震惊！ ERC20漏洞揭示区块链安全问题，你得注意你的钱包

描述

2018年4月23日，BEC（美丽链）破解ERC20协议安全漏洞。 攻击者利用整数溢出BUG无限生成代币，直接导致BEC值几乎为零。

5月2日晚，美图蔡文胜在微信群的互动中再次回答了很多关于BEC的问题。

蔡文胜强调：“BEC美妆连锁店不是美图做的，也不是我亲手做的。” 但网友们似乎并不买账。

作为价值流通的底层平台，安全是区块链的重中之重，也是区块链被社会广泛接受的基石之一。 如何通过良好的漏洞治理生态来减少风险事件的发生将变得尤为重要。

回顾区块链的九年发展历程，因安全事件导致的巨额经济损失、企业倒闭等问题不胜枚举。

我们先来分析比特币、以太坊、交易所三大安全事件重灾区的现状，然后从项目团队、项目生态、投资者防范三个方面探讨如何全面构建区块链安全生态. 有效降低安全风险。

安全问题的现状

1. 比特币安全问题

比特币区块链自2009年1月4日运行至今，至今已稳定运行3405天，其安全性可谓无懈可击。

然而，随着加密技术的发展，比特币的安全机制越来越受到挑战。

一个由加密算法爱好者组成的组织（Large Bitcoin Collider (LBC)）正在进行一项不切实际的努力：

暴力破解创建比特币钱包地址的加密算法。

LBC 运行不到一年，项目团队表示他们已经生成了 3000 万亿个密钥，并与现有的比特币钱包地址进行了比较。 目前共筛选出30个匹配键。 除去“钓鱼”密钥，已经有 3 个匹配的密钥实际包含比特币。

除了暴力破解之外，比特币最大的安全隐患来自交易所平台被盗或被黑客入侵，或者用户账户被盗。

一旦被盗，黑客会通过混币等方式洗白以太坊erc20，追回的可能性几乎为零。

2. 以太坊安全问题

与比特币相比，以太坊最大的改进一方面是智能合约的引入。

一方面，其图灵完备的编程机制使得平台能够支持复杂的应用，大大丰富了平台应用的多样性；

另一方面，以太坊引入了虚拟机中间层，使得以多种语言开发的智能合约能够在平台上运行，提高了平台的可扩展性。

但也正是这两种机制，给以太坊的安全性增加了更多的不确定性。

首先，图灵完备的编程方式虽然更加灵活，但也更加复杂和不可控；

其次，虚拟机机制使得以太坊能够支持多种语言。 当然，也引入了更多语言的不确定性、复杂性和固有缺陷。

这些因素是黑客寻找猎物的温床。

以太坊架构示意图

以太坊作为区块链最活跃的公链平台，目前已知存在Solidity漏洞、短地址漏洞、交易序列依赖、时间戳依赖、重入攻击等漏洞。

调用合约时可能存在漏洞，而智能合约部署后难以更新的特点也使得漏洞的影响更为广泛和持久。

某研究机构使用分析工具麦安对近100万份基于以太坊的智能合约进行分析，发现3.42万份合约存在安全漏洞，可窃取或冻结资产，甚至删除合约。

3.交易所安全问题

交易所作为一个巨大的数字资产中心化池，已成为黑客的重要目标。 如果安全管控不到位，任何攻击都会造成重大损失，破产只会在一夜之间发生。

除了外部攻击，交易所内部的自我窃取或信息泄露也是非常致命和可怕的。 2018 年 4 月，总部位于印度的交易所 Coinsecure 宣布，价值 330 万美元的 438,318 个比特币被盗，据称是一名员工所为。

据外媒 Cointelegraph 报道，韩国媒体网站 MBC 聘请安全公司对 Bithumb 等 5 家韩国比特币交易所的安全设置进行测试，结果令人担忧。

使用一些所谓的基本黑客工具，这家安全公司设法绕过交易所的安全程序，称它能够侵入所有五个目标平台并获得对用户数据和资金的访问权限。

构建区块链安全生态

区块链安全生态不仅需要项目团队和开发者，更需要多方合作。 因此，本文主要从项目团队内部控制、项目生态激励、投资者自我防范三个方面探讨区块链安全生态。 建筑。

完善代码安全审查机制

回顾ERC20漏洞事件以太坊erc20，我们可以看出，破坏BEC的只是一个整数溢出漏洞。 学过计算机的同学可能都知道，这类漏洞是程序中最普遍、最常见的漏洞，可以通过有效的代码安全审查机制来避免。 .

漏洞事件一出，经核实，已有20多个使用ERC20协议的项目存在类似问题，代码质量堪忧！

千变万化的币圈，确实发展太快了。 大家都在一往无前，急着写白皮书，急着募资，急着赶项目。 自然，很少有人安下心来做测试并做好。 安全审查导致漏洞和安全事件频发。

区块链作为一个分布式去中心化系统，一旦部署了代码就很难更新。 需要通过硬分叉或者软分叉的方式升级代码，成本不小。

DAO事件直接将以太坊分裂为ETH和ETC，是对以太坊生态的重大破坏。 因此，在项目发布之前，充分的测试和代码审查变得非常关键和必要。 例如多人代码审查、内部评估团队、外部专家评估等。

多人代码审查

由于一个人的能力和认知总是有限的，同一段代码，不同的人会发现不同的问题。 多人代码审查机制可以大大降低代码的BUG率和漏洞率。 这种方法也是软件行业中最常用、最有效的降低错误率的方法之一。

内部评估小组

项目组成立内部安全评估小组，梳理行业常见安全问题清单，对上线项目逐一进行安全审计。 通过简单的排序和评估，可以扫除常见的基本漏洞，大大增加了系统性的可靠性。

外部专家评估

对于一些新的、特殊的漏洞，项目组可以借助外部安全专家的帮助进行梳理和评估，力争在项目发布前将安全风险降到最低。

为白帽黑客制定激励措施

世界无非是两极，一阴一阳，一黑一白，一善一恶，有黑客肆意破坏，有白帽黑客维护世界正义。

随着各种数字资产的市值越来越高，黑客从中获取的利润也越来越客观。 相比之下，白帽黑客就差多了。 这种巨大的收入差距导致越来越多的人加入黑客的阵营，而白帽黑客却凤毛麟角。

通过激励白帽黑客，可能是遏制或平衡黑客日益肆无忌惮的破坏行为的有效手段。

那么，如何激励白帽黑客为平台做贡献呢？

主要可以从两个方面入手，一是物质激励，二是精神激励。

物质激励

对于发行代币的公链来说，最切实的物质激励自然是代币。 它既是区块链平台的价值载体，也是平台生态治理的重要手段。 例如，在 COSMOS 中，为了鼓励发现并及时报告缺陷，Cosmos Hub 允许黑客通过 ReportHackTx 交易“认领”，该交易主要表述为“本节点已被攻击，请将奖金发送给本节点”。地址”。 黑客可以获得被攻击资产的 5% 作为赏金。

此外，我们还可以通过设立黑客奖金池、黑客基金或项目专项顾问等方式，鼓励白帽黑客积极挖掘漏洞，助力平台永久安全运行。

精神刺激

除了物质奖励，精神激励对于Hackers这个性格迥异的群体来说，或许是更持久有效的方式。 对于每一个为平台或项目做出贡献的黑客，项目组、基金会或社区都应给予相应的荣誉奖励。 可以是排行榜，贡献值，或者某种稀有称号等等，这样既可以让社区其他成员知道，又可以明显区别于普通成员，增强存在感，在社区中的参与和荣誉。

选择靠谱的交易所

交易所成为安全事件重灾区的原因有二：

一方面是因为交易所存储了投资者的巨额数字资产；

另一方面，区块链行业发展迅速，中心化交易所的安全建设跟不上其业务的发展速度。 特别是各类交易所参差不齐，安全问题十分突出，投资者利益难以得到保障。

为此，去中心化交易所大行其道，但由于其交易效率和技术实现难度较大，无法完全替代中心化交易所。

因此，从保护自身切身利益的角度出发，投资者选择一家经营时间长、可靠、有保障的交易平台非常重要。