三个智能合约及区块链安全迷思 智能合约可以更改吗？

Chris Chan

UD首席网络保安分析师

区块链安全做到足 防止资产损失 
区块链世界发展非常迅速，项目日新月异，每天上百个项目目不暇给，但开发人员就有可能忽略了背後安全漏洞问题，究竟如何在未招惹资产损失之前做好项目的区块链安全呢？ UD首席网络保安分析师Chris Chan选了一些常见区块链安全问题与大家深入浅出进行分析及提出应对策略！

1.智能合约真的能更改吗？

智能合约是不能更改的，它是一个运行在区块链的代码，所以编写时必须想清楚避免造成逻辑漏洞，有逻辑漏洞的智能合约容易被骇客入侵，亦可能导致交易所得资产永远被锁定而无法提取，所以编写智能合约前必须做审查减少错误的问题出现！

2.要定期撤销授权不常用智能合约吗？

进行任何区块链上的交易动作时，一般都会收到无限授权智能合约讯息要求钱包执行，你无法预计要求无限授权智能合约的网页及程式是否安全或将来会否被骇入，所以定期检视钱包内被授权智能合约後，应撤销一些不常用智能合约的授权，以免不必要的资产损失！

3.开发团队开启可疑讯息或档案前应留意什麽？

虽然区块链发展飞快，但币市仍然是处於熊市状态，黑客可能会利用大家害怕错过获利机会 (FOMO) 或深信有机会可以取回被扣押的资产心态，用不同的联络渠道 (例如:电邮或电脑档案) 试图骇入电子设备系统取走资产及私钥 (Private Key)，所以开发人员必须提醒自己开启可疑讯息要留神，例如先问问自己，当初并没有提供电话号码等联络方式予这些去中心化应用程式 ，为什麽它可以透过短讯联络你？第二，当你细心留意讯息发出者资料 (例如之前有人冒认知名加密货币钱包 - MetaMask)，会发现出现错字情况，这时你就应该再想一想是否应该开启该讯息！

如果想进一步了解更多智能合约及区块链安全示范，可以观看以下影片！

 智能合约漏洞确实「老是常出现」，区块链项目安全及智能合约审计不容忽视，然而编程人员往往忽略一些智能合约细微的部分，所以第三方以抽离角度的审视智能合约商业逻辑也是能为项目进行把关，而UD亦有提供相应审计服务，例如渗透测试。欢迎与我们预约谘询了解更多！