【網絡安全】智能合約減成本 5招降低潛在風險免被騙
隨著區塊鏈 (Blockchain) 技術的興起,不少企業都改為採用智能合約,省卻繁複的程序、減少額外開支並確保合約內容得以有效地執行。不過,由於過住有一些保安事故與智能合約有關,牽涉利用智能合約的程式設計漏洞。香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)呼籲,不論是開發或使用智能合約時都要小心謹慎,以免程式執行結果與預期不同,同時要理解當中潛在的風險及相應的保安建議。
【微軟漏洞】微軟漏洞懸賞計畫覆蓋旗下更多產品 獎金最高達23萬元
HKCERT指出,今年1月有網絡保安公司的研究報告指出,黑客透過創造欺詐代幣來引誘用戶購買。由於黑客利用智能合約的錯誤設置及代碼漏洞,然後騙取智能合約中的資金,例如利用的EmergencyWithdraw函數,從智能合約中進行了57次盜竊行為。
報告亦提及下列四項代幣欺詐情況:
- 一些代幣在購買費達99%時,黑客在購買階段騙走所以資金;
- 一些代幣不允許買家轉售,只有代幣持有人可以轉售;
- 一些代幣在售價達99%時,黑客在銷售階段騙走所以資金;
- 一些代幣允許持有人創造更多代幣作銷售
另外,去年11月黑客也曾入侵多鏈去中心化交易所 MonoX,透過程式中的漏洞使智能合約把MONO幣的價值提高,其後購買其他資產。最終MonoX遭受3,100萬美元(約2.4億港元)的損失。
因此HKCERT呼籲,使用智能合約應注意5項事項:
1)簽署智能合約時,要小心確認合約內容。若不確定簽署請求,應使用官方渠道聯絡平台技術支援;
2)如對智能合約不是太熟悉,可使用規模較大的交易平台上的官方智能合約進行交易;
3)交易後,立即檢查加密資產轉移數量是否正確、交易是否根據合約內容成功執行;
4)編寫智能合約時應參考最佳實踐指引,以避免常見的攻擊方式,如重入攻擊、阻斷服務攻擊等;
5)為智能合約進行保安評估或審計來檢查程式碼有否保安問題以便跟進。報告結果亦可供用戶查閱以增加透明度。
責任編輯:曾曉汶
《ET贏商有計》每集請來香港企業品牌,分享疫下營商Tips。即看最新一集:
