25％智慧合約存在bug，智慧合約審計將成安全細分領域

編者按：本文來自36氪戰略合作區塊鏈媒體“Odaily星球日報 ”

“智慧合約”區塊鏈專案的重要部分，合約中的漏洞若被作惡者利用，將導致token被盜且往往無法收回，而錯誤程式碼的執行，也會給社群帶來損失。

最近安全公司Hosho稱，在他們所審查過的專案中1/4存在嚴重錯誤，約有60%至少存在一個安全問題。同時指出，由專門從事智慧合約審計的第三方對智慧合約程式碼進行審計，雖然不能萬無一失，但能減少程式碼錯誤漏洞。

什麼是智慧合約審計？

智慧合約審計其實就是仔細研究程式碼的過程，即把合約部署到以太坊（假設此專案是執行在以太坊上的）主網路中，並對其進行錯誤、漏洞和風險等方面的審查，然後討論如何改進。因為一旦釋出，這些程式碼將無法再被修改。值得注意的是審計並不是驗證程式碼安全的法律檔案，僅僅表示你的程式碼已被專家校訂過，基本上是安全的。沒有人能100％確保程式碼不會在未來發生錯誤或產生漏洞。

為了檢查合約的安全性，一般會測試多種攻擊，以確保合約是否安全。如重入攻擊（Reentrancy attack）、數值溢位（Over and under flows）、重放攻擊（Replay attack）、重排攻擊（Reordering attack）、短地址攻擊（Short address attack）。

目前國內提供智慧合約審計服務的公司比較出名的是知道創宇，但它除了智慧合約審計之外還有其他安全方面的產品和服務。國外則已經衍生出了這一專門的領域，如前文所提到的Hosho公司就是專門做智慧合約審計的。相信隨著智慧合約的增多乃至未來可能的大規模發展，對各種合約程式碼的審計會成為一個專業的不可忽視的領域。