以太坊使用“智能合约”或基于区块链技术构建的可编程软件程序,用于去中心化应用程序(dApp),由不可伪造令牌(NFT)和去中心化自治组织(DAO)提供支持).以太坊智能合约提供的丰富功能使web3开发人员能够创建复杂的基于区块链的应用程序。然而,智能合约的不稳定性增加了漏洞、错误和错误,随着加密货币的市值达到数万亿美元,黑帽黑客正在寻找他们可以利用的智能合约的弱点。在这篇文章中,我们将介绍智能合约安全性的最佳实践、故障安全措施以及用于强化智能合约安全性的智能合约分析工具。以太坊智能合约简介以太坊智能合约是用类似于C++和Javascript的语言Solidity编写的。以太坊智能合约在以太坊区块链上运行,它们的执行由以太坊虚拟机(EVM)管理——这是一台执行以太坊智能合约并分布在全球多个节点的虚拟超级计算机。以太坊智能合约的架构可能与其他合约不同。智能合约可以是功能有限的简单合约,也可以是具有多层功能的复杂合约。4智能合约的好处智能合约提供相同的好处,无论其预期设计如何。1.不变性智能合约不能轻易修改(除非它是预编程的),这使得它们可以抵抗未经授权的更改。一旦合同在区块链上得到验证并生效,就需要花费大量精力来更改或升级智能合同的代码。2.信任根据设计,智能合约会在满足预定条件时自动执行一组指令。这是在没有外部控制的情况下发生的,因此参与的用户可以相信代码可以在没有人工中介的情况下工作。两个人可以在不信任对方的情况下进行交易,因为他们知道智能合约将充当公平的仲裁者。3.成本效益智能合约与法律文件的结合,(智能法律合约)可以简化个人之间的交易,消除中间商的需要。在没有中介补偿的情况下,各方可以减少执行和执行协议的费用。4.速度每个智能合约都运行在条件编程上(即如果这样,那么那样)。当满足合约的逻辑规则时,这些程序化的动作会立即发生。因此,交易可以比传统系统更快地发生。6种行之有效的方法来保护以太坊智能合约在区块链上运行的智能合约将为全球用户改变治理、金融、物联网和许多其他行业。但是,必须认真对待智能合约的安全漏洞,因为开发人员必须考虑所有安全挑战。以下是web3开发人员在以太坊和EVM兼容区块链上构建dapp时必须采用的一些基本智能合约安全最佳实践。1.严格执行智能合约审计到2022年,在没有安全审计的情况下部署智能合约应该是犯罪行为。即便如此,许多开发人员仍在推出未经审计的智能合约。Certik的DeFi安全状况报告显示,大多数被利用的智能合约都没有经过安全审计。可以理解,聘请智能合约审计员并不便宜。但是正确进行安全检查可以在未来的日子里为您节省更多。在DeFi中,数百万人迷失在利用拙劣代码中的弱点的黑客攻击中。一个好的区块链安全审计员会遵循完善的审计流程来发现智能合约代码中的缺陷,并发现在开发过程中未被注意到的错误。此外,他们可以在部署前就智能合约修复和优化提供有用的建议。2.测试你的代码测试、测试、再测试你的代码以发现错误和其他漏洞。严格的测试可能是确保智能合约在部署到主网上后按预期执行的最简单和最有效的方法。将智能合约部署到测试网络上,看是否有异常。这样,您就可以判断协议是否按照应有的方式运行。用于测试以太坊智能合约的推荐测试网包括:?Rinkeby?Kovan?Ropsten?Truffle需要测试网ETH?开始使用Alchemy的免费RinkebyETH水龙头测试您的合约。运行单元测试以隔离单个代码片段单元测试也是提高合约安全性的好主意。单元测试查看代码的单个部分,因此如果某处失败,您就知道出了什么问题。在将每个新功能集成到智能合约之前,最好对其进行单元测试。请记住,智能合约本质上是不可变的,如果以后出现错误,则无法修补代码。3.与同行一起审查代码如果你在团队中工作,确保每个成员都进行独立的代码审计并提供详细的反馈。个人开发者可能希望找到一位值得信赖的同事在整个开发过程中对他们的智能合约代码进行同行评审,以提高安全性。4.降低软件复杂性软件安全的最终规则是保持代码简单。代码越复杂,变量越多,失败的机会就越大。正如荷兰计算机科学家EdsgerW.Dijkstra所说。“简单是可靠性的先决条件”。这并不意味着您应该避免构建功能丰富的智能合约,但是,您应该从一开始就使用简单的架构,并随着时间的推移使用干净的代码和熟悉的模式慢慢扩展功能。5.实施故障安全保护编写以太坊智能合约时的经验法则是“为故障做好准备”。无论你测试多少次,你永远无法覆盖所有可能影响你的智能合约的错误。因此,有必要为您的以太坊智能合约设计一个故障安全机制。故障安全模式可用于限制恶意攻击的损害。它们旨在在检测到异常智能合约活动时立即触发。4智能合约故障安全保护示例EVM兼容智能合约的故障安全保护示例包括。1.短路器“短路器”可用于在发现错误和漏洞时阻止功能的执行。对于短裤,您有两种激活它们的选择。?授予受信任的管理员使断路器跳闸的权限?对短路机制进行编程,使其在满足预设条件时运行。由于智能合约是自动化的,短路器会在发生错误时限制操作。2.速度缓冲器减速器是一种故障安全机制,可以减缓恶意行为,虽然它不会阻止攻击,但减速器可以让管理员有足够的时间立即采取纠正措施。加速器的一个典型例子来自2016年臭名昭著的DAO黑客攻击。该程序确保只有在27天后才能从DAO中提取资金,这将资金保留在智能合约中,直到开发人员能够取回它们。3.RatelimitingRatelimiting可以控制特定时间范围内调用函数的频率,提供权宜之计,防止重复调用函数耗尽锁定资金(如重入攻击),发行大量ETH代币,或执行多个提现漏洞。此外,合约级别的速率限制可用于限制在一个时间间隔内发行的代币数量。鉴于不良行为者在短时间内发行大量代币的漏洞数量,限速是加强智能合约安全性的良好预防措施。4.余额限额余额限额通过限制单个智能合约中可锁定的ETH总量来降低智能合约风险。余额限额将监控智能合约中持有的资金余额。一旦达到阈值,该机制就会触发自动拒绝后续付款。如果您要启动一个新的智能合约,在您对合约的安全性充满信心之前,余额限制可能是一个很好的预防性安全措施。5.设计安全的访问控制机制访问控制机制决定了谁可以管理和更改合约的某些元素,它是你的以太坊智能合约架构的关键路径。如果错误的人获得所有权或管理权限,他们可以重新编程合约以执行恶意交易。为防止错误的人获得管理权限,请确保敏感功能需要多个级别的授权才能获得访问权限。Web3开发人员应该知道的4种智能合约安全工具智能合约安全性非常重要。这里有一些分析工具可以帮助您保护您的智能合约免受攻击、错误和漏洞的侵害。1.OctopusOctopus是一款功能强大的分析工具,用于分析智能合约的字节码,洞察内部行为。它与基于流行区块链(如NEO、比特币,当然还有以太坊)构建的智能合约兼容。2.OyenteOyente是一种自动化的智能合约审计工具,用于识别常见的智能合约安全漏洞。它包括一个验证器、资源管理器、CoreAnalysis工具和CGF构建器。每个组件执行一个关键功能;例如,Explorer运行智能合约,而CoreAnalysis检测生成的输出中的任何问题。3.MythrilMythril是ConSensys构建的智能合约安全工具,可用于测试以太坊虚拟机(EVM)字节码。它结合使用污点分析、SMT解析和符号执行来查找智能合约代码中的漏洞。4.SecurifySecurify是以太坊基金会支持的智能合约漏洞扫描器。这种流行的以太坊智能合约扫描器可以检测多达37个智能合约漏洞,并实施以上下文为中心的静态分析,以提供更准确的安全报告。使用智能合约安全最佳实践保护您的下一个项目如果实施得当,智能合约技术可以进行调整以支持各种用例。然而,智能合约是代码,由人类编写,有时并不完美。作为智能合约开发人员,您在编写代码时必须遵循安全最佳实践,包括运行详细的安全分析、利用多种安全分析工具和资源、获得同行评审、简化代码结构以及实施故障安全机制。
