3%的以太坊智能合约被曝存在漏洞，暴露以太坊被盗、合约被删除的风险

安全研究人员使用分析工具Maian对近100万份基于以太坊的智能合约进行分析，发现其中3.42万份合约存在安全漏洞，黑客可利用这些漏洞窃取以太坊、冻结资产、删除合约。

来自英国和新加坡几所大学的六名研究人员上个月发表了一篇研究论文。 使用他们构建的 Maian 分析工具，在近 100 万个基于以太坊的智能合约（Smart Contract）上，发现 34,200 个包含安全漏洞，这些漏洞可以让黑客窃取以太币、冻结资产或删除合约。

智能合约是在区块链上运行的程序。 它们将程序和状态存储在分类账上，并且可以发送和接收加密货币。 最流行的应用程序之一是令牌管理。 到目前为止，已有超过 100 份申请。 以太坊网络上运行着一万个智能合约，而且这个数字还在不断增长。

不过报告指出以太坊被盗时间，智能合约也带来了诸多安全挑战。 一是部署后不能升级打补丁，二是运行在比较新的环境，使用新的语言，实现起来比较困难。 三是区块链上的代币通常具有重要价值，容易吸引黑客攻击。

Maian 总共分析了以太坊区块链上的 970,000 个智能合约，其中 34,200 个包含涉及价值数百万美元以太币的安全漏洞。 研究人员将漏洞分为三种形式，包括允许黑客窃取以太坊、冻结合约资产或允许任何人删除合约。 在这些智能合约中，91%的智能合约都包含可以冻结的资产。

研究人员强调，Maian 还发现了 Parity 加密货币钱包中以太冻结的漏洞，该漏洞之前没有被任何工具检测到。 去年 11 月，代号为 Devops199 的开发人员通过一个漏洞冻结了 Parity 中价值近 3 亿美元的以太币。

值得注意的是，麦安在识别各种漏洞时的准确率各不相同。 例如，其识别可窃取加密货币的漏洞（True Positives）的准确率为97%以太坊被盗时间，识别可删除合约的漏洞的准确率为99%。 冻结资产漏洞准确率仅为69%。返回搜狐查看更多