如何研究智能合约安全

智能合约往往指的是在区块链网络上运行的一段代码。

其与普通程序有什么区别?
传统软件分为前端和后端,前端一般用于展示信息、搭建用户与后端操作的接口。大多数重要的数据和权限都在后端进行存储和决策。

区块链中:前端:用户交互界面;后端:智能合约
这里的后端与传统软件不同:
1.智能合约可以不需要前端
2.智能合约都是明文存储在区块链上,可以接触源码
3.任何知道智能合约ID编号的人,都可以调用智能合约
传统的中心化服务器的服务端只在服务器上保存,而区块链的智能合约需要保存在成千上万台电脑上。
例如:

image.png

智能合约上链需要几个条件:
1.智能合约通过虚拟机编译审查。不管这个智能合约编写逻辑多么错误,代码写得多么不好,都可以上区块链,但必须是符合要求的语言编程规范。简单类比,不管你试卷打多少分,但首先是使用中文在答题。
2.必须通过一个全节点来部署,这一点极其重要。当然这个全节点可以自己搭建,或者利用已有的全节点。有一些全节点提供钱包的功能,使用这个全节点上的钱包,就相当于使用了这个全节点。简单类比,你要在某个团体内发表一个声明,你就必须成为团体一员,或者需要借助其中的一个成员才行。
3.发布智能合约必须要付出一定的代价。这个代价就是矿工费用,只有支付一定的矿工费用才能被矿工接受,矿工把它打包之后才能放到区块链之上。既然需要支付矿工费用,这就意味着发送智能合约的人有自己的账户,而从账户支付金钱则需要采取自己的私钥签名。如果是一个全节点,使用私钥签名来发布合约的过程,由全节点来执行。如果是一个钱包的话,则由钱包进行私钥签名转账,发布合约则使用钱包所附属的全节点来执行。

如何使用智能合约
当某个外部程序需要调用这个智能合约的时候,就指定这个智能合约的注册ID及需要传入的参数,就可以调取这个智能合约,当然调用这个智能合约也需要支付足够的矿工费用才行。智能合约被调取,利用传入的参数信息,执行相应的程序,把智能合约执行完成后,把该写入区块链的写入区块链,这样的智能合约执行过程就算结束了。在这里需要说明的是,写入到区块链的数据库中,也算是写入到区块链之中。

参考:https://www.jianshu.com/p/3f44ca9abb73

主网络中的以太币是有价值的,在主网络上直接进行钱包软件或者智能合约的开发将会是非常危险的,稍有不慎就会损失以太币,甚至影响整个主网络的运行。同时,因为主网络使用人数多,矿工更是不计其数,如果是在开发一个挖矿软件,用一台开发软件的笔记本电脑几乎不可能挖出一个区块,这就导致测试几乎不可行。
我们发布一个智能合约一般需要去测试,由于是去中心化的,自己搭建网络不现实,存在很多测试网络。出于测试和学习的目的,有一小部分节点,使用与主网络不同的创世区块,开启一条全新的区块链,并在上面挖矿和测试,这就是测试网络(Testnet)。常用的有(ropsten、kovan、Rinkeby)。
例如 Ropsten也是以太坊官方提供的测试网络,是为了解决Morden难度炸弹问题而重新启动的一条区块链,目前仍在运行,共识机制为PoW。测试网络上的以太币并无实际价值,因此Ropsten的挖矿难度很低,目前在755M左右,仅仅只有主网络的0.07%。这样低的难度一方面使一台普通笔记本电脑的CPU也可以挖出区块,获得测试网络上的以太币,方便开发人员测试软件,但是却不能阻止攻击。
PoW共识机制要求有足够强大的算力保证没有人可以随意生成区块,这种共识机制只有在具有实际价值的主网络中才会有效。测试网络上的以太币没有价值,也就不会有强大的算力投入来维护测试网络的安全,这就导致了测试网络的挖矿难度很低,即使几块普通的显卡,也足以进行一次51%攻击,或者用垃圾交易阻塞区块链,攻击的成本及其低廉。
参考https://blog.csdn.net/weixin_34194551/article/details/91902194
https://zhuanlan.zhihu.com/p/29010231
以太坊智能合约的开发 一般使用 Solidity语言(https://solidity.readthedocs.io/en/latest/
)开发IDE可以选择REMIX。

你可能感兴趣的:(如何研究智能合约安全)