傳統(tǒng)的計(jì)算機(jī)程序一般運(yùn)行在某個(gè)節(jié)點(diǎn)或集群上，為某個(gè)機(jī)構(gòu)或個(gè)人擁有和控制。這樣的計(jì)算機(jī)程序可以隨時(shí)施加人工干預(yù)，可以隨時(shí)控制。然而，區(qū)塊鏈上的智能合約則是一種全新的計(jì)算范式。智能合約一經(jīng)部署就難以修改，其執(zhí)行也是自動(dòng)執(zhí)行，不受人為干預(yù)。因此，如果智能合約有安全漏洞，就很難防范黑客的攻擊。當(dāng)下，專業(yè)技術(shù)人員都在努力尋找合適的方式，提高智能合約的安全性和可靠性，幫助保障大家的資金安全。根據(jù)一份針對(duì)以太坊智能合約的最新調(diào)查研究顯示，在安全問(wèn)題研究人員看來(lái)，智能合約屬于新興事物，所以缺陷和漏洞還是非常多的。

所謂“智能合約”，其基本內(nèi)涵就是指可以將一些帶有合約性質(zhì)的條款嵌于我們?nèi)粘Ｊ褂玫挠布蛙浖?dāng)中，目的是讓那些違約者在違反合同時(shí)付出一定代價(jià)。Szabo將實(shí)體售貨機(jī)稱為“智能合約的原型”，因?yàn)閷?shí)體售貨機(jī)就是根據(jù)屏幕上所顯示的價(jià)格，收取用戶投進(jìn)來(lái)的硬幣，掉出用戶所選中的商品并且正確找零。

以以太坊為例。以太坊是一個(gè)開(kāi)源的有智能合約功能的公共區(qū)塊鏈平臺(tái)。區(qū)塊鏈上的所有用戶都可以看到基于區(qū)塊鏈的智能合約。但是，這會(huì)導(dǎo)致包括安全漏洞在內(nèi)的所有漏洞都可見(jiàn)。如果智能合約開(kāi)發(fā)者疏忽或者測(cè)試不充分，而造成智能合約的代碼有漏洞的話，就非常容易被黑客利用并攻擊。并且越是功能強(qiáng)大的智能合約，邏輯就越復(fù)雜，也越容易出現(xiàn)邏輯上的漏洞。同時(shí)，智能合約語(yǔ)言Solidity自身與合約設(shè)計(jì)都可能存在漏洞。

以太坊開(kāi)源軟件主要是由社區(qū)的極客共同編寫的，目前已知存在Solidity漏洞、短地址漏洞、交易順序依賴、時(shí)間戳依賴、可重入攻擊等漏洞。在調(diào)用合約時(shí)漏洞可能被利用，而智能合約部署后難以更新的特性也讓漏洞的影響更加廣泛持久。

另外，以太坊虛擬機(jī)（EVM）對(duì)于智能合約能夠做的事情存在很多硬性限制。這些都牽扯到平臺(tái)級(jí)的安全，甚至可能會(huì)威脅到用戶特定合約的安全。

倫敦大學(xué)學(xué)院（University College London）的計(jì)算機(jī)科學(xué)家Ilya Sergey表示，目前專業(yè)技術(shù)人士還沒(méi)有完全搞清楚智能合約中存在的安全漏洞和潛在風(fēng)險(xiǎn)。他曾經(jīng)參與過(guò)一項(xiàng)針對(duì)智能合約的調(diào)查研究。Sergey及其同事借助一款創(chuàng)新工具，對(duì)將近100萬(wàn)份的以太坊智能合約樣本進(jìn)行了分析。結(jié)果發(fā)現(xiàn)，其中約有3.4萬(wàn)份都是存在安全隱患的，包括導(dǎo)致Parity事件的那一份。Sergey介紹說(shuō)，自己和團(tuán)隊(duì)其他成員的分析工作，就好比是與自動(dòng)售貨機(jī)互動(dòng)。研究人員隨機(jī)按下某個(gè)按鈕，接著記錄機(jī)器在運(yùn)行過(guò)程中出現(xiàn)意外事故時(shí)的相關(guān)狀況。用他的話說(shuō)：“我認(rèn)為，目前我們沒(méi)有發(fā)現(xiàn)的安全漏洞還有很多，需要繼續(xù)分析并且進(jìn)行分類。”

在實(shí)踐中如何提高智能合約的安全性？給出以下建議，在實(shí)際編程中盡量遵守，你的合約將更具安全因素。

更完善的編寫測(cè)試。

建議提供容錯(cuò)和自動(dòng)錯(cuò)誤賞金。

為最糟糕的情況做準(zhǔn)備。智能合同中的漏洞，應(yīng)該盡可能讓它安全地恢復(fù)。

添加額外的安全機(jī)制。合同的管理者可應(yīng)急性地凍結(jié)合約。

限制合約資金存放金額，提高攻擊者成功的門檻。

不要從零開(kāi)始編寫你所有的代碼，盡可能參考成功者的合約。

注意開(kāi)發(fā)平臺(tái)的限制。