昨日,EDU 智能合約出現重大漏洞,任意賬戶中的 EDU Token 可被轉走,這些漏洞造成了來自項目方地址中的 30 億萬枚 EDU Token 被偷走,並被陸續轉手在火幣上進行拋售,引發市場進一步恐慌,價格持續走低 。

隨後,黑客通過拋售比特幣和期貨做空交易的方式,吸金離場。據區塊律動消息,比特幣價格在 23 點 30 分開始暴跌,從 7880 跌到 7400 美元,2 小時內跌幅達到 6%。

根據漫霧區的分析,此次原因是在 EDU 智能合約中存在一個 transferFrom 函數,該函數缺少 Safemath 驗證,可以讓攻擊者從任何一個 EDU 餘額不爲 0 的賬號內向另外一個賬號轉出 EDU Token,也可以理解爲可以從智能合約裏偷幣。

今年以來,多個基於 ERC20 的智能合約被曝存在安全漏洞,除了已經造成巨大影響的 BEC、SMT、BAI 等,仍有多個存在安全隱患的智能合約代幣依然在交易。巴比特此前也做過特別報道,詳情請戳 BEC、SMT 現重大漏洞,這 8 個智能合約也可能涼涼

雖然事後交易所立刻暫停交易和提幣,項目方立馬升級智能合約,造成的損失和市場恐慌等一系列反應卻不可追回,在程序員小哥背鍋的同時,我們也可以思考頻出的漏洞是否有其深層次的原因?以太坊智能合約是否本身就存在着風險?重要的 token 資產是否適合建立在 ERC20 體系基礎之上?

目前基於以太坊的 Token 合約風險主要有兩種:

一是自己寫的智能合約出現漏洞 , 被人攻擊。以太坊作爲一個記錄 DAPP 執行結果的區塊鏈 , 對於基於合約層的智能合約,需要依賴開發者自己來保障其安全邏輯,一旦合約編寫者一時粗心,便可能造成一失足成千古恨的後果。例如 18 年 4 月 22 日 BeautyChain 出現重大安全漏洞,價值幾乎歸零,BEC 憑空蒸發了 10 億美元,事後證明是程序員忘記做溢出檢查。

二是合約調用的底層合約出問題,間接產生風險。合約層是一臺封裝了可以執行圖靈完備腳本語言的虛擬機,可以通過編寫腳本語言作爲智能合約部署到以太坊區塊鏈中。去年,一個叫做“devops199”的開發者觸發了以太坊 Parity 錢包漏洞,漏洞出在錢包調用的一個 library (以太坊的底層庫函數,可以理解成公用合約)上。因爲以太坊的合約調用是把地址當指針使用,每次執行用戶編寫的智能合約都要調用 library。“devops199”把底層庫函數破壞的同時相當於把所有合約的指針都破壞了,從而使得所有錢包裏的資金被永久凍結。

微博研發副總經理 Tim Yang 曾表示,“爲什麼以太坊比較容易出安全問題?以太坊只是一個記錄 DAPP 執行結果的區塊鏈,其本身並沒有加密貨幣複式記賬所需的 UTXO 模型。重要的 TOKEN 資產本身是需要貨幣級別的安全程度,以太坊目前的設計更適合遊戲積分之類的合約運行結果。” 他還強調,重要的 TOKEN 資產不適合構建在 ERC20 體系基礎之上。

那加密貨幣複式記賬所需的 UTXO 模型的區塊鏈項目有哪些,在安全性上又有哪些優勢?

比特幣的 UTXO 模型經過了多年較爲穩定的運行和測試,性能和安全性都有較大的優勢。而以太坊的賬戶模型理解起來比較容易,但是需要考慮更多複雜的臨界情況來防止雙花攻擊和重播攻擊。另外做資產交易的量子鏈和比原鏈也採用了 UTXO 模型。

其中使用擴展 UTXO 模型 BUTXO 的比原鏈,把資產作爲新的 UTXO 形式進行交互,不僅支持無限種類的資產,而且擁有了圖靈完備的智能合約。同時杜絕了以太坊帳戶模型所存在的數據溢出,或者各種其它漏洞的出現,兼具靈活性和可控性。

對比以太坊,比原鏈的優勢有三點:

第一,比原鏈天然支持多資產,在比原鏈上的每一筆資產都是一個 UTXO, 而不是用智能合約來模擬的。據比原鏈開發團隊朱益祺表示,比原鏈交易的設計思路其實更接近比特幣,即一切都基於 UTXO。每一筆比原鏈上的資產 UTXO 都是由圖靈完備的智能合約守護。在比原鏈的設計中賬戶只駐留在本地,唯一上鍊的就是智能合約,而且每一筆交易都會自動生成一個新的智能合約。

第二,比原鏈的髮型資產的職能合約是天生自帶的,不像以太坊上都是由開發者編寫的,水平參差不齊的話,則會有安全風險。比原鏈的合約調用是創建智能合約的時候就將調用合約作爲子合約加入進來,以後不管調用的合約模版是否更改或出現漏洞,都不會影響所有已經完成的智能合約。

第三,比原鏈的合約調用更安全,調用別的智能合約更像是調用一個鏡像,而不是調用一個底層合約的最新狀態。由於以太坊的合約調用是把地址當指針使用,一旦以太坊的底層庫函數即公用合約調用出錯,所有合約的指針都將被破壞。作爲管理成千上萬種資產的公鏈,比原鏈在合約調用的設計中對指針合約的使用進行了規避。比原鏈的合約調用是創建智能合約的時候就將調用合約作爲子合約加入進來,以後不管調用的合約模版是否更改或出現漏洞,都不會影響所有已經完成的智能合約。

比原鏈的目標是做資產管理的專用型公鏈,比起近期漏洞頻出的以太坊智能合約,比原鏈有希望在打造世界級的安全區塊鏈平臺的路上走得更遠,同時也需要時間的驗證。

版權聲明:
by
nc"
sa 作者保留權利。文章爲作者獨立觀點,不代表巴比特立場。
發文時比特幣價格 ¥48173.42

來源鏈接:www.8btc.com