以太坊智能合约中的漏洞频繁出现。 基于UTXO的公链是不是更安全的区块链平台？

近期，EDU智能合约出现重大漏洞，任意账户中的EDU Token都可以转走。 这些漏洞导致项目方地址中的30亿个EDU Token被盗并在火币上出售。 ，引发市场进一步恐慌，价格继续下跌。

随后，黑客通过抛售比特币和做空期货的方式吸钱离场。 据区块节奏消息，比特币价格于23:30开始暴跌，从7880美元跌至7400美元，2小时内跌幅达6%。

据慢雾区分析，此次原因是EDU智能合约中存在transferFrom函数。 该功能缺少Safemath验证，允许攻击者将EDU Token从任何EDU余额不为0的账户转移到另一个账户。 也可以理解为智能合约盗币。

今年以来，多个基于ERC20的智能合约被曝存在安全漏洞。 除了已经造成巨大影响的BEC、SMT、BAI等，还有很多存在安全风险的智能合约代币仍在交易中。巴比特之前也做过专题报道。 详情请点击BEC和SMT。 存在重大漏洞。 这 8 个智能合约可能也很酷。

虽然随后交易所立即暂停交易和提现，项目方也立即升级智能合约，但造成的损失和市场恐慌等一系列反应无法挽回。 程序员大哥在受到指责的同时，我们也可以思考一下，漏洞的频繁出现是否有更深层次的原因？ 以太坊智能合约本身就存在风险吗？ 重要的代币资产是否适合构建在ERC20系统的基础上？

目前，基于以太坊的 Token 合约主要存在两类风险：

一是自己写的智能合约有漏洞，被别人攻击。 以太坊作为记录DAPP执行结果的区块链，需要依靠开发者自己来保证其基于合约层的智能合约的安全逻辑。 例如，2018年4月22日，BeautyChain发生重大安全漏洞，价值几乎为零。 BEC凭空蒸发了10亿美元。 后来证明是程序员忘了做溢出检查。

二是合约调用的底层合约存在问题，间接产生风险。 合约层是一个封装了图灵完备脚本语言的虚拟机，通过编写脚本语言可以作为智能合约部署在以太坊区块链中。 去年，名为“devops199”的开发者触发了以太坊 Parity 钱包漏洞。 漏洞在钱包调用的一个库中（以太坊底层库函数，可以理解为公共合约）。 因为以太坊的合约调用是以地址为指针，每次执行用户编写的智能合约都要调用这个库。 当“devops199”销毁底层库函数时，相当于销毁了所有合约的指针，使所有钱包中的资金永久冻结。

微博研发副总经理Tim Yang曾表示，“为什么以太坊更容易出现安全问题？以太坊只是一个记录DAPP执行结果的区块链，并没有复式记账所需的UTXO模型在加密货币中，重要的是TOKEN资产本身需要货币级别的安全性，而以太坊目前的设计更适合游戏积分等合约操作结果。” 他还强调，重要的TOKEN资产不适合构建在ERC20系统的基础上。

加密货币复式记账需要UTXO模型的区块链项目有哪些，在安全方面有哪些优势？

比特币的UTXO模型经过多年稳定运行和测试，在性能和安全性上具有很大优势。 以太坊账户模型更容易理解，但需要考虑更复杂的危急情况来防止双花攻击和重放攻击。 此外，做资产交易的量子链和比原链也采用了UTXO模型。

其中，比原链采用扩展的UTXO模型BUTXO作为一种全新的UTXO形式与资产进行交互，不仅支持无限类型的资产，还拥有图灵完备的智能合约。 同时杜绝了以太坊账户模型中的数据溢出，或者其他各种漏洞的出现，既灵活又可控。

与以太坊相比，比原链具有三大优势：

首先，比原链天然支持多种资产。 比原链上的每一项资产都是一个UTXO，而不是通过智能合约来模拟。 据比原链开发团队朱一奇介绍，比原链交易的设计思路其实更接近于比特币，即一切基于UTXO。 比原链上的每一个资产 UTXO 都由一个图灵完备的智能合约来守护。 在比原链的设计中，账户只驻留在本地，链上唯一的就是智能合约，每笔交易都会自动生成一个新的智能合约。

其次，比原链资产的功能合约本质上是独立的，不像以太坊是由开发者编写的。 如果层次参差不齐，就会存在安全隐患。 比原链的合约调用是在创建智能合约时将调用合约添加为子合约。 无论被调用的合约模板是否发生变化，或者未来是否存在漏洞，都不会影响所有已完成的智能合约。

第三，比原链的合约调用更安全。 调用以太坊的智能合约更像是调用镜像比特币是不是公链，而不是调用底层合约的最新状态。 由于以太坊的合约调用以地址为指针比特币是不是公链，一旦以太坊的底层库函数，即公共合约调用失败，所有的合约指针都会被销毁。 比原链作为管理上千资产的公链，在合约调用的设计上避免了指针合约的使用。 比原链的合约调用是在创建智能合约时将调用合约添加为子合约。 当被调用智能合约的底层模板没有漏洞时，不会影响完成的智能合约。

比原链的目标是做资产管理的专用公链。 相比近期漏洞频发的以太坊智能合约，比原链希望在打造世界级安全区块链平台的道路上走得更远。 也需要时间去验证。