从近半年黑客攻击，浅谈智能合约编码安全问题

行业问题

从 BEC 和 SMT 合约的“缓存溢出”漏洞，到 EDU 和 BAI 合约的transferFrom 函数漏洞。据EthLinker研究人员表示，从抽样调查看出目前公开的以太坊合约中大概有25%的合约存在编码上的漏洞，严重的漏洞直接威胁到了Token的安全性，归零的BEC只是刚刚开始。 

出现原因

智能合约部署成功后无法修改，因为以太坊区块链上所谓「代码即一切」的原则精神的存在，导致目前没有有效的安全防护手段来修复这些问题。

区块链是一个新兴的行业，专业性极强。该类专业的从业人员稀缺，造成很多公司找不到这方面的专业技术人员，直接影响到了智能合约代码的质量。

由于编写人员经验和技术都不足，很多是研究几天就开始被公司赶鸭子上架，写出来的代码可想而知。更有甚者，直接在网上找教程复制粘贴就去生成合约。

代码重复率极高，据EthLinker研究人员表示在抽样调查的时候，在etherscan区块浏览器查询一个token的合约，可以找出几百个代码一样的其token合约，代码重复率极高。如果没有经过验证和检查的代码直接复制粘贴，这是极其危险的做法。

如何避免

专业的事情应交给专业的人去做，区块链是一个极其注重专业技术的行业。 

如果项目团队在编写智能合约没有足够的经验和技术的话，应交由专业的智能合约服务机构去编写，如EthLinker。如果已有自己的智能合约编写人员，也应交由专业的机构进行代码的二次审核。