智慧合約可能沒有你想像中那麼聰明

<div><h2>區塊鏈與智慧合約：潛能與風險</h2>

<h3>導言</h3>

區塊鏈技術因其不可變性和透明性而引起了全球企業的興趣，使得傳統金融以外的公司（如 BMW 和 Bosch）開始嘗試使用智慧合約來建立更高效的供應鏈和更智慧的工程產品。智慧合約本質上是特定區塊鏈上編碼的軟體，用於形式化和執行多方之間的協議，消除了對可信任第三方中介的需求，節省時間，並允許多方基於共識的取證。它們可應用於各種活動，如遺囑、象棋比賽，甚至買賣土地。然而儘管區塊鏈和智慧合約有著巨大的顛覆潛力和高度吹捧的能力，但在過去兩年間，針對智慧合約的劫持事件數量已增加了超過 12 倍。如果智慧合約如此聰明，為什麼我們會看到如此大規模的劫持事件增加？要更好地理解這一現象，讓我們先澄清一下區塊鏈和智慧合約之間的關係。

<h3>區塊鏈的分散性</h3>

將區塊鏈網路看作亞馬遜 AWS 平臺，將每個智慧合約看作伺服器。區塊鏈的特點是沒有單一中央伺服器供駭客利用，這使得傳統的駭客攻擊方法（如木馬、物理攻擊和勒索軟體）對駭客來說更加困難。區塊鏈透過消除網路的單一故障點來對抗這些攻擊。然而區塊鏈網路本身並不能被入侵，但它所支援的許多分散式應用和智慧合約卻可以。隨著去中心化金融（DeFi）的日益成功和影響力，大量的價值正在透過智慧合約進行傳遞，這使得它們對駭客具有吸引力。隨著更多實物資產的上鏈，這種威脅很可能會進一步增加。對這一新興的區塊鏈行業來說駭客攻擊構成了一個嚴重的威脅，因為從智慧合約中竊取的資產非常難以恢復。

<h3>智慧合約的威脅</h3>

和所有程式碼一樣，智慧合約也容易受到人為錯誤的影響。這些錯誤可能是拼寫錯誤、規格書描述不準確，或者更嚴重的錯誤，可以用來駭客入侵或“欺騙”智慧合約。與區塊鏈不同，智慧合約的第三方審核和取證不能保證。雖然透過對智慧合約進行審計可以避免程式碼錯誤，但其他威脅可能更加複雜。例如，預設可見性漏洞是一個常見的錯誤，當函數的可見性未指定並且某些函數被公開時就會出現這個問題。例如，駭客可以存取“鑄造”函數並建立大量的相關代幣。幸運的是，透過進行審計來確保所有函數預設設為私有，可以避免這種漏洞。程式碼錯誤引起的另一種更複雜和嚴重的威脅是重入攻擊。這種攻擊是利用智慧合約的外部函數呼叫和部署帶有惡意目的的智慧合約與持有資金的智慧合約之間的互動作用。2016 年的 DAO 事件就是這種攻擊的一個典型案例，它發生在以太坊的早期，最終導致了以太經典的產生。預防重入攻擊並不簡單，但有一些框架和協議可以減輕損害，包括 CEI（檢查、影響和互動作用）、防重入保護等。對於懂得智慧合約編碼的人來說閱讀程式碼本身始終是一個巨大的優勢。正如在搬進新公寓之前閱讀合同可以保護你免受任何驚喜的困擾一樣，閱讀智慧合約的程式碼可以揭示其中的缺陷、惡意函數或不起作用或不合理的功能。然而如果您是一個不太擅長技術的終端使用者，請使用公開可存取程式碼且廣泛使用的智慧合約，而不是經過編譯的智慧合約，其中程式碼是隱藏的，人們無法審查。

<h3>解決智慧合約的漏洞</h3>

我們不應忽略大多數智慧合約管理員在釋出後保留一些管理許可權的事實。為了存取這些許可權，管理員需要使用他們的私鑰。這些私鑰是另一個漏洞，如果它們沒有得到適當的保管（即儲存在離線冷庫中），駭客在某種方式下獲得存取許可權後可以對智慧合約進行更改，並將資金轉移到任何地方。近來，歐洲議會要求使用“關閉開關”機制來減輕智慧合約被破壞的損害。監管機構的目的是為人們提供對自己個人資料更多的保護，但這一行動引起了 Web3 社區的擔憂。如果實施不正確，關閉開關可能會摧毀整個智慧合約和儲存其中的任何價值。更好的實施方式是啟用暫停功能，這樣在出現安全威脅的情況下，可以使智慧合約暫停執行，待問題解決後再恢復執行。如果實施暫停功能，建議使用兩個不同的私鑰來進行管理。因為一旦暫停合約的私鑰（用於暫停合約）上線，它就變得容易受到攻擊。正如我在關於該法令的文章中提到的那樣，將暫停和解除暫停管理金鑰分開並儲存離線，透過消除潛在的故障點加固智慧合約的安全性。正如所有技術一樣，DeFi 和區塊鏈生態系統中存在安全威脅。我們確實看到了智慧合約的優勢，例如 DeFi 平臺和協議的出現，但理解它們的漏洞，進行認真的研究，按照本文中提到的指南行事，可以幫助減輕這些威脅。隨著時間的推移，將形成更加固大的安全協議，加固智慧合約的應用案例，推動更健壯的區塊鏈生態系統的到來。

<h4>作者介紹</h4>

Shahar Shamai 是 GK8 的技術長和聯合創始人。</div><div>ArtificialIntelligence-智慧合約,智慧合約技術,區塊鏈,智慧合約應用,智慧合約開發,</div>