來自英國與新加坡多所大學的6名研究人員在上個月發表一研究論文,以他們所建造的Maian分析工具,在基於以太坊(Ethereum)的近100萬個智慧合約(Smart Contract)上,發現有34,200個含有安全漏洞,將允許駭客竊取以太幣(Ether)、凍結資產或刪除合約。
智慧合約是在區塊鏈上運作的程式,它們將程式與狀態存放於分類帳上,可傳送與接收加密貨幣,最熱門的應用之一為代幣管理(token management),迄今已有超過100萬個智慧合約在以太坊網路上運作,且數量仍持續增長中。
然而,報告指出,智慧合約也帶來許多安全上的挑戰,其一為在部署後便無法升級與修補,其次是它們在相對新穎的環境上運作,也採用新的語言,因而也相對較難測試,其三則是區塊鏈上的代幣通常具有重要價值,因而容易引來駭客的覬覦。
Maian總計分析了以太坊區塊鏈上的97萬個智慧合約,當中有34,200個合約含有安全漏洞,涉及價值數百萬美元的以太幣。研究人員將漏洞分為3種形式,包括允許駭客竊取以太幣、凍結合約資產,或是讓任何人都能刪除合約,在這些智慧合約中,含有可凍結資產漏洞的就佔了91%。
研究人員強調,Maian也找到了Parity加密貨幣錢包中的以太幣遭到凍結的漏洞,先前並無任何工具可發現該漏洞。去年11月,一名代號為Devops199的開發人員透過一個漏洞凍結了Parity中價值近3億美元的以太幣。
值得注意的是,Maian辨識各種漏洞的準確度不一,例如它辨識可竊取加密貨幣漏洞的準確度(True Positives)為97%,辨識可刪除合約之漏洞的準確度為99%,辨識可凍結資產之漏洞的準確度則只有69%。
熱門新聞
2024-12-08
2024-12-10
2024-12-10
2024-12-10
2024-12-10
2024-11-29