以太坊再现重大漏洞？如果被利用，影响或不失去“The DAO”

近日，Netta Labs表示与清华大学软件学院动态分析团队合作，发现了以太坊智能合约虚拟机（EVM）的重大漏洞，该漏洞已通过国际安全组织CVE认证.

Netta 研究院院长、IEEE 国际软件测试与验证大会主席杨子江认为，该漏洞程度严重。如果被利用，可能会严重影响整个以太坊经济模式，并对全球大部分公链的运行造成影响。 .

日前，杨子江在接受《证券日报》记者采访时表示，Netta研究院在与清华大学软件学院动态分析组的合作项目中以太坊大事件，发现了以太坊EVM的重大漏洞。 . “当时我们使用区块链生态自研的自动化测试验证工具进行测试，不断观察分析虚拟机的运行情况，结果在五天前，我们发现有严重的以太坊 EVM 中的漏洞。该漏洞已提交给 CVE，通过了认证，并被纳入系统，”他描述道。

根据公开信息查询，CVE（Common Vulnerabilities & Exposures，公共漏洞和暴露）是国际知名的安全漏洞库，也是企业、政府和学术界全面参与的国际组织。证券日报记者登录CVE官网。根据发现者提供的ID，确实查询到了包含的信息。但是，漏洞描述显示为“RESERVED”，漏洞是保密的，没有透露具体细节。

“这是一种避免利用漏洞造成损失的保护措施”，杨子江解释道，“CVE接受的漏洞分为两种情况：一种是立即发布漏洞；另一个相对比较严重，这类漏洞不能立即公布，以免不修复可能被黑客利用，造成重大损失。在这种情况下，CVE 不会公布细节，而是会写 RESERVED。”

清华大学软件学院助理教授姜宇在接受本报记者采访时表示：“虽然我们的动态分析团队现在已经挖掘了数百个常用软件库和工控协议的CVE，但CVE这个 EVM 应该是最重要的一个，EVM 漏洞不同于单个智能合约的漏洞，即使是一个小问题，也会影响到其上执行的所有合约。例如，一个平台邮箱有一个漏洞，影响所有使用平台邮箱的用户。”

杨子江说，“理论上以太坊大事件，如果这个漏洞不被黑客修复和利用，就会引发大量的‘The DAO’事件。”

2016年6月，由于“The DAO”编写的智能合约存在漏洞，被黑客利用，导致项目方损失超过300万ETH资产。按照当时 ETH 的交易价格，市值接近 6000 万美元。 “The DAO”事件被认为是当时最大的以太坊智能合约漏洞事件。

由于“漏洞”的细节仍然保密，上述Netta实验室和软件学院动态分析组发现的以太坊智能合约虚拟机（EVM）的重大漏洞将如何被发现？清华大学影响以太坊？每日记者也将继续核实和跟进。