以太坊再现重大漏洞？如被利用 影响或不输“The DAO”

本篇文章1031字，读完约3分钟

最近，netta Lab表示，它与清华大学软件学院的动态分析团队合作发现了Ethereum智能合同虚拟机(evm)的一个主要漏洞，该漏洞已通过国际安全组织cve的认证。

内塔研究所所长、ieee国际软件测试和验证会议主席杨紫茳认为，漏洞级别很严重。如果被利用，它将严重影响整个欧洲经济模式，并影响世界上大多数公共连锁经营。

在前天接受《证券日报》采访时，杨紫茳表示，内塔研究院在与清华大学软件学院动态分析小组的合作项目中，发现了以太网evm的一个重大漏洞。“当时，我们使用了区块链生态系统自行开发的自动测试验证工具来测试并持续观察和分析虚拟机的运行情况。因此，五天前我们发现Ethereum evm中存在严重漏洞。同一天，我们向cve提交了漏洞，并通过了认证，该认证已包含在系统中。”他描述道。

根据公共信息查询，CVE(公共漏洞暴露)是一个国际知名的安全漏洞数据库，也是一个有商业、政府和学术界全面参与的国际组织。《证券日报》的记者登录了cve的官方网站，根据提供的发现者的身份，确实查询了包含的信息，但漏洞描述显示为“保留”，该漏洞是保密的，具体细节没有透露。

杨紫茳解释说:“这是一种保护措施，以避免因钻法律漏洞而造成的损失。”“cve接受的漏洞分为两种情况:一是漏洞被立即公布；另一个是相对更严重的漏洞，不能立即公布，以免被黑客攻击，造成重大损失而不被修复。在这种情况下，cve不会发布详细信息，并将保留写操作。”

清华大学软件学院助理教授姜瑜在接受记者采访时表示:“虽然我们的动态分析团队已经挖掘了数百个常用的软件库和工业控制协议的cve，但这个evm的cve应该是最重要的。首先，evm的漏洞不同于单个智能合同的漏洞。即使是一个小问题也会影响所有在它上面执行的合同。例如，平台邮箱中存在一个漏洞，会影响使用该平台邮箱的所有用户。”

杨紫茳说:“从理论上讲，如果这个漏洞不被黑客修复和利用，就可能引发大量‘刀’事件。”

2016年6月，由于被黑客利用的“the dao”编写的智能合同存在漏洞，项目方损失了300多万欧元的Ethereum资产。根据当时以太馆的交易价格，市场价值接近6000万美元。“道”事件被认为是当时最大的Ethereum智能合同漏洞事件。

由于“漏洞”的细节目前仍处于保密状态，《证券日报》记者将继续核实和跟踪netta Lab和清华大学软件学院动态分析团队发现的Ethereum智能合同虚拟机(evm)的上述主要漏洞的影响。

来源：千龙新闻网