最近一波的智能合同vulns -范围?

CVE板,
    在过去的几周,已经有一系列的披露
    在漏洞聪明的合同。这些基本上是blob
    代码,住在一个网站,给定相关的合同管理
    区块链/令牌。有近500的披露最近,大多数
    CVE作业,我相信这些范围。此外,他们是
    问题跟踪其他原因。请考虑:
1。https://etherscan.io/address/0xb57aff26bbb822c06e81f194ec5ca29319d6d7b4代码
    是一个脆弱的合同,他们住在网站
    比如etherscan.io。因此,范围为“服务”的风格
    CVE漏洞尚未覆盖。
    2。该合同是一个随机的代码块不能
    归因于一个供应商。尽管合同名称可能“AIChain”和
    与“AIChain”令牌,这并不意味着有一个
    令牌的创造者和合同之间的关系。的
    合同的创造者只被称为链上的一个地址,如
    https://etherscan.io/address/0x8a8690d3ffaeeb700fe8be7a86b145b64922ec15
    3所示。这些合同都是互相复制/粘贴,这就是为什么
    我们看到很多这样的披露。有一些人/组
    大多数的信息披露,并简单地扫描所有合同
    上链(例如ethereum)寻找blob的脆弱的代码。我们不
    知道一个人写了原始的脆弱的代码复制
    500倍(可能),或者如果数百写同样脆弱代码blob
    (不太可能)。
    4所示。用户不能安装一个补丁或升级修复一个脆弱的合同
    像这样。这个代码不是区块链本身的一部分,也没有
    钱包/客户最终用户安装。在大多数情况下,
    脆弱的合同将被弃用,一个新副本将会旋转
    我相信一个新的地址。如果代码是固定的合同的创造者
    相同的地址,就没有当我是固定的
    可以看到。所以我们甚至不一定会得到一个“2018-07-09”之前的风格
    符号,更不用说一个版本或者其他方式来跟踪合同。
    5。大多数这些令牌甚至没有供应商页面或GitHub
    我已经找到。所以即使试图追踪它的令牌
    问题是我们不能参考供应商,软件,或版本号
    大多数情况下。这实际blockchains如进行比较
    比特币,Ethereum Litecoin等web页面,代码回购,
    软件安装的用户,它进一步对比,
    合同是不一样的区块链本身。
    因此,我建议董事会讨论,如果这些都是斜方考虑
    价值分配cf。如果这些发现的范围,我
    建议未来的作业仔细检查是否在一个漏洞
    合同或实际区块链,以及拒绝,颇组
    IDs vulns覆盖智能合同。
谢谢你,布莱恩