“每個人都可能是被黑客攻擊的目標(biāo)。我們需要保持警惕?！?/p>

這是以太坊底層安全專家Martin Swende，在Devcon3論壇上做關(guān)于智能合約安全的演講時所說的。關(guān)于這點，他已經(jīng)見證了以太坊區(qū)塊鏈上的各種不同攻擊，同時他也希望社區(qū)成員能知道現(xiàn)在所存在的問題。

比如DAO攻擊，在這次事件中以太坊區(qū)塊鏈上幾百萬美元的資金被盜了，就是由于智能合約的漏洞。有段時間由于不知名的攻擊，以太坊轉(zhuǎn)賬的時間變慢了，這件事就發(fā)生在Swende在以太坊工作的前幾天。幾個月后，以太坊錢包Parity在被黑客侵入后，損失了3千萬美元。而且這還沒有提到比特幣相關(guān)的黑客事件。

研發(fā)人員指出，以太坊作為一次技術(shù)革命，還有很多的問題需要解決，這也是為什么要在這樣的頂尖區(qū)塊鏈論壇，第二天就需要和代碼開發(fā)者還有學(xué)術(shù)專家一起著重強調(diào)工具安全的重要性，這樣做有助于智能合約在安全方面有很大的進步。盡管現(xiàn)在有很多的代碼攻擊，研發(fā)人員對于智能合約安全問題仍然保持樂觀態(tài)度。

RSK實驗室的首席科學(xué)家和區(qū)塊鏈安全顧問Sergio Demian Lerner告訴CoinDesk說：“在安全方面，整個以太坊生態(tài)系統(tǒng)正在日趨成熟。”

以太坊有不同的部分都需要安全認證，但是在Devcon會議的第二天就將重點放在智能合約上，因為大多數(shù)情況下智能合約的漏洞是資金失竊的根源。

ManuelAráoz，區(qū)塊鏈安全公司Zeppelin的首席技術(shù)官，把2016年稱為是以太坊安全的 “黑暗歲月” ，和所有人一樣，他發(fā)現(xiàn)以太坊的安全問題需要得到重視。

如果以太坊區(qū)塊鏈上存在重大漏洞，那么就肯定需要立即“升級”智能合約。和傳統(tǒng)的軟件代碼不同，如果在智能合約代碼中發(fā)現(xiàn)漏洞，而且在攥寫代碼的時候沒有考慮到安全防護措施，那么對于開發(fā)者來說是不可能在出現(xiàn)問題后立即更新代碼的。

針對此情況，Aroz和他在Zeppelin的團隊在開發(fā)一個工具，并啟動一項新的OS項目，來使得即使更改正在運行的區(qū)塊鏈代碼變得更加方便。

“如果區(qū)塊鏈中存在代碼缺陷或者需要升級程序，我們可以使用這項工具，其有利于解決代碼書寫中遇到的問題?！?/p>

如果這還沒有完全解決代碼漏洞，該項目還會提供一個新的工具。這些方案很受以太坊系統(tǒng)開發(fā)者的認可，因為它們很大程度上提高了以太坊的安全性。

Securify項目被稱為“一鍵式安全審查工具”，給開發(fā)人員提供了一個簡易的界面來寫入智能合約代碼，同時檢查其中的漏洞。在這個會議上，蘇黎世聯(lián)邦理工大學(xué)軟件可靠性實驗室研究員QuenTIn Hibon說Securify是以太坊強大的安全保障。就像Lerner所說，所有事情的發(fā)展都保持在正確的方向上。

以太坊虛擬設(shè)備的安全性上已經(jīng)被大大提升了，現(xiàn)在已經(jīng)增添了正規(guī)的驗證方法，并且使用數(shù)學(xué)驗證來檢測智能合約是否能正常工作。以太坊主要的智能合約語言，Solidity已經(jīng)非常成熟了，所以現(xiàn)在很多的錯誤在Solidity上就被糾正了。

這并不是說以后智能合約就沒有問題存在了。幾乎在每個以太坊安全會議上，都在強烈呼吁大家要做行動派，全球第二大市值的數(shù)字貨幣以太坊正在面臨這一系列的問題。

RSK實驗室的Lerner，就提到他在業(yè)余時間有參加ICO智能合約的工作，發(fā)現(xiàn)了很多明顯的錯誤。事實上現(xiàn)在的代幣項目方很需要安全專家來審查他們的智能合約代碼是否足夠安全。一些大學(xué)的研究人員正在嘗試一項激勵活動，鼓勵黑客像項目方匯報漏洞而不是為自己謀利。

Hydra擬出了大致的代碼漏洞獎勵模式：給黑客提供的獎勵高于去入侵客戶所獲得的受益。但是很多這樣的項目還處在初期階段，以太坊和其他的加密貨幣，現(xiàn)在仍然是黑客的天堂?！昂诳偷挠^念也在逐漸改變。僵尸網(wǎng)絡(luò)和拒絕服務(wù)攻擊是黑客主要的受益來源，但是這個變得越來越難能完成。”

區(qū)塊鏈開發(fā)者還面臨很多新的風(fēng)險，需要時刻做好準(zhǔn)備。最重要的就是有警覺心，不要相信任何人。