近日,以太坊默默憋出了个大招,公布了一项有关“保险池”的提议。
事情的缘由,是因为前不久发生的两大智能合约漏洞事件——
4月22日,BEC市场瞬间蒸发64亿人民币,黑客利用以太坊ERC-20智能合约中BatchOverFlow漏洞,攻击了美链BEC的智能合约。
4月25日,各大交易所暂停SMT的充值和提现交易,智能合约SmartMesh(SMT)也曝出存在安全漏洞。
智能合约漏洞频现,前后仅间隔三天,币圈一时人心惶惶。
因此,以太坊开发者Alex Van de Sande 认为,创建一个存有专用保险资金的“赎回合约”,能够降低个人或组织通过争议性硬分叉,从而获得部分或全部因代码漏洞而失去的资金。
针对这个事件,锌财经借机迭代区块链创业营、ugChain联合主办的区块链技术交流会,采访了几位区块链领域的技术大牛。
吕庆浩
ugChain区块链高级工程师;
资深密码学、加密算法、数字证书专家
ERC-20智能合约是以太坊在2015年推出的一套代币标准,它规定了代币名称、总量、转账等一系列在实现代币时,需要遵守的协议,在目前的数字货币交易体系中,这是一种比较主流的协议体系。
对于智能合约漏洞频发的问题,吕庆浩认为,合约开发者对整数溢出问题考虑得不够周全,导致攻击者可以构造出包含特殊参数的交易,进而触发合约代码的运行,最终产生非预期的行为,比如凭空产生的巨量Token,远远超过了合约代币的发行总量,直接导致该合约实现的代币资产归零。
01
应用场景决定一段程序代码的重要性
在软件开发领域,出现程序漏洞是一个常见现象,但是普通的软件程序,通常不和资金挂钩,所以即便出现漏洞,也不会产生太大的影响。历史上也曾发生过因为程序漏洞,导致火箭发射失败的事件,这或许比智能合约漏洞的影响更大。
一段程序用在什么地方、什么场景,往往决定了这段程序代码的重要程度。
在吕庆浩看来,智能合约代码和其它软件代码并没有显著的区别,都是一段程序,只是智能合约代码一般用来控制资金的流转,需要更加严谨地对待。
02
智能合约漏洞取决于编写人员
按照正常的流程,一款程序开发完成后,需要先做一个严谨而周密的功能测试,以验证程序是否满足预期的功能设计。功能测试通过后,还需要进行一个输入参数的边界测试,以检测是否会因为特殊参数的输入,导致程序发生非预期的行为。
区块链是一门比较新的技术,市场上的智能合约开发人员,还没有完全培养到位,对开发者的技术水平、细心程度,同样都有着更高的要求。
智能合约代码需要尽量经过多人阅读审核,这样才能降低漏洞出现的概率,防止资金流转发生异常。
吕庆浩认为,目前并没有通用的自动化手段,可以验证一段代码是否包含漏洞,一切依赖于开发者的技能水平和测试流程的完善。
杨佳学Chainpe、hpool创始人,资深矿工,区块链项目投资人
目前,全球排着队的ICO项目有上万种,在没有落地之前,仅靠一个概念在支撑,它其实跟空气币没有任何差别。但是数字代币市场以外的资金,仍旧不停地跑马入场,一直在不间断地循环,所以这些项目仍旧呈现有涨有跌之势。
相较于早前山寨币纵横的数字代币市场,现在大部分则是打着区块链3.0时代新型应用的空气币。“其实这些空气币还不如山寨币,至少山寨币还有一些微弱的创新,比如说,找到了新的共识机制或是区块链结构。”
面对快速增长的ICO和层出不穷的新币,数字代币市场鱼龙混杂。
在杨佳学看来,以太坊此次智能合约发现漏洞,说明各个项目团队本身也存在问题,在编写代币智能合约自定义部分时,缺乏严谨的代码安全审查和测试,最终导致被黑客攻击。但是,数字货币市场本身就是一场资本游戏,目前还缺乏有效的监管,就算发生了问题,大家也只能自认倒霉。
在这种背景下,作为普通的投资人,在投资区块链项目时,应做到以下几点:
01
选择大盘
试图一夜暴富的投机者们,总是痴迷于可以投中黑马。但对于普通人而言,这是一种多方面的考验,既要考验自己人性中的恐惧和贪欲,还要拥有足够的多维度专业知识。
区块链涉及很多技术层面的东西,作为普通人,其实很多专业上的东西都来源于道听途说,缺乏自己的主观判断。选择一些类似比特币、以太坊之类体量大且安全系数高的项目,虽然收益上会相对少一点,但是可以把风险降到最低。
02
看准趋势
面对下一波即将爆发的行业趋势,个人可以做适当的资产配置,比如说用大部分资金去投资一些类似比特币、以太坊、EOS等明盘项目;然后用小部分资金去投资一些即将要爆发的行业或生态内的项目,类似跨链、分布式交易所等,这些基础设施的协议。最后,再投一些自己喜欢的,名气和体量都不大的项目。
“投中趋势,在行业爆发期基本上买十涨九,这就是行业红利,整体来说都会涨,看你怎么去配置一个合适的风险比控。”
在杨佳学看来,区块链还是处于一个行业的高速发展期,仍旧是一个有行业红利的增量市场状态,虽然风险很高,但是风险和收益比依然值得我们去做谨慎的投资。
文章 | 长右
编辑 | 精卫
摄影 | 黄硕
©本文版权归“锌财经”所有
部分图片来自网络
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
