以太坊智能合约框架更新以应对安全问题

以太坊是全球使用最广泛的区块链网络之一。 CoinMarketCap 最近的调查结果显示，以太坊拥有最多的开发者总数，占加密货币领域所有开发者的 16%。

不幸的是，以太坊网络也变得极易受到安全漏洞的攻击。区块链安全公司 Beosin 在其《全球 Web3 安全报告》中发现，加密货币投资者在今年第三季度因地毯拉动而损失了 2.8296 亿美元。该报告进一步指出，网络钓鱼计划在同一时期产生了 6615 万美元的收入。根据 Beosin 的调查结果，以太坊区块链总体上遭受的损失和事件最多。

更新了用于审查智能合约代码的框架

企业以太坊联盟 (EEA) 的技术项目总监 Chaals Nevile 告诉 Cryptonews，以太坊内部存在一些已知问题，这些问题正在影响生态系统的安全。EEA 是一个旨在推动企业以太坊作为开放标准使用的组织。

为了应对这一挑战和其他挑战，EEA 于 2020 年 11 月成立了EthTrust 安全级别工作组。 2022 年 8 月，该组织发布了《EthTrust 安全级别规范 v1》。此规范已成为开发人员、组织和客户利用和审查以以太坊主要编程语言 Solidity 编写的智能合约代码的框架。

然而，随着以太坊网络的不断发展，Nevile 指出，EthTrust 安全级别规范需要更新，以反映持续的和新的安全发展。 例如，v1 规范涵盖了 2022 年左右的错误，但在我们发布 v1 后又发现了新的错误。

考虑到这一点，Nevile 表示，今天 EEA 宣布发布 EthTrust 安全级别规范 2.0 版。 Neville 指出，EthTrust 安全级别规范 v2 解决了一些问题，例如 Solidity 编译器中新发现的错误、舍入错误的处理、更严格的读取处理仅重入攻击等等。

更新至关重要，因为以太坊生态系统过去由于这些特定问题而成为安全漏洞的受害者。例如，OpenZeppelin（一家构建开源框架来保护智能合约的安全公司）的解决方案架构主管 Michael Lewellen 告诉 Cryptonews，DAO”由于重入而发生黑客攻击。 DAO 黑客事件是 2016 年发生的以太坊上最初的重大黑客事件，它让每个人都更多地思考安全性。这是一个典型的重入案例， DAO 黑客攻击导致 ETH 损失 364 万美元。

Nevile 解释说，重入发生在开发者启动智能合约，然后请求程序在处于运行状态时执行不同操作时。运行代码的中间。他说：

本质上，这意味着程序已运行代码一半，但随后又要求执行其他操作。因此，这两个请求可能会混淆。然后，程序黑客可以利用这种混合作为窃取人们金钱或改变事物提示的机会。

行业标准会被广泛采用吗？ 

Lewellen 意识到此类事件背后的严重性，指出 OpenZeppelin 利用 EthTrust 安全级别 v1 框架来防止此类安全漏洞的发生。

这个行业标准似乎很有帮助，一位匿名 OpenZeppelin 客户向 Cryptonews 透露，EthTrust 正是该公司过去所缺乏的。消息人士称：

我们之前的安全审核失败了，因为我们没有明确的指导来说明我们缺少哪些安全要求。在审查了 EthTrust 要求并在我们的代码库中实施这些要求后，我们对进入下一次审计更有信心了。

然而 Nevile 评论说，虽然对 EthTrust 标准 v1 的反馈是积极的，但让开发人员和组织知道这样一个开放标准的存在仍然具有挑战性。他还指出，该框架最适合较新的以太坊项目。他说：

Uniswap、Aave 等项目可能会研究这些规范并发现它们很有用，但在很大程度上，这对他们来说是常识。刚刚在以太坊上开发并投入生产的项目可能会发现这些规范很有价值。

然而，问题仍然是这样的行业标准是否有助于防止以太坊上的安全漏洞继续发展。利用区块链技术的金融服务公司 BankSocial 的创始人兼首席执行官 John Wingate 告诉 Cryptonews，行业标准不断变化的性质是有问题的。

考虑到这一问题，Nevile 表示，EthTrust 规范的第 3 版已经在制定中。 尽管情况可能如此，但 Wingate 认为可重复的自动化测试是确保去中心化应用程序遵循可能防止安全漏洞的**实践的唯一方法。他说：

这意味着能够将您的平台设置为进行定期、自动化的代码测试。当已知源代码或编译器存在错误时，可以更新自动化工具，然后每个人都可以从扫描漏洞中受益。