三個智能合約及區塊鏈安全迷思 智能合約可以更改嗎？

Chris Chan

UD首席網絡保安分析師

區塊鏈安全做到足 防止資產損失

區塊鏈世界發展非常迅速，項目日新月異，每天上百個項目目不暇給，但開發團隊就有可能忽略了背後安全漏洞問題，究竟如何在未招惹資產損失之前做好項目的區塊鏈安全呢？ UD首席網絡保安分析師Chris Chan精選了一些常見區塊鏈安全問題與大家深入淺出進行分析及提出應對策略！

1.智能合約真的能更改嗎？

智能合約是不能更改的，它是一個運行在區塊鏈的代碼，所以編寫時必須想清楚避免造成邏輯漏洞，有邏輯漏洞的智能合約容易被駭客入侵，亦可能導致交易所得資產永遠被鎖定而無法提取，所以編寫智能合約前必須做審查減少錯誤的問題出現！

2.要定期撤銷授權不常用智能合約嗎？

進行任何區塊鏈上的交易動作時，一般都會收到無限授權智能合約訊息要求錢包執行，你無法預計要求無限授權智能合約的網頁及程式是否安全或將來會否被駭入，所以定期檢視錢包內被授權智能合約後，應撤銷一些不常用智能合約的授權，以免不必要的資產損失！

3. 開發團隊開啟可疑訊息或檔案前應留意什麼?

雖然區塊鏈發展飛快，但幣市仍然是處於熊市狀態，黑客可能會利用大家害怕錯過獲利機會 (FOMO) 或深信有機會可以取回被扣押的資產心態，用不同的聯絡渠道 (例如:電郵或電腦檔案) 試圖駭入電子設備系統取走資產及私鑰 (Private Key)，所以開發人員必須提醒自己開啟可疑訊息要留神，例如先問問自己，當初並沒有提供電話號碼等聯絡方式予這些去中心化應用程式 ，為什麼它可以透過短訊聯絡你？第二，當你細心留意訊息發出者資料 (例如知名加密貨幣錢包 - MetaMask)，會發現出現錯字情況，這時你就應該再想一想是否應該開啟該訊息！

如果想進一步了解更多智能合約及區塊鏈安全示範，可以觀看以下影片！

智能合約漏洞確實「老是常出現」，區塊鏈項目安全及智能合約審計不容忽視，然而編程人員往往忽略一些智能合約細微的部分，所以第三方以抽離角度的審視智能合約商業邏輯也是能為項目進行把關，而UD亦有提供相應審計服務，例如滲透測試。歡迎與我們預約諮詢了解更多！