6个简单步骤助你保护以太坊智能合约安全，介绍相关工具

6个简单的步骤来保护你的以太坊智能合约安全oaN币圈网 - 区块链数字货币实时行情平台

以太坊使用“智能合约”，它是建立在区块链技术上的可编程软件程序，能为去中心化的应用程序、不可伪造的代币和去中心化的自治组织提供动力。以太坊智能合约提供了丰富功能，这使web3开发者能够创建复杂的基于区块链的应用程序。oaN币圈网 - 区块链数字货币实时行情平台

然而，智能合约的不稳定性致使漏洞、bug和错误有所增加，随着加密货币市值达到数万亿美元，黑帽黑客正在寻觅智能合约中可被利用的弱点 。oaN币圈网 - 区块链数字货币实时行情平台

在这篇文章里，我们会介绍智能合约安全的最优做法，故障保护举措，以及用来强化智能合约安全的智能合约分析工具。oaN币圈网 - 区块链数字货币实时行情平台

以太坊智能合约简介oaN币圈网 - 区块链数字货币实时行情平台

以太坊智能合约由Solidity编写，Solidity是一种类似C++和Javascript的语言。以太坊智能合约在以太坊区块链上运行，其执行由以太坊虚拟机管理，以太坊虚拟机是一台执行以太坊智能合约的虚拟超级计算机，分布在世界各地的多个节点上。oaN币圈网 - 区块链数字货币实时行情平台

以太坊智能合约的架构或许和其他合约不一样。智能合约能够是功能有限的简单合约，还能够是具备多层次功能的复杂合约。oaN币圈网 - 区块链数字货币实时行情平台

智能合约的4个好处oaN币圈网 - 区块链数字货币实时行情平台

无论他们的预期设计如何，智能合约都提供了相同的好处。oaN币圈网 - 区块链数字货币实时行情平台

1. 不变性oaN币圈网 - 区块链数字货币实时行情平台

智能合约不容易被修改（除非提前进行编程），所以它们能够抵御未经批准的改动。一旦合同经过验证且在区块链上存在，要更改或升级智能合同的代码需付出很大努力。oaN币圈网 - 区块链数字货币实时行情平台

2. 信任oaN币圈网 - 区块链数字货币实时行情平台

智能合约根据设计，在满足预定条件时会自动执行一组指令，这一过程是在没有外部控制的情况下发生的，所以参与的用户能够信任代码在没有人类中介的情形下工作，两个人在不信任对方的状况下也可以进行交易，原因是他们清楚智能合约会充当一个公平的仲裁者。oaN币圈网 - 区块链数字货币实时行情平台

3. 成本效益oaN币圈网 - 区块链数字货币实时行情平台

智能合约与法律文书相结合形成智能法律合约，它能够简化个人之间的交易，还能消除对中间人的需求，因为没有中间人的补偿，所以各方在执行和实施协议上花费更少。oaN币圈网 - 区块链数字货币实时行情平台

4. 速度oaN币圈网 - 区块链数字货币实时行情平台

每个智能合约都运行在条件性编程之上，也就是如果这样，那么那样。当合同的逻辑规则被满足时，这些程序化的行动会立刻发生。所以，交易能够比传统系统更快地发生。oaN币圈网 - 区块链数字货币实时行情平台

保护以太坊智能合约的6种行之有效的方法oaN币圈网 - 区块链数字货币实时行情平台

智能合约在区块链上运行，它会改变治理、金融、物联网以及许多其他行业，面向世界各地的用户。不过，因为开发人员得考虑所有安全挑战，所以智能合约的安全漏洞必须被认真对待。oaN币圈网 - 区块链数字货币实时行情平台

以下是web3开发者构建dapp时必须采用的一些基本智能合约安全最佳实践，这些dapp是基于以太坊以及与EVM兼容的区块链构建的。oaN币圈网 - 区块链数字货币实时行情平台

1. 严格执行智能合约审计oaN币圈网 - 区块链数字货币实时行情平台

2022年时，在没有安全审计的情形下部署智能合约应属犯罪行为，即便这样，仍有许多开发者推出未经审计的智能合约，Certik的DeFi安全状况报告表明，多数被利用的智能合约都未经过安全审计。oaN币圈网 - 区块链数字货币实时行情平台

可以理解，聘请智能合约审计师的费用不低。但正确的安全检查能在后续日子为你节省更多。在DeFi领域，数百万人在利用拙劣代码弱点的黑客攻击中遭受损失 。oaN币圈网 - 区块链数字货币实时行情平台

一个优秀的区块链安全审计师，会遵循一套成熟的审计流程，目的是发现智能合约代码里的缺陷，还能找出在开发过程中未被察觉的错误。另外，他们能够在部署之前，针对智能合约的修复与优化，给出实用的建议。oaN币圈网 - 区块链数字货币实时行情平台

2. 测试你的代码oaN币圈网 - 区块链数字货币实时行情平台

测试、测试、再测试你的代码，以发现错误和其他漏洞。oaN币圈网 - 区块链数字货币实时行情平台

严格的测试或许是一种方法，它能确保智能合约在部署到主网后按预期执行，而且是最简单且最有效的方法。oaN币圈网 - 区块链数字货币实时行情平台

把智能合约部署到测试网络当中，查看它有没有出现任何异常情况。如此一来，你便能知晓协议是否依照其应有的方式在运行 。oaN币圈网 - 区块链数字货币实时行情平台

推荐用于测试Ethereum智能合约的测试网包括：oaN币圈网 - 区块链数字货币实时行情平台

需要测试网ETH吗，使用Alchemy的免费Rinkeby ETH龙头，开始测试你的合约。oaN币圈网 - 区块链数字货币实时行情平台

运行单元测试来隔离单个代码片段oaN币圈网 - 区块链数字货币实时行情平台

单元测试是提升合约安全性的不错办法。单元测试聚焦于代码的单个部分，如此一来，一旦出现故障，便能知晓问题所在之处。oaN币圈网 - 区块链数字货币实时行情平台

在把每个新功能整合进智能合约之前，最好运行单元测试，来测试其功能。要记住，智能合约本质上是不可改变的。要是以后出现漏洞，那就没办法对代码进行修补了。oaN币圈网 - 区块链数字货币实时行情平台

3. 与同僚一起审查代码oaN币圈网 - 区块链数字货币实时行情平台

若你于团队中工作，要确保每个成员都开展独立的代码审计，还要提供详细反馈。单独的开发人员或许期望在整个开发过程里找到一位值得信赖的同事，让其对智能合约代码进行同行审查，以此提升安全性。oaN币圈网 - 区块链数字货币实时行情平台

4. 降低软件的复杂度oaN币圈网 - 区块链数字货币实时行情平台

软件安全的最终规则在于保持代码简单 。代码里复杂性越高 ，变量也就越多 ，进而增加了失败的机会 。oaN币圈网 - 区块链数字货币实时行情平台

正如荷兰计算机科学家Edsger W. Dijkstra讲的那样 ，“简单是可靠性的前提条件” 。oaN币圈网 - 区块链数字货币实时行情平台

这并不意味着你应当避开构建功能丰富的智能合约，不过，你应当在一开始从简单的架构着手，并且随着时间的推移借助干净的代码以及熟悉的模式逐步扩展功能。oaN币圈网 - 区块链数字货币实时行情平台

5. 实施故障安全保护oaN币圈网 - 区块链数字货币实时行情平台

编写Ethereum智能合约时，有一条经验法则是“为失败做准备”，不管测试了多少次，都无法涵盖所有可能影响智能合约的错误，所以为Ethereum智能合约设计一个故障安全机制是必要的。oaN币圈网 - 区块链数字货币实时行情平台

故障安全模式对限制恶意攻击造成的损害十分有用，它们的设计目的是，一旦检测到异常的智能合约活动，就会触发 。oaN币圈网 - 区块链数字货币实时行情平台

智能合约故障安全保护的4个例子oaN币圈网 - 区块链数字货币实时行情平台

兼容EVM的智能合约的故障安全保护的例子包括。oaN币圈网 - 区块链数字货币实时行情平台

1. 短路器oaN币圈网 - 区块链数字货币实时行情平台

当发现错误与漏洞时，“短路器”能够被用来阻止功能执行，对于短路器，你存在两个用来激活它们的选择。oaN币圈网 - 区块链数字货币实时行情平台

因为智能合约是自动化的，当错误发生时，短路器会限制操作。oaN币圈网 - 区块链数字货币实时行情平台

2. 速度缓冲器oaN币圈网 - 区块链数字货币实时行情平台

减速器是一种防故障机制，其作用是减缓恶意行为，虽然它无法阻止攻击，不过它能给管理员充足的时间，使其可以立即采取纠正措施。oaN币圈网 - 区块链数字货币实时行情平台

加速器的一个主要例子源于2016年声名狼藉的DAO黑客攻击。该程序保证在27天后才具备从DAO提取资金的可能性，这致使资金始终留在智能合约里，直至开发者能够将其取回。oaN币圈网 - 区块链数字货币实时行情平台

3. 速率限制oaN币圈网 - 区块链数字货币实时行情平台

速率限制能够控制在特定时间范围内调用函数的频率，它提供了一种权宜之计，这种权宜之计可用来防止出现重复调用函数的情况，避免因重复调用函数而耗尽锁定资金（比如重入攻击），防止发行大量ETH代币，也能防止执行多次提款的漏洞 。oaN币圈网 - 区块链数字货币实时行情平台

此外，合同层面存在速率限制，它能够用来限制代币发行数量，且是在一个时间间隔内进行限制。oaN币圈网 - 区块链数字货币实时行情平台

考虑到不良行为者在短时间内发行大量代币存在漏洞数量的情况，速率限制是一种能加强智能合约安全的不错预防措施。oaN币圈网 - 区块链数字货币实时行情平台

4. 余额限制oaN币圈网 - 区块链数字货币实时行情平台

余额限制能够降低智能合约风险，它是通过限制单个智能合约中可锁定的ETH总量来实现的。oaN币圈网 - 区块链数字货币实时行情平台

余额限制会对智能合约中持有的资金余额进行监测，一旦达到阈值，该机制就会触发，自动拒绝后续付款。oaN币圈网 - 区块链数字货币实时行情平台

你正在推出一个新的智能合约，在你对合约安全性有信心之前，余额限制可能是很好的预防性安全措施。oaN币圈网 - 区块链数字货币实时行情平台

6. 设计安全的访问控制机制oaN币圈网 - 区块链数字货币实时行情平台

访问控制机制能决定谁有资格管理合约的某些元素，谁有资格改变合约的某些元素，它是你以太坊智能合约架构里的一条关键路径。oaN币圈网 - 区块链数字货币实时行情平台

要是错误的人获取了所有权，要是错误的人得到了管理权限，那么他们能够重新编程合同，他们能够执行恶意交易。oaN币圈网 - 区块链数字货币实时行情平台

要防止错误的人拿到管理权限，要确保敏感功能必须经过多级授权才可访问。oaN币圈网 - 区块链数字货币实时行情平台

Web3开发者应该知道的4个智能合约安全工具oaN币圈网 - 区块链数字货币实时行情平台

智能合约的安全性至关重要。存在一些分析工具，这些工具能助力你保护智能合约，使其免受利用、漏洞及缺陷的影响。oaN币圈网 - 区块链数字货币实时行情平台

1. OctopusoaN币圈网 - 区块链数字货币实时行情平台

Octopus是一个高功能的分析工具，可用于分析智能合约的字节码，从而深入了解其内部行为，它与建立在流行区块链上的智能合约兼容，比如NEO、比特币，当然还有以太坊。oaN币圈网 - 区块链数字货币实时行情平台

2. OyenteoaN币圈网 - 区块链数字货币实时行情平台

Oyente是一款自动化的智能合约审计工具，其作用是识别常见的智能合约安全漏洞。它包含一个验证器，还有资源管理器、CoreAnalysis工具以及CGF构建器。每个组件都履行一项关键功能，比如说，资源管理器运行智能合约，CoreAnalysis检测所产生的输出里的任何问题。oaN币圈网 - 区块链数字货币实时行情平台

3. MythriloaN币圈网 - 区块链数字货币实时行情平台

Mythril是一个智能合约安全工具，该工具由ConSensys建立，对测试以太坊虚拟机（EVM）字节码很有用，它使用污点分析、SMT解算和符号执行的组合来发现智能合约代码中的漏洞。oaN币圈网 - 区块链数字货币实时行情平台

4. SecurifyoaN币圈网 - 区块链数字货币实时行情平台

Securify是一款智能合约漏洞扫描器，它得到了Ethereum基金会的支持。这款以太坊智能合约扫描器很流行，它能够检测出多达37个智能合约漏洞，还实现了针对上下文的静态分析，目的是获得更准确的安全报告。oaN币圈网 - 区块链数字货币实时行情平台

用智能合约安全的最佳实践保护你的下一个项目oaN币圈网 - 区块链数字货币实时行情平台

当正确实施的时候，智能合约技术能够被调整用来支持各种使用情况。不过，智能合约属于代码，是由人类编写而成的，有时候并非完美无缺。oaN币圈网 - 区块链数字货币实时行情平台

作为智能合约开发者，编写代码时，必须遵循安全最佳实践，要运行详细的安全分析，要利用多种安全分析工具和资源，要获得同行评审，要简化代码结构，还要实施故障安全机制。oaN币圈网 - 区块链数字货币实时行情平台

oaN币圈网 - 区块链数字货币实时行情平台