6個簡單的步驟來保護你的以太坊智能合約安全
以太坊使用"智能合約",或建立在區塊鏈技術上的可編程軟件程序,為去中心化的應用程序、不可偽造的代幣和去中心化的自治組織提供動力。以太坊智能合約提供的豐富功能使web3開發者能夠創建復雜的基于區塊鏈的應用程序。
然而,智能合約的不穩定性增加了漏洞、bug和錯誤,隨著加密貨幣市值達到數萬億美元,黑帽黑客正在尋找智能合約中可以利用的弱點。
在這篇文章中,我們將介紹智能合約安全的最佳做法,故障保護措施,以及用于加強智能合約安全的智能合約分析工具。
以太坊智能合約簡介
以太坊智能合約是用Solidity編寫的,這是一種類似于C++和Javascript的語言。以太坊智能合約在以太坊區塊鏈上運行,其執行由以太坊虛擬機管理--這是一臺執行以太坊智能合約的虛擬超級計算機,并分布在世界各地的多個節點上。
以太坊智能合約的架構可能與其他合約不同。智能合約可以是功能有限的簡單合約,也可以是具有多層次功能的復雜合約。
分析:Genesis Trading的6個地址共持有3.64億美元資產,Alameda和3AC是其最大交易對手:1月6日消息,Lookonchain分析了Genesis Trading的6個地址后發現,Genesis目前持有3.64億美元的資產,包括219,749枚ETH(約合2.74億美元)、3500萬枚USDC、26,667枚BNB(680萬美元)、126,989枚COMP(400萬美元)、100萬枚APE(400萬美元)、814萬枚SAND(340萬美元)、290萬枚USDT、265萬枚USDP、40,448枚AAVE(220萬美元)、676萬枚MANA(210萬美元)和200萬枚BUSD等。
另外,Alameda Research和Three Arrows Capital(3AC)是Genesis最大的交易對手。Genesis Trading與Alameda Research和Three Arrows Capital的ETH、USDC、USDT、BUSD交易量接近70億美元。[2023/1/6 10:58:32]
智能合約的4個好處
無論他們的預期設計如何,智能合約都提供了相同的好處。
1.不變性
美國10年期國債收益率上升6個基點:行情顯示,美國10年期國債收益率上升6個基點,至2.88%,市場對美聯儲加息的押注增加。[2022/4/29 2:40:25]
智能合約不能被輕易修改,這使得它們可以抵抗未經批準的改動。一旦合同被驗證并在區塊鏈上存活,要改變或升級智能合同的代碼需要很大的努力。
2.信任
根據設計,智能合約在滿足預定條件時自動執行一組指令。這發生在沒有外部控制的情況下,所以參與的用戶可以信任代碼在沒有人類中介的情況下工作。兩個人可以在不信任對方的情況下進行交易,因為他們知道智能合約將充當一個公平的仲裁者。
3.成本效益
智能合約與法律文書的結合,可以簡化個人之間的交易,消除對中間人的需求。由于沒有中間人的補償,各方可以在執行和實施協議上花費更少。
4.速度
每個智能合約都在條件性編程上運行。當合同的邏輯規則得到滿足時,這些程序化的行動立即發生。因此,交易可以比傳統系統更快發生。
保護以太坊智能合約的6種行之有效的方法
在區塊鏈上運行的智能合約將為世界各地的用戶改變治理、金融、物聯網和許多其他行業。然而,由于開發人員必須考慮所有的安全挑戰,智能合約的安全漏洞必須得到認真對待。
數據:BUSD平均交易量達6個月低點:1月16日消息,據Glassnode數據顯示,BUSD平均交易量(7dMA)達到6個月低點,目前為359660.35美元。此前6個月低點是在2021年8月31日(399213.34美元)。[2022/1/16 8:52:35]
以下是web3開發者在以太坊和EVM兼容的區塊鏈上構建dapp時必須采用的一些基本智能合約安全最佳實踐。
1.嚴格執行智能合約審計
在2022年,在沒有安全審計的情況下部署智能合約應該是一種犯罪。即便如此,許多開發者仍在推出未經審計的智能合約。來自Certik的DeFi安全狀況報告顯示,大多數被利用的智能合約沒有得到安全審計。
可以理解的是,聘請智能合約審計師的費用并不便宜。但正確的安全檢查可以為你在接下來的日子里節省更多。在DeFi,數百萬人在利用拙劣代碼的弱點進行的黑客攻擊中損失。
一個好的區塊鏈安全審計師遵循一個成熟的審計過程,以發現智能合約代碼中的缺陷,并發現在開發過程中未被注意到的錯誤。此外,他們可以在部署前對智能合約的修復和優化給出有用的建議。
2.測試你的代碼
測試、測試、再測試你的代碼,以發現錯誤和其他漏洞。
Yearn協議已增發6666個治理代幣YFI 后續將通過治理流程分配:據區塊瀏覽器顯示,DeFi聚合協議Yearn已增發6666個協議治理代幣YFI,此前YFI的最大量為3萬個。根據此前通過的提案顯示,這6666個YFI中,1/3將用于獎勵貢獻者,2/3將通過未來的提案分配給財政部,財政部將通過現有的治理將其部署以用于各種用途,例如:未來的貢獻者激勵、流動性挖礦計劃、兌現獎勵、協議合并和人才獲取、跨協議激勵措施等,以加強整個生態系統項目系列之間的合作。[2021/2/6 19:04:40]
嚴格的測試也許是確保智能合約在部署到主網后按預期執行的最簡單和最有效的方法。
將智能合約部署在測試網絡上,觀察它是否有任何異常。這樣,你就可以知道協議是否按照它應該的方式運行。
推薦用于測試Ethereum智能合約的測試網包括:
Rinkeby
Kovan
Ropsten
Truffle
需要測試網ETH嗎?使用Alchemy的免費RinkebyETH龍頭,開始測試你的合約。
運行單元測試來隔離單個代碼片段
OKEx開啟熱門NFT項目充值上線 首批涉及6個項目:據官方公告顯示,OKEx已于9月30日10:00(HKT)正式開啟熱門NFT項目充值上線專場。參與首期NFT充值上線的為Aavegotchi (GHST)、Meme (MEME)、Rarible (RARI)、Whale (WHALE)、Dego.Finance (DEGO)、Bonk Token (BONK)等6大項目。
規則顯示,用戶可在9月30日10:00 -10月8日10:00(HKT)期間,充值項目代幣至OKEx賬戶或生成錢包地址進行投票,平臺將根據充值人數與生成錢包地址數之和進行排名,排名前2的項目即符合上線條件。此外,投票期間社區呼聲或助力人數達到2000的項目,平臺將考慮在活動期間內優先安排上線。符合上線條件的項目,OKEx將在完成技術對接后第一時間上線并開通交易。[2020/9/30]
單元測試也是提高合約安全性的一個好主意。單元測試著眼于你的代碼的單一部分,所以如果發生故障,你可以知道什么地方出錯了。
在將每個新功能整合到智能合約之前,最好為其運行單元測試。記住,智能合約在本質上是不可改變的,如果以后出現漏洞,就不可能對代碼進行修補。
3.與同僚一起審查代碼
如果你在一個團隊中工作,確保每個成員都進行獨立的代碼審計并提供詳細的反饋。單獨的開發人員可能希望在整個開發過程中找到一個值得信賴的同事來同行審查他們的智能合約代碼,以提高安全性。
4.降低軟件的復雜度
軟件安全的最終規則是保持代碼簡單。代碼中的復雜性越高,變量就越多,從而增加了失敗的機會。
正如荷蘭計算機科學家EdsgerW.Dijkstra所說。"簡單是可靠性的先決條件"。
這并不意味著你應該避免構建功能豐富的智能合約,然而,你應該在一開始就從簡單的架構開始,并隨著時間的推移使用干凈的代碼和熟悉的模式慢慢擴展功能。
5.實施故障安全保護
編寫Ethereum智能合約時的一條經驗法則是"為失敗做準備"。無論你測試多少次,你都不可能涵蓋所有可能影響智能合約的錯誤。因此,為你的Ethereum智能合約設計一個故障安全機制是必要的。
故障安全模式對于限制惡意攻擊的損害是很有用的。它們被設計為一旦檢測到異常的智能合約活動就會觸發。
智能合約故障安全保護的4個例子
兼容EVM的智能合約的故障安全保護的例子包括。
1.短路器
當發現錯誤和漏洞時,"短路器"可以用來阻止功能的執行。對于短路器,你有兩個選擇來激活它們。
給予受信任的管理員以觸發斷路器的權限
對短路機制進行編程,使其在滿足預設條件后運行。
因為智能合約是自動化的,當錯誤發生時,短路器會限制操作。
2.速度緩沖器
減速器是一種減緩惡意行為的防故障機制,盡管它不會阻止攻擊,但減速器給管理員足夠的時間來立即采取糾正措施。
加速器的一個主要例子來自于2016年臭名昭著的DAO黑客攻擊。該程序確保在27天后才有可能從DAO中提取資金,這使得資金一直在智能合約中,直到開發者能夠取回它們。
3.速率限制
速率限制可以控制特定時間范圍內調用函數的頻率,提供了一個權宜之計,以防止重復調用函數以耗盡鎖定的資金、發行大量ETH代幣或執行多次提款的漏洞。
此外,合同層面的速率限制可以用來限制在一個時間間隔內發行代幣的數量。
鑒于不良行為者在短時間內發行大量代幣的漏洞數量,速率限制是加強智能合約安全的良好預防措施。
4.余額限制
余額限制通過限制單個智能合約中可鎖定的ETH總量來降低智能合約風險。
余額限制將監測智能合約中持有的資金余額。一旦達到閾值,該機制會觸發自動拒絕后續付款。
如果你正在推出一個新的智能合約,在你對合約的安全性有信心之前,余額限制可能是一個很好的預防性安全措施。
6.設計安全的訪問控制機制
訪問控制機制決定了誰可以管理和改變合約的某些元素,它是你的Ethereum智能合約架構的一個關鍵路徑。
如果錯誤的人得到所有權或管理權限,他們可以重新編程合同,執行惡意交易。
為了防止錯誤的人獲得管理權限,確保敏感功能需要多級授權才能訪問。
Web3開發者應該知道的4個智能合約安全工具
智能合約的安全性是很嚴肅的。這里有一些分析工具,可以幫助你保護你的智能合約,防止被利用,bug,和漏洞。
1.Octopus
Octopus是一個高功能的分析工具,用于分析智能合約的字節碼,深入了解內部行為。它與建立在流行區塊鏈上的智能合約兼容,如NEO、比特幣,當然還有以太坊。
2.Oyente
Oyente是一個自動化的智能合約審計工具,用于識別常見的智能合約安全漏洞。它包括一個驗證器、資源管理器、CoreAnalysis工具和CGF構建器。每個組件都執行一個關鍵功能;例如,資源管理器運行智能合約,CoreAnalysis檢測所產生的輸出中的任何問題。
3.Mythril
Mythril是一個由ConSensys建立的智能合約安全工具,對測試以太坊虛擬機字節碼很有用。它使用污點分析、SMT解算和符號執行的組合來發現智能合約代碼中的漏洞。
4.Securify
Securify是一個由Ethereum基金會支持的智能合約漏洞掃描器。這個流行的以太坊智能合約掃描器可以檢測到多達37個智能合約漏洞,并實現了針對上下文的靜態分析,以獲得更準確的安全報告。
用智能合約安全的最佳實踐保護你的下一個項目
當正確實施時,智能合約技術可以被調整以支持各種使用情況。然而,智能合約是代碼,由人類編寫,有時并不完美。
作為一個智能合約的開發者,你在編寫代碼時必須遵循安全的最佳實踐,包括運行詳細的安全分析,利用多種安全分析工具和資源,獲得同行評審,簡化代碼結構,并實施故障安全機制。
Tags:以太坊區塊鏈ETH以太坊幣是什么幣區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢ETH錢包地址ETH挖礦app下載Etherael指什么寓意
無論從哪個角度來看,以太坊都是2023年的一項不錯的投資,幾乎不可能反駁這一點。就市值而言,它是市場上第二大加密貨幣,并且由于其智能合約功能和多樣化的生態系統而在社區中享有很高的知名度.
1900/1/1 0:00:00比特幣價格目標是21000美元大關,似乎完全符合最新預測。 比特幣攀升至9月中旬以來的最高水平,這將價格推向了重要的21,000美元關口.
1900/1/1 0:00:00過去兩周對比特幣來說尤其困難。在很短的時間內,BTC不得不遭遇重大挫折。許多山寨幣也受到FTX危機的影響。投資者相應地對第一種加密貨幣的未來感到不安.
1900/1/1 0:00:00社交量很高,但對柴犬(SHIB)的看法仍然負面。SHIB的價格在過去24小時內下跌了3%。由于價格持續下跌,柴犬上個月經歷了一段艱難的時期.
1900/1/1 0:00:00概括 眾議院將于周三召開會議討論加密貨幣議程。加密貨幣市場的監管漏洞將得到解決。前SEC、CFTC高管以及Kraken和Web3基金會首席法律官將作證.
1900/1/1 0:00:00尊敬的火幣伙伴們:火幣云上線以后,得到了全球各地合作伙伴的熱情響應。從7月20日到7月28日,我們已收到全球1251份申請.
1900/1/1 0:00:00