理不当
可能导致无限循环、递归栈耗尽等拒绝服务风险
6. 函数误用
伪随机函数调用和接口函数实现问题
可能导致可预测随机数、接口函数返回异常等风险
在线咨询
