比特币与区块链安全：程序员的视角与代码审计

区块链安全事情与代码审计

据统计，2018年全球区块链领域共发生近百起安全事情，造成的丢失超越20亿美元，相较于2017年增长了538%。区块链技能面临着来自数据层、网络层、共识层、鼓励层、合约层以及应用层的安全危险，而安全进犯方式层出不穷，难以防范。尤其是安全进犯往往发生在应用层，其间智能合约就是区块链安全的重要薄弱环节。

安全事情

MtGox事情

MtGox曾是全球最大的比特币买卖渠道，其处理的比特币买卖占全球总量的70%。但是，2014年，MtGox遭遇了最严峻的黑客进犯，导致买卖暂停。其原因是该渠道的安全软件存在缝隙。两周后，网站突然封闭，随后MtGox请求破产。

据估计，MtGox公司丢失约4.8亿美元的比特币投资，其间包括来自客户的75万单位比特币及公司自有的10万单位比特币，一共约占全球比特币总发行量的7%。此次事情导致投资者信心受挫，比特币价格直接暴降36%。

TheDAO事情

TheDAO是由区块链公司Slock.it主张的一个众筹项目，它依靠智能合约在区块链上运转，没有法律实体，能够理解为一个去中心化的公司。

2016年6月17日，黑客运用智能合约脚本缝隙，经过ICO（首次代币发行）项目盗取了360万以太币，超越了该项目所筹措的以太币总数的三分之一。此事情影响下，以太币价格第二天暴降约30%。

TheDAO事情的影响之大，甚至引起了美国证券买卖委员会（SEC）的重视。尽管他们没有调查谁窃取了这些代币，但这对于之后的代币众筹项目产生了很大影响，项目方也愈加重视法律危险。

51%进犯

2018年5月，比特币黄金（BTG）开发团队公告显现进犯者掌控了BTG网络中大份额的算力，然后发动了“51%双花进犯”，并窃取了超越388,200个BTG，价值高达1,860万美元。

“51%进犯”的原理是基于数字货币的分布式记账机制。以比特币为例，比特币网络是一个去中心化的分布式账本，每一笔账务都需求“全民投票”来确认。当进犯者掌握超越网络算力的50%时，就能够操纵和篡改比特币网络。成功进行“51%进犯”后，进犯者能够修改自己的买卖记载，进行两层付出（即双花行为）。

代码审计

在区块链的安全事情中，大多数都是由于源代码存在缝隙而给黑客可乘之机。尽管智能合约自身受到区块链的保护，其代码也能够最大程度上开源和供人阅览。但是，代码的公开性使得黑客更容易发现其间的缺点，并进一步运用这些缺点来改动智能合约的履行结果，然后为区块链项目造成巨大的经济危险。因而，高度牢靠的智能合约代码开源性至关重要，而这种牢靠性要求代码的百分之百正确。

但是，对于程序员来说，写一份完全没有缝隙的代码是极其困难的，即便采取了一切或许的预防办法，复杂软件中依然很容易出现无法预料到的缝隙。因而，代码审计的重要性显而易见。

代码审计是指查看源代码中的安全缺点，查看程序源代码是否存在安全危险或编码不标准的当地。经过运用自动化工具或人工检查的方式，逐行查看和剖析程序源代码，发现由这些代码缺点引发的安全缝隙，并供给修正代码的办法和主张。

代码审计对于区块链的开展具有重要意义。一方面，代码审计能够节省安全投入，下降修正本钱。研究表明，应用发布后再修正代码的本钱大约是在规划和编码阶段的30倍。因而，从源头上控制安全危险，自动防御，能够最大程度地节省本钱。另一方面，代码审计能够下降体系的安全危险。及时修正代码层面的缺点，大大提高整个体系的安全性，防止巨额经济丢失。

结语

越来越多的区块链安全事情正在推进代码审计工作的开展。目前，智能化代码审计是最重要的方式，即便用计算机进行稳健性查验。但国内通晓该技能标准的公司并不多，代码审计亟需进一步遍及和开展。

此时快讯

【某巨鲸已累计囤币42,800枚ETH，约合7200万美元】金色财经报道，据LoOKonchain监测，2小时前，一头巨鲸再次从Binance购买了2,000枚ETH（336万美元）。自5月8日以来，该巨鲸已从Binance中提取了总计42,800枚ETH（7200万美元）的资金，似乎正在为即将到来的牛市积累ETH。