什么是智能合约漏洞？

智能合约一词是 Nick Szabo 在 1994 年创造的，此后在不同的上下文中多次被重新定义。 我们通常所说的区块链智能合约，以以太坊为代表。

以太坊的作者 Vitalik Buterin 意识到在区块链系统中，交易逻辑可以从底层系统机制中分离出来。 底层系统负责交易区块的创建和验证、记账人的共识等基本功能，交易本身做什么可以通过二次编程定义。 因此，他设计了一个用于交易代码执行的虚拟环境EVM。 用户可以开发自定义交易逻辑并发布到链上。 当交易进行时，链上所有节点执行相同的代码，从而同步改变链上数据的状态。

他为这种代码使用了“智能合约”这个名字，这就是我们现在通常所说的智能合约。

智能合约漏洞，进退两难！

智能合约的本质是运行在区块链网络中的一段代码，完成用户下达的业务逻辑。 以以太坊系统的代币为例，其业务逻辑是代币发行和交易。 在以太坊设计之初，智能合约就被设计成一种一旦部署就无法修改的模式。 这种设计很可能会提高智能合约的可信度。 但是我们知道，只要是人写的程序，就一定会出现错误和bug。

以太坊本身的设计就违背了编程的一般规律，当智能合约出现漏洞时，可能会造成无法挽回的损失。 我们可以看到，最近出现的以太坊系统智能合约的漏洞影响非常大，一些代币也因此被销毁。

以太坊系统目前区块链智能合约的机制设计比特币具有智能合约功能吗，加上漏洞的潜在破坏性影响比特币具有智能合约功能吗，使得已经上线的智能合约漏洞报告和处理变得非常困难。 360密码卫士团队在近期调研中发现了多个以太坊系统下上市交易币种的智能合约安全漏洞，并已第一时间向厂商反馈，但厂商至今未做出任何回应.

对于厂商来说，由于智能合约的不可修改性，要有效修复上线后发现的漏洞，只能选择重新部署新的合约，这将付出巨大的代价，所以部分厂商可能会选择不回应。 未处理。

对于安全研究人员来说，他们也面临着尴尬和进退两难的境地。 在厂商修复漏洞之前公开漏洞细节对厂商不利，有悖于漏洞公开的一般原则。 但如果厂商长期不修补漏洞，公众将不知道漏洞的存在，风险会随着时间的推移迅速扩大。 漏洞一旦爆发，可能会造成更大的危害，影响更大的人群，可能会导致很多人的投资瞬间化为乌有。 未来，我们也会与厂商保持积极的联系和沟通，帮助厂商修复漏洞。

智能合约漏洞，如何处理？

在某些联盟链中，智能合约的设计可以在部署后进行更新。 当然，本次更新需要一定的线下协商过程。 针对区块链智能合约的安全漏洞，未来一般需要考虑设计相应的智能合约协商更新机制，以降低漏洞修复成本。

但现在，我们需要面对现实，做出几乎唯一可行且有效的努力——在智能合约上线前，对代码进行全面深入的安全审计，尽可能消除漏洞，降低安全风险。

据悉，360代码卫士团队利用在源码静态分析领域的长期技术积累，将污点传播、约束求解等技术快速移植到智能合约的分析中，并可提供专业的代码审计区块链智能合约服务，帮助区块链项目尽早发现智能合约可能存在的安全风险。