近日,360公司Vulcan(伏尔甘)团队宣布发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。
据悉,攻击者利用漏洞可以“为所欲为”,如窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易。
Qtum创始人帅初对此点评称,智能合约无限的灵活性也留下了无限的隐患,任何一个小的共识协议的疏忽,都会有机会DDOS整个区块链网络。ETH和EOS,都不是面向货币的设计,面向区块链平台的设计,复杂度很高,也蕴含更多安全隐患。
近期,关于智能合约的安全问题似乎是一波未平一波又起。
2018年4月22日,BEC美蜜遭遇黑客的毁灭性攻击,天量BEC从两个地址转出,引发了市场抛售潮。当日,BEC的价值几乎归零。而攻击成功的原因,居然是因为BEC的某一段代码忘记使用safeMath方法,导致系统产生了整数溢出漏洞。
利用这个漏洞,黑客可以通过转账的手段生成合约中不存在的代币,并将这些无中生有的数字货币转入正常账户。这些凭空产生的代币在使用上与真实代币没有差别。随后,BEC、SMT都爆出“BatchOverFlow”安全隐患,多家交易所都暂停了基于以太坊ERC-20发行的Token的充值提币功能。
正在社区对SMT、BEC的智能合约漏洞心有余悸之时,波澜又起,2018年5月26日,EDU、BAI智能合约被曝存在重大漏洞。攻击者不需要私钥,可转走任意账户的EDU Token及BAI Token。漏洞发现时已存在大量洗劫行为,而由于合约没有Pause 设计,导致无法止损。
而影响最大的智能合约安全事件莫过于The DAO事件和Parity事件。
2016年6月17日,区块链业界最大的众筹项目TheDAO(被攻击前拥有1亿美元左右资产)遭到攻击,导致300多万以太币资产被分离出TheDAO 资产池。
2017年7月19日,多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个以太坊ETH被盗,共价值3000万美元。
针对智能合约可能引发的安全问题,PalletOne在技术设计上有自己独到的设计:
PalletOne通证抽象层定义了常用类型的通证的定义集和操作集,简化智能合约的编写难度和复杂度,降低发生错误的可能性,使得数字资产的定义更加敏捷。
PalletOne内置了市场和经济学上通用的通证抽象模型。用户直接基于现有的模型可以简单、安全、快捷的创建属于自己的通证。PalletOne在底层数据结构上为通证模型提供了支持,使得通证的数据与合约数据隔离。
PalletOne使用UTXO模型,并提供了与比特币类似的P2PH、P2SH等支付方式,从而使得用户在通证支付的体验上与比特币一样简单。
PalletOne通证抽象层的设计,开启了数字资产敏捷定义的新航道,为区块链4.0时代——价值互联网时代建立了安全稳定的基础。
网友评论