前段时间，看雪区块链小组成员roysue@kanxue在对Bitron Coin智能合约的代码进行审计时，发现存在着整数溢出型漏洞，于是看雪学院也在第一时间上报漏洞并发布预警威胁情报。

那么什么是智能合约呢？智能合约漏洞又会引起哪些问题呢？对智能合约的审计方法又是什么样的......

1.什么是智能合约？

所谓智能合约（Smart Contract），是密码学家Nick Szabo在1994年首次提出以数字形式定义的一系列承诺 ，包括合约参与方可以在上面执行这些承诺的协议。智能合约一旦设立指定后，能够无需中介的参与自动执行，并且没有人可以阻止它的运行。

区块链为智能合约提供可信执行环境，智能合约为区块链扩展应用。

以太坊（Ethereum）是一个开源的有智能合约功能的公共区块链平台。区块链上的所有用户都可以看到基于区块链的智能合约。

随着智能合约开始获得越来越多的使用，人们也发现，就像现实世界的合同一样，如果没有认真审核的话，其中就有可能出现漏洞，并且被坏人利用。

2.智能合约的漏洞有多可怕？

2016年6月17日，由于以太坊智能合约存在重大缺陷，区块链业界最大的众筹项目TheDAO遭遇攻击。在攻击前，TheDAO拥有1亿美元左右的资产，攻击后300多万以太币资产被分离资产池。这是区块链历史上的沉重一击。

今年5月，360公司Vulcan（伏尔甘）团队发现了EOS区块链系统在解析智能合约WASM文件时的一个越界写缓冲区溢出漏洞。

360公司首席用户体验官周鸿祎，在微博发文称该漏洞“价值超过百亿美金，严重情况下，EOS乃至整个虚拟货币市场都会遭遇滑铁卢。”

如何尽可能地消除漏洞，降低风险呢？

这就需要我们在智能合约上线之前，对其进行全面深入的代码安全审计。

3.什么是智能合约审计？

智能合约审计其实就是仔细研究代码的过程，即把合约部署到以太坊（假设此项目是运行在以太坊上的）主网络中，并对其进行错误、漏洞和风险等方面的审查，然后讨论如何改进。因为一旦发布，这些代码将无法再被修改。值得注意的是审计并不是验证代码安全的法律文件，仅仅表示你的代码已被专家校订过，基本上是安全的。没有人能100％确保代码不会在未来发生错误或产生漏洞。

想要了解更多有关智能合约的知识内容？

那就不要错过本周四（11月22日）的【看雪直播课程】之《以太坊智能合约漏洞介绍与规模化审计方法详解（上）》。

由看雪讲师、看雪区块链小组成员、上海交通大学密码学实验室成员——xrosheart，为各位带来精彩课程。

现在就报名！

只需扫描下方海报二维码，添加看雪工作人员，即可入群免费参与直播~

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课