以太坊智能合约安全性是否得到改善？我们不相信

原文标题：Trust No One: Ethereum Smart Contract Security Is Advanced 原文链接：原作者：Alyssa Hertig

“每个人都可能成为黑客的目标。我们需要保持警惕。”

这是以太坊底层安全专家Martin Swende在Devcon3论坛上做智能合约安全演讲时说的。 对此，他亲眼目睹了以太坊区块链的各种攻击，也希望社区成员意识到存在的问题。

例如，DAO 攻击。 在这起事件中，由于智能合约存在漏洞，以太坊区块链上数百万美元的资金被盗。 有一段时间以太坊传输因未知攻击而减慢，这发生在 Swende 开始在以太坊上工作的前几天。 几个月后，以太坊钱包 Parity 被黑后损失了 3000 万美元。 更不用说与比特币相关的黑客攻击了。

开发者指出，作为一场技术革命，以太坊还有很多问题需要解决，这也是为什么在这样一个顶级的区块链论坛上，需要在第二天与代码开发者和学术专家一起强调工具安全性的重要性。因此将有助于智能合约在安全性方面取得长足进步。 虽然现在代码攻击很多，但是开发者还是看好智能合约的安全性。

“在安全方面，整个以太坊生态系统正在走向成熟，”RSK Labs 首席科学家兼区块链安全顾问 Sergio Demian Lerner 告诉 CoinDesk。

正确的工具

以太坊有不同的部分需要安全认证，但第二天 Devcon 大会的重点是智能合约，因为大多数时候智能合约漏洞是资金被盗的根源。

区块链安全公司 Zeppelin 的 CTO Manuel Aráoz 将 2016 年称为以太坊安全的“黑暗年”，和其他人一样，他发现以太坊的安全问题需要认真对待。

如果以太坊区块链出现重大漏洞，那么智能合约肯定需要立即“升级”。 与传统软件代码不同，如果在智能合约代码中发现漏洞，在编写代码时没有考虑安全防护措施，开发者不可能在出现问题后立即更新代码。

作为回应，Aroz 和他在 Zeppelin 的团队正在开发一种工具，并开始一个新的操作系统项目，以便更容易地更改正在运行的区块链的代码。

“如果区块链存在代码缺陷或者需要升级程序，我们可以使用这个工具，有利于解决代码编写中遇到的问题。”

如果这不能完全解决代码漏洞，该项目还提供了一个新工具。 这些解决方案深受以太坊系统开发者的认可，因为它们大大提高了以太坊的安全性。

Securify 项目被称为“一键式安全审查工具”，为开发人员提供了一个简单的界面来编写智能合约代码，同时检查漏洞。 在本次大会上，苏黎世联邦理工学院软件可靠性实验室研究员昆汀·希邦表示，Securify 是以太坊强大的安全保障。 正如勒纳所说，一切都在朝着正确的方向发展。

以太坊虚拟设备的安全性有了很大的提升，现在增加了形式化的验证方式，通过数学验证来检测智能合约是否可以正常工作。 以太坊的主要智能合约语言Solidity已经非常成熟以太坊安全吗，所以现在Solidity已经修正了很多错误。

没有思想的人，他必须担心

这并不是说未来智能合约不会有问题。 几乎在每一次以太坊安全会议上，都会强烈呼吁采取行动。 以太坊作为全球市值第二大数字货币，正面临一系列问题。

RSK Labs 的 Lerner 提到以太坊安全吗，他在业余时间参与了 ICO 智能合约的工作，发现了很多明显的错误。 事实上，目前的代币项目方都需要安全专家来审查他们的智能合约代码是否足够安全。 一些大学的研究人员正在试验一项激励活动，以鼓励黑客向项目报告错误，而不是让他们自己受益。

Hydra 提出了一个通用的代码错误奖励模型：提供给黑客的奖励高于被黑客攻击的客户获得的收益。 但其中许多项目仍处于起步阶段，以太坊和其他加密货币一样，仍然是黑客的避风港。 “黑客的观念正在逐渐改变，僵尸网络和拒绝服务攻击是黑客的主要收入来源，但这越来越难以实现。”

区块链开发者也面临着很多新的风险，需要时刻做好准备。 最重要的是要保持警惕，不要轻信任何人。