安全公司：智能合約不是完美合約，四分之一存在關鍵性漏洞_COIN:DeFi Coin

智能合約能解決諸多問題，但它們本身卻似乎問題纏身。EOS中存在的RAM致命漏洞和原因一度成為幣圈頭條，一周后，一家代碼審核公司揭示了智能合約中普通存在漏洞的現象。安全公司Hosho與社區管理公司Amazix的最新合作發現，每四個智能合約項目中就有一個存在嚴重的漏洞。

10億美元并不能保證不出現漏洞

10億美元——這是Hosho審計過的智能合約項目所籌集的資金數額。這家安全公司聲稱，它審計的智能合約比審計過的其他行業公司都要多。盡管這些項目有大量的人力和財力資源可供使用，但如果他們忽視對其代碼進行徹底審查，他們中的許多項目將會陷入癱瘓。Hosho審計過的項目中，有四分之一被發現存在嚴重的漏洞，大約60%的項目至少存在一個安全問題。

彭博社：今年風投公司對加密審計和安全公司的投資激增:8月23日消息，隨著加密領域黑客攻擊事件的增長，加密審計和安全公司行業引來了增長。CB Insights數據顯示，今年到目前為止，風險投資公司已向加密審計和安全公司投入了2.57億美元，高于2021年全年的1.85億美元。其次，該行業審計需求也持續上漲。ConsenSys稱，今年到目前為止，已有1161個外部項目要求ConsenSys審核其智能合約代碼，接近2021年全年的數量，高于2020年的247個請求。客戶花費高達320,000美元的審計來進行長達9個月的審計。其次，加密審計人員的薪資非常豐厚，加密招聘公司 Plexus Resource Solutions 的創始人 Zeth Couceiro 表示，經驗豐富的區塊鏈審計師的年薪可高達40萬美元。他們的薪酬通常比專注于加密編程語言Solidity開發人員高20%左右。（彭博社）[2022/8/23 12:42:45]

ICO項目的啟動平臺以太坊受到的影響最為嚴重，其中存在的大量可利用代碼導致數億美元的以太幣被竊取或鎖定。雖然像Stratis這樣的智能合約平臺正在推動使用C#來調試部署套件和專業反編譯器的可用性，但是以太坊的圖靈完備系統為漏洞留下了更大的余地。識別和消除所有潛在的安全漏洞是一項永無休止的的任務，即使是經驗豐富的可靠開發人員也很難做到這一點。獲得專門從事智能合約審計的第三方的支持，雖然不能確保萬無一失，但卻是避免發布漏洞叢生代碼的最好辦法。

動態 | 安全公司：新型勒索病威脅受害者繳納350美元的比特幣:近日，騰訊御見威脅情報中心監測發現，山東某企業感染勒索病，觀察該病時間戳信息可知該病為2019年2月編寫，病PDB信息中有Aurora工程名字樣。鑒于此，騰訊御見將該新型勒索病命名為Aurora（歐若拉）。勒索者威脅受害者繳納相當于350美元的比特幣來獲取解密工具。 查看目前已知病作者勒索使用比特幣錢包，分別在2019.2.18，2019.2.28，2019.3.18有比特幣轉入記錄，目前共計收入0.27比特幣，按當前比特幣價格估算約價值1035美金，意味著該病作者已成功勒索3次。[2019/3/4]

智能合約測試服務

動態 | 網絡安全公司在Make-A-Wish基金會網站上檢測到加密惡意軟件:據cointelegraph消息，近日，網絡安全公司Trustwave發布的一份報告稱，黑客已經通過加密劫持惡意軟件感染了全球非營利組織Make-A-Wish基金會的網站。據Trustwave研究人員稱，加密惡意軟件設法將一個JavaScript（JS）礦工CoinImp納入域名worldwish.org，以便非法挖掘以隱私為特點的加密貨幣 Monero（XMR）。與臭名昭著的Monero采礦軟件CoinHive類似，CoinIMP據報道利用網站訪問者的計算能力挖掘加密貨幣。

根據該報告，CoinImp腳本通過drupalupdates.tk域感染了該網站，該域與另一個自2018年5月以來利用關鍵Drupal漏洞破壞網站的廣告系列相關聯。研究人員指出，最近檢測到的活動部署了許多技術來逃避檢測，包括改變其已經混淆的域名，以及WebSocket代理中的不同域和IP 。Trustwave聯系了Make-A-Wish以報告加密劫持攻擊，但基金會沒有回應。在Trustwave試圖訪問基金會后不久，惡意注入的腳本被刪除。[2018/11/21]

雖然行業慣例是在代幣發售前對智能合約進行審計，但尚未籌集資金的項目可能會嘗試走捷徑，在這一程序上節省開支。然而，這樣的做法可能是致命的，因為最惡性的漏洞會導致錢包被洗劫一空，而通過操縱緩沖區溢出漏洞可以更改帳戶余額。數個基于以太坊的項目在執行第一次智能合約時就搞砸了，然后被迫進行代幣替換。

在EOS方面，本周所有的精力都集中在修復最近發現的RAM漏洞上。這個漏洞允許惡意用戶“在他們的帳戶上設置代碼，這樣他們就可以以另一個賬戶的名義插入執行向他們發送代幣的代碼行。「當DAPP/用戶向它們發送代幣時，他們可以在行中插入大量無用數據，從而鎖定RAM。」

Amazix是加密貨幣經濟領域內一家卓越的社區管理和咨詢公司，現已與Hosho合作，為客戶提供智能合約審計服務。Amazix首席營銷官肯尼思?貝爾森說道：

在缺乏行業標準的情況下，我們認為智能合約審計和滲透測試是確保區塊鏈系統良好安全性的重要組成部分。在我們看來，沒有誰比Hosho的工程師更有資格做這件事的了。

加密貨幣的擁躉者們認為，智能合約最終會滲透到從保險到糾紛解決等服務的方方面面中來。在此之前，在治理智能合約的代碼上建立信任至關重要。

鏈聞ChainNews：提供每日不可或缺的區塊鏈新聞。

原文作者：KaiSedgwick文章來源：巴比特中文編譯：Libert版權聲明：文章為作者獨立觀點，不代表鏈聞ChainNews立場。

來源鏈接：news.bitcoin.com

本文來源于非小號媒體平臺：

鏈聞速遞

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626997.html

漏洞風險安全

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

巴西政府向本地加密貨幣交易所發送調查問卷

Tags：COIOINCOIN比特幣DeFi CoinUCoinsRatsCoin Team Dao比特幣交易所合法嗎

BNB價格