李虹含：区块链代码审计 造就完美虚拟世界

本篇文章2370字，读完约6分钟

在投资过程中，很多投资者只能盲目跟随市场变化和一些市场传言，捕风捉影，辨别区块链项目的真假。如果项目人员看不到它，就找不到开发站点。不管只存在于虚拟世界和空网络之间的区块链项目是真是假，我们为什么要自己做呢？

作者:李，中南财经政法大学湖北省产业升级与区域金融协同创新中心研究员

目前，区块链项目被认为是传销和欺诈，因为我们看不到具体的场景和应用。许多发行虚拟货币的项目方，在没有白皮书和项目团队的情况下，可以通过使用区块链技术筹集数百万甚至数亿美元。

此外，许多项目方在海外发行代币和外汇交易，而不是在中国(国内监管政策不允许上述行为)。在投资过程中，很多投资者只能盲目跟随市场变化和一些市场传言，捕风捉影，辨别区块链项目的真假。如果项目人员看不到它，就找不到开发站点。不管只存在于虚拟世界和空网络之间的区块链项目是真是假，我们为什么要自己做呢？

那么，我们对这些项目团队无能为力吗？

让他说他使用了区块链技术，我们能相信吗？

一个项目使用区块链技术吗？

一个项目必须使用区块链技术来实现它吗？

项目使用完美的智能合同代码吗？

我们如何判断？

区块链审计哪个更强？在中国的链条圈中寻找蓝翔。

首先，区块链代码审计能解决什么问题:让黑客无孔可入

随着btc、eth、eos等区块链项目的快速发展，区块链项目已经进入了智能合同时代，但是智能合同本身的正确性和安全性却面临着巨大的问题。

也就是说，任何项目在使用区块链时都可能误入歧途，代码的准确性也不能得到完全保证。正如每个人在电脑上打字时都会打字错误一样，程序员在输入代码时也会出现笔误和错误。

区块链的基础:智能契约代码的开源要求代码的高可靠性，这要求100%的正确性。

它在一千英里之外。

专业术语:

像比特币这样的代码都是开放的，并与智能合同代码一起存储在区块链，后者像交易数据一样受到区块链加密的保护。为了修改智能合同代码，需要51%的计算能力，因此智能合同代码的抗篡改能力大大提高。

智能合同受到区块链自身的保护，因此智能合同代码可以被最大限度地打开，并且可以被人们阅读。智能合同解决了代码可公开和安全性可保证的问题。然而，代码的开放性使得黑客很容易掌握代码缺陷。此外，代码缺陷触发条件被用来改变智能合同的执行结果，这使得区块链项目存在巨大的经济隐患。

就像，当我们在银行转账时，每个账户的信息都是正确的，这样转账才能正确，你的财产才能得到安全的保护。因此，区块链法典中没有一个词是错误的。

二、区块链代码错误造成的严重后果

区块链智能合同代码质量差，造成了许多严重后果。

目前，许多交易所和代币在进入交易所之前没有经过区块链代码的审计，导致了许多虚拟货币被盗的黑客事件。

smt项目和美国bec令牌安全漏洞

2018年4月25日凌晨，smartmesh(smt)项目方报告其交易中存在异常问题。经过初步调查，smt的以太网智能合同存在漏洞。受此影响，霍碧临目前暂停了所有币种的充值和取款业务。

据媒体报道，发现smt和米托bec具有相似的安全漏洞，即它们可以通过溢出攻击接收大量令牌。

(2)美图bec异常交易漏洞

2018年4月22日，美图bec发生异常交易。据分析，bec smart contract的batchtransfer函数存在漏洞，攻击者可以传入一个很大的值，使cnt *值超过unit256的最大值，导致其溢出，使金额变为0。

(3)奇偶多签名钱包漏洞

2017年7月，奇偶性的多重签名钱包被黑客窃取，原因是其智能合同代码中的漏洞，该代码耗资超过3000万美元。

(4)黑客窃取货币漏洞

2016年6月，由于智能合同中的一个错误，黑客从dao窃取了价值5500万美元的eth。

代码的安全缺陷迫使智能合同代码的自动审计

第三，区块链准则审计实现了完美的契约

区块链智能合同通过代码建立一套“合法合同”。软件工程师不可能创造出完全无错的代码，程序员总是有疏忽。红安科技和国防科技大学的区块链项目研究小组审核了市场上的区块链智能合同。他们的研究发现:

对于所有的程序员来说，编写一个没有错误的代码太难了。即使采取了所有可能的预防措施，在复杂的软件中总会有意想不到的执行路径或可能的漏洞。

这是需要代码审计的最重要的原因之一。

区块链的“法律合同”受解释和仲裁的约束，所以程序员很难创建一个细致的合同。在任何大型合同中，可能会有手稿中的错误和一些需要解释和仲裁的条款。

同时，软件工程师不是法律专家，反之亦然。起草一份好的合同需要各种技能，这些技能可能与书面的计算机程序不兼容。

因此，智能合同代码在一定程度上可能存在安全风险。传统的智能合同代码审计主要使用人工，依靠代码审核员读取智能合同代码。最后，手工代码审计依赖于人的经验，代码审计的效果不明显。鉴于eth中存在大量令牌的智能合同，人工审计工作量大，难以高效完成工作。

在区块链地区从事代码审计业务的项目公司很少。目前，每一个令牌在进入交易所之前，其区块链智能合同码都是由交易所审查和判断的，但有时交易所无法完全有效地判断合同是否完善。

智能代码审计和计算机健壮性测试是目前最重要的代码审计方式，国内很少有公司掌握这一技术标准。

然而，区块链准则审计的重要性不言而喻，区块链世界本身也相当安全。然而，由于人为编写代码的问题，不可能做到尽善尽美，因此有必要加强对代码有效性的认识。

本文转载自《李。本文由平台/作者授权的金融网站发布。请不要擅自转载。如果你对干货有意见或文章，你愿意为投资者提供最权威和专业的参考意见。无论你是权威专家、金融评论家还是智囊团，我们都欢迎你积极投稿，进入金融网站的著名栏目。
电子邮件地址:mingjia @ jrj，电话号码:010-83363000-3477。期待您的加入！