智能合约安全
智能合约安全 是什么?
智能合约安全通过设计、审查和运维链上程序,防止其被利用以盗取资金、冻结逻辑或违反业务规则的实践。
智能合约是部署在以太坊、BNB Chain、Solana 等区块链上的不可变程序,直接托管价值。智能合约安全针对代码(Solidity、Vyper、Rust、Move)及其经济激励,分析重入、整数溢出、访问控制缺陷、不安全的 delegatecall、预言机依赖以及矿工/验证人可提取价值等风险。由于已部署合约通常无法热修复,防御依赖默认安全库(如 OpenZeppelin)、威胁建模、形式化验证、模糊测试、人工审计、多签治理、带时间锁的升级、熔断机制以及具有链上告警的持续监控。
● 示例
- 01
2016 年 The DAO 事件利用 Solidity 重入漏洞被转出约 360 万枚 ETH。
- 02
2022 年 8 月 Nomad 跨链桥因消息验证缺陷损失约 1.9 亿美元。
● 常见问题
智能合约安全 是什么?
通过设计、审查和运维链上程序,防止其被利用以盗取资金、冻结逻辑或违反业务规则的实践。 它属于网络安全的 Web3 与区块链 分类。
智能合约安全 是什么意思?
通过设计、审查和运维链上程序,防止其被利用以盗取资金、冻结逻辑或违反业务规则的实践。
智能合约安全 是如何工作的?
智能合约是部署在以太坊、BNB Chain、Solana 等区块链上的不可变程序,直接托管价值。智能合约安全针对代码(Solidity、Vyper、Rust、Move)及其经济激励,分析重入、整数溢出、访问控制缺陷、不安全的 delegatecall、预言机依赖以及矿工/验证人可提取价值等风险。由于已部署合约通常无法热修复,防御依赖默认安全库(如 OpenZeppelin)、威胁建模、形式化验证、模糊测试、人工审计、多签治理、带时间锁的升级、熔断机制以及具有链上告警的持续监控。
如何防御 智能合约安全?
针对 智能合约安全 的防御通常结合技术控制与运营实践,详见上方完整定义。
智能合约安全 还有哪些其他名称?
常见的别称包括: DeFi 安全。
● 相关术语
- web3№ 1055
智能合约审计
由独立第三方对智能合约源代码、部署配置与经济设计进行的安全评审,通常在上线或升级前完成。
- web3№ 910
重入攻击
智能合约漏洞,外部调用使攻击者在状态更新前再次进入原函数,通过递归循环不断转出资金。
- web3№ 424
闪电贷攻击
DeFi 攻击者在一笔交易中借入巨额无抵押闪电贷,以操纵价格或治理,在贷款偿还前盗取资金。
- web3№ 765
预言机操纵
通过扰乱智能合约所依赖的价格或数据源,使合约在借贷、清算或结算中做出严重错误决策的攻击。
- web3№ 106
区块链安全
保护分布式账本、共识机制、智能合约及其周边基础设施免受攻击、欺诈与盗窃的综合学科。
- web3№ 952
Rug Pull(抽地毯/卷款跑路)
代币、NFT 项目或 DeFi 协议的开发者抽走流动性或金库资金后消失,使持有者持有的资产瞬间归零的退出诈骗。
● 参见
- № 00351% 攻击
- № 435区块链抢跑(Front-Running)
- № 675MEV(最大可提取价值)
- № 965三明治攻击
- № 1221钱包窃取器(Wallet Drainer)