作者：Coinbase 区块链安全团队

保护智能合约免受风险仍然很困难。未解决的安全漏洞很容易变成对您的代币生存能力的生存威胁。那么资产发行者如何防止智能合约漏洞导致代币网络的实际财务损失呢？

通过指导开发人员编写智能合约并基于此 ERC-20 实施风险列表设计稳健的测试，保护用户的代币和代币网络免受攻击者的侵害。

在介绍 Solidify 中，我们分享了 Coinbase 区块链安全团队如何大规模执行智能合约漏洞审查。对数百个令牌 Solidify 安全报告的元分析根据对令牌网络安全的潜在影响得出了最常见和最严重的风险列表。

十大智能合约风险（SCR）分为三类：

1. 操作风险——当代币网络治理不充分或有缺陷时被利用的授权功能
2. 实施风险——导致意外智能合约行为的内在错误
3. 设计风险——被接受的系统功能被用来改变预期的智能合约行为

经营风险

SCR-1：超级用户账户或权限管理

智能合约实现的功能允许特权角色单方面和任意地改变资产的功能。

SCR-2：黑名单和烧录功能

智能合约实现的功能允许特权角色禁止特定地址行使基本功能。

SCR-3：合约逻辑或资产配置可任意更改

智能合约实现的功能允许特权角色的持有者单方面和任意地改变资产的功能。

SCR-4：自毁功能

智能合约实现了一个功能，允许特权角色从区块链中删除代币合约并销毁该合约创建的所有代币。

SCR-5：铸造功能

智能合约实现了一项功能，允许特权角色增加代币的流通供应量和/或任意账户的余额。

实施风险

SCR-6：滚动你自己的加密和独特的合约逻辑

智能合约实现的功能允许特权角色的持有者单方面和任意地改变资产的功能。

SCR-7：未经授权的转移

智能合约包含规避从账户发送代币的标准授权模式的功能。

SCR-8：不正确的签名实现或算术

智能合约包含可能导致意外合约状态或账户余额的操作。

设计风险

SCR-9：不可信控制流

智能合约调用不同智能合约上的函数，以触发合约本身未定义的功能。

SCR-10：交易订单依赖

智能合约允许异步交易处理，可以通过内存池交易重新排序来获取利润或协议正确性。

为了 Coinbase 客户资金的安全，Coinbase 区块链安全团队会根据上述漏洞评估所有考虑上市的代币，以进行适当的风险缓解。如果您希望在 Coinbase 上列出代币，我们鼓励您通过检查和测试上述风险来检查您的代币的安全性。

未来的帖子将通过详细检查顶级智能合约风险来帮助您检查代币的安全性，还将提供对策建议。

如果您有兴趣在 Coinbase 上列出您的代币，请访问Coinbase 资产中心。如果您对确保金融的未来感兴趣， Coinbase 正在招聘.

十大智能合约安全风险最初发表在媒体上的 Coinbase 博客中，人们通过突出显示和回应这个故事来继续对话。