迄今为止最全面的以太坊安全漏洞总结和建议

雷锋网AI金融评论 注：本文来自微信公众号“分享比特”，原标题为《以太坊当前已知安全问题汇总》。 雷锋网授权转载。

（以下为本次转载全文，雷锋网略有删减。）

以太坊是一个具有智能合约功能的开源公共区块链平台。 区块链上的所有用户都可以看到基于区块链的智能合约。 但是，这会导致所有漏洞（包括安全漏洞）都可见。 如果智能合约开发者疏忽或测试不充分，导致智能合约代码出现漏洞，极易被黑客利用和攻击。 而且智能合约越强大，逻辑越复杂，越容易出现逻辑漏洞。 同时，智能合约语言Solidity本身和合约设计也可能存在漏洞。

如果区块链也有315，那么以太坊肯定榜上有名。 以太坊自运行以来，因漏洞引发的重大安全事件屡见不鲜。

北京时间2016年6月17日，一场区块链史上的重磅来袭发生。 由于以太坊智能合约存在重大缺陷，区块链行业最大众筹项目TheDAO（攻击前资产约1亿美元）遭到攻击，导致超过300万以太坊资产从TheDAO资产池中分离.

2017 年 7 月 21 日，智能合约编码公司 Parity 警告称，1.5 及更高版本的钱包软件存在漏洞。 根据 Etherscan.io 的数据，价值 3000 万美元的 150,000 个以太币被盗。 2017 年 11 月 8 日，以太坊 Parity 钱包出现了另一个重大漏洞。 多重签名漏洞被黑客利用，导致数亿美元资金被冻结。

以太坊开源软件主要由社区极客编写。 目前已知的漏洞有Solidity漏洞、短地址漏洞、交易序列依赖、时间戳依赖、重入攻击等。 这些漏洞可能在调用合约时被利用。 智能合约部署后难以更新的特点也使得该漏洞的影响更为广泛和持久。

根据相关调查统计以太坊众筹时间，以太坊的主要漏洞如下表所示：

上述漏洞已经广泛存在于以太坊网络中。 2018 年 2 月 24 日，新加坡和英国的多名研究人员指出，超过 34,000 个以太坊智能合约可能存在易受攻击的漏洞，导致数百万美元的以太坊被曝光。 在面临风险的人中，有 2,365 人属于著名项目。

鉴于以太坊运行不到3年，上述漏洞可能只是其所有漏洞的冰山一角。 为保证业务在区块链上安全可靠运行以太坊众筹时间，保护数字资产安全，采用以太坊作为区块链技术。 在规划解决方案时，必须对智能合约代码进行全面测试。 在构建智能合约时，ZBT技术团队的安全建议如下：