黑客来袭！手把手带你深挖区块链安全漏洞

目前，区块链漏洞安全问题频发。

 

区块链行业正面临着私钥生成与保护、共识过程中心化、智能合约代码漏洞、签名过程算法漏洞、系统实现代码漏洞等安全问题，对于以上问题，开发者该如何应对及避免漏洞频发呢？

 

吴家志（PeckShield研发副总裁、原360 C0RE Team创始成员及360超级ROOT产品负责人，专注于区块链智能合约安全以及数据分析）围绕以太坊智能合约及公链安全问题主题，先是对最近流行的Fomo3D游戏存在”薅羊毛“漏洞展开了深入浅出的分析，之后又对allowance和overflow相关漏洞做了解读，最后，又针对此前影响较大的以太坊EPoD致命报文漏洞做了深入剖析和实操演练。

那么，你对智能合约和公链安全问题了解多少？目前以太坊智能合约存在哪些漏洞？公链安全正遭受哪些威胁？如何去深入剖析区块链现已曝出的漏洞？来听一听区块链资深漏洞专家是怎么说的！

作者 | 吴家志 PeckShield研发副总裁 

责编 | kou

以下为吴家志在CSDN主办，区块链大本营、柏链道捷、极客帮创投协办的「第 9 期 CSDN 区块链技术沙龙」上的发言内容，区块链大本营在不改变原意的情况下作了精心整理。

我先自我介绍一下，我叫吴家志，目前在PeckShield担任研发副总。我们是今年年初转到区块链领域的，其实创业初期我们有做过一些其他的尝试，之前我的工作比较偏向操作系统安全方面，主要在安卓方向，像360 C0RE Team、360超级ROOT都是我在 360期间开发出来的产品。

 

目前，区块链发展的趋势是怎样的？可以看一下数据，蓝线代表创建智能合约数量的趋势。

 

可以看出，去年9月份，智能合约数量出现了大幅下滑，年底各种ICO的出现，使智能合约数量有了很大的上升，今年2月份又出现了明显的下降，过去的两到三个月也都在下降，不过7月份开始又往上涨了，这其中的原因，在场的大家都知道，我就不说了。

 

而且，至少2017年下半年开始到今年年初，由于区块链各行业DApp不断落地，行业形势看起来一片大好。

 

区块链这么火，投资人会投入大量资金去买币、炒币...

但在我们安全研究人员眼里来看，它其实是黑客非常感兴趣的目标。

 

从2014年的Mt.Gox的事件开始，一直到今年这个时间，出现了很多区块链安全事件。比如今年4月份有关智能合约漏洞的美链（BEC）事件，5月份的EDU，到近期的交易所被黑，各类安全事件很多很多。

 

这种安全问题，它造成的结果是非常严重的，你的钱是真的不见了。不像是手机里面的照片、隐私被窃这种，这根本不是一个级别的。

 

今天我主要讲两个主题，智能合约安全和公链安全。

 

深入浅出：Fomo 3D漏洞

 

先讲一下智能合约相关的安全问题，近期F3D十分火爆，它有很多有趣的东西，就在6天前，我们就有一个比较新的研究……

微博：https://weibo.com/ttarticle/p/show?id=2309404265433178991610

 

这个故事是这样的，大概7月 23日晚上 8点多，我在微博上发现了一条关于F3D的信息，Geth客户端开发团队的 team leader、以太坊核心成员 Peter 发现了一个F3D的airdrop()问题，这引起了我的兴趣，然后我们就去分析。