区块链智能合约安全问题凸显 九类漏洞权限控制问题占比最高

近日，由区块链安全研究中心联合中国区块链应用研究中心、上海淳粹文化传媒有限公司、杭州加密谷区块链科技有限公司等机构联合发布《区块链智能合约审计安全白皮书（2018年）》。
随着区块链技术在各行业领域的不断应用，其共识机制、私钥管理、智能合约等存在的技术局限性和面临的安全问题逐渐显现，区块链平台应用等安全事件层出不穷。据统计，区块链最易受攻击的板块主要集中在交易平台、智能合约上，其中智能合约占比达21.14%。截至2018年8月，区块链重大安全事件带来的经济损失近35亿美元，其中由智能合约被攻击带来的损失更是高达41.04%。
据区块链安全研究中心初步统计，仅2018年上半年，以太坊全球日均新增合约地址数量超过3500个，日均新增个人地址数量超过85000个。受数字资产行情的影响，一季度新增数量明显高于二季度，二季度日均新增合约数量超过1000个。
随着以太坊智能合约数量与日俱增，受到越来越多的关注及应用的同时，安全问题也愈发严重，攻击者可以利用各种安全漏洞对智能合约进行公开的攻击，导致大量数字资产损失或被盗取，因此，对智能合约进行安全审计并进行加固成为一个刻不容缓的问题。
2018年7月，由上海交通大学网络空间安全学院、中国信息通信研究院泰尔终端实验室联合上海掌御信息科技有限公司共同组建成立了区块链安全研究中心，主要致力于区块链安全相关领域的基础研究，开展包括但不限于区块链安全技术研发，区块链应用场景安全研究，区块链安全行业标准制定，区块链金融应用合规性研究等方向的研究工作，并针对全球主流的基础公链、加密数字钱包和区块链应用进行公开的安全审计。
研究团队基于自有开发的自动化审计系统对31276份以太坊上的智能合约进行自动化审计，统计出智能合约在九大安全漏洞类型上的数量分布，并对每种类型的漏洞严重等级进行评级。
白皮书归纳的智能合约安全漏洞目前有9大类，从数量上来看，权限控制占比最重，达到了46.97%，远高于其他类型，其他占比较高的安全漏洞有错误使用随机数、逻辑设计缺陷等类型。
从安全漏洞的严重性看，3级漏洞占比最重，高达48.65%，二级漏洞也有41.82%。
检测结果表明大部分智能合约都存在不同程度的安全隐患和漏洞，容易导致用户数字资产贬值，被冻结，被非法转移等重大安全问题。
针对如何尽可能的避免漏洞的产生，掌御科技总经理彭一楠认为，开发者应该提高自己的安全意识。项目方应建立自己统一的合约编写安全标准，并对照安全标准严格执行，进行逐一检查。数字资产交易平台也应该做好对项目方的审核工作和自身安全防护。通过白皮书的发布，希望能加强区块链行业从业者对智能合约安全漏洞的了解，引起相关人群对智能合约安全的重视，促进区块链行业健康发展。