代币漏洞安全事件代码审计是必要条件

代币漏洞安全事件代码审计是必要条件
目前，区块130链整体9370还处于6165低迷期，但是智能合约的发展却非常稳定，根据安全中心的数据，近一个月以太坊的智能合约平均每天以2000+的数量在增长。
智能合约漏洞虽然数量不多，但是所造成的损失是非常巨大的，这与solidity语言的特性有关，也与erc20协议使代币发行变得便捷有关。
智能合约漏洞的0攻击类型为：重入攻击、权限控制、整型溢出、未检查的call返回值、顺序依赖、时间戳依赖、条件竞争、短地址攻击、可预测的随机处理等。
所有智能合约事件中的当属美链事件。18年4月22下午，才发行两个月左右的bec美蜜合约出现重大的溢出漏洞通过合约的批量转账方法无限生成代币，天量bec从两个地址转出，进而引发抛售潮。当ec的价值几乎归零。损失金额超过10亿。
由于的“代码即一切”的原则，导致目前没有有效的安全防护手段来避免智能合约安全的问题。
对于智能合约的开发，小豹建议摒弃“敏捷开发”的理念。而采用缓慢而有条理的方法来开发智能合约，在设计和编码时，就尽量谨慎和考虑周全。
开发管理者也不要对开发人员太大的压力（比如制定严格的期限等），通常来说，赶出来的东西都多多少少会有问题。
另外，在上链之前，找到的安全公司对智能合约进行安全审计是基础和必要的。
以下是2018年智能合约大事件，以及相关事件的一些细节：
（1）2018年 8月22god.game合约遭到攻击，god智能合约上的以太坊总量归零
（2）2018年4月25artmesh 出现重大安全漏洞，导致1.4亿美元损失
（3）18年4月22午，才发行两个月左右的bec美蜜合约因为存在溢出漏洞，被从两个地址不断转出代币，使bec价格几乎归零，损失金额总计超过10亿美元。
安全
据网络安全公司 cifertrace 10月发布的一份报告显示，2018年前9个月，通过的加密就已达9.27亿美金，已经是整个2017年的2.5倍。
韩国科技部的调查报告称：“大部分都存在安全漏洞。”
那么，为什么加密安全问题层出不穷？
一方面的匿名性，不可篡改性以及无监管特性，导致了资产转移便捷，溯源找回难度大。另一方面交易行业出现时间短，发展又非常快，利润高，导致本来技术积累就不足的情况下，仍然忽视信息安全方面的建设，隐藏的安全漏洞多，攻击起来相对容易。甚至还有一些加密数字甚至完全没有安全系统。
数字面临的安全威胁主要包括：服务器软件漏洞、配置不当、攻击、服务端web程序漏洞（包括技术性漏洞和业务逻辑缺陷）、办公电脑安全问题、内部人员攻击等。
对于规模较大，用户较多的还会面临用户者利用的网站骗取认证信息的问题。
而针对这些安全威胁，小豹建议在面向用户之前行渗透测试，代码审计等安全服务，挖掘并系统存在的安全漏洞。
另外，建议对所有正式入职的员工进行必要的基础的安全培训。
后，针对数字交易的建议大家主动学习安全知识，并在电脑端、手机端使用安全软件，千万不要自信“裸奔”，以避免掉进网络陷阱以及钱包被盗事件的发生。
以下是2018年加密被盗事件，以及相关事件的具体细节。
（1）1月，日本数字加密 coincheck 被盗走价值5.34亿美元的xem。coincheck 是日本第二大在之后的发布会上，coincheck 表示，xem 被盗是因为存储 xem 的热钱包的私钥被所但是没有其他币种被盗。受此事件影响，xem 当天下跌9.8%。
（2）2月11日，意大利加密 bitgrail价值 1.7 亿美元的加密nano 被盗。
（3）3月7日inance 遭到，通过控制币安部分账户，卖出这些账户持仓的btc，买入 via 币，导致 via 逆市大涨。币安将异常交易进行了回滚处理，但此事件依然引起市场恐惧，随后几天跌幅超过15%。
（4）4月1日t-z 遭遇攻击，未造成资金损失。为此 bit-z 专门设立了10000个 eth 安全用于奖励安全漏洞提交者。这笔奖励在当时价值400万美金。
（5）4月13日，印度三大之一 coinsecure 在发布公告称，该438个 btc 失窃，价值约330万美元。该首席安全官 amitabh saxena 被列为嫌疑人。这是印度加密被盗事件。
（6）6月5日tfinex 遭到“拒绝服务（denial-of-service）”攻击，bitfinex 随即暂停了的所有交易。
（7）6月10日，韩国数字加密 coinrail 遭到攻击，损失超过5000万美元。coinrail 加密总量的70%被保存在冷钱包，被盗总量的三分之二已被追回。
（8）6月20日，韩国加密 bithumb价值3000万美元的加密被盗，这是 bithumb 第三。
此前，该还遭受了两次“攻击”。
次：2017年4月，bithumb 某员工电脑被黑，导致超过3万名用户的资料被窃，bithumb 也因此被韩国监管机构罚款5.5万美元。
第二次：2017年12月22日，韩国mbc雇佣了一家安保公司，对包括bithumb 在内的5家韩国进行安全测试。该安保公司成功“黑入”包括bithumb 在内的5家并获取了部分用户数据和资金。受雇“”声称仅使用了“基本的技巧”。
但是，安全问题并未引起足够重视，这才导致了2018年6月份的事件发生。
（9）9月20日，日本 zaif 宣布遭受攻击，损失5967万美元。其中1959万美元属于该自有资金，其余4007万美元属于客户资金。
代码审计成就合约
智能合约通过代码建立一套“法律合同”，软件工程师创造一个完全无误差的代码是不可能的，程序员总存在疏忽的地方。红岸科技和科技大学的ulord项目研究团队对市面上的智能合约进行了审计，他们的研究发现：
对所有的程序员来说，写一个没有bug的代码实在是太难了，即使采取了所有可能的措施，在复杂的软件中也总会出现没有预料到的执行路径或可能的漏洞。
这是为什么要代码审计的原因之一。
中的 “法律合同”是一项受解释和仲裁的约束，程序员很难去创造一个缜密的合约。在任意一个大的合约里，可能出现的文稿错误以及一些条款需要解释和仲裁。
同时，软件工程师不是法律反之亦然。起草一份好的合约需要各种各样的技能，不一定与编写的计算机程序兼容。
因此，智能合约代码在一定程度上都可能存在安全隐患。传统的智能合约代码审计主要利用人工，依靠code reviewer阅读智能合约代码。人工代码审计终还是依赖人的经验，代码审计效果不明显，针对目前eth大量代币的智能合约，人工审计工作量大，难以的完成工作。
在领域从事代码审计业务的项目公司较少，目前每个代币在上之前，其智能合约代码由进行审察和判定，但有时并不能完全有效地判断合约是否。