d.   网络层：管理节点或客户端的以太坊点对点（P2P）网络，以使节点始终可以从某些活动节点获取区块链的更新状态。以太坊网络是一个结构化的P2P网络，其中每个节点（即客户端）存储整个区块链的副本。为了进行节点发现和路由，每个节点维护一个动态路由表，其中包含160个存储桶，每个存储桶最多包含16个其他节点的ID，IP地址，UDP / TCP端口条目。以太坊使用RLPx协议发现目标客户端，并使用以太坊有线协议来促进客户端之间以太坊区块链信息（例如交易，区块）的交换。 

e.   以太坊区块链环境：运行在如下四层的环境中：用户与以太坊区块链进行交互的Web界面;以太坊客户的数据库，用于存储区块链数据;出于安全目的的加密机制；以及支持以太坊节点之间的区块链通信的互联网基础设施。我们将以太坊区块链架构与环境区分开来，因为针对以太坊区块链的攻击可能来自环境，并且这些攻击可能在环境中得到更好的解决，而不是由以太坊解决。

1. 以太坊智能合约漏洞

重点介绍了以太坊体系每一层的智能合约漏洞，如图2所示。

图2：以太坊各层漏洞的分类

1.1 以太坊应用层：

重入性：此漏洞最初是从DAO攻击中发现的[1]，当外部被调用方合约在用方合约完成之前（即某种意义上是循环调用）在调用方合约中回调函数时，会发生此漏洞。这使攻击者可以绕开适当的有效性检查，直到调用者合约被耗尽以太币或交易用完为止。 

委托呼叫注入：首先从对Parity钱包的攻击中发现了此漏洞[2]。为了促使代码重用，EVM提供了一个操作码委托调用，用于将被调用方合约的字节码插入到调用方合约的字节码中。结果恶意的被调用方合约可以直接修改（或操纵）调用方合约的状态变量。此漏洞是由于被调用方合约可以更新调用方合约的状态变量而导致的。声明旨在通过委托调用作为库共享的无状态合约，可完全防此漏洞。

冻结以太：首次从对Parity钱包的攻击中发现了此漏洞[3]。该漏洞产生由于用户无法将钱存入其合约帐户，而无法从这些帐户中支出资金，从而有效冻结了他们的资金。

升级合约：引入合约升级的思想是为了缓解智能合约一旦部署后就无法修改的问题，即使以后发现它们存在漏洞。为了允许合约升级，有两种方法：（i）将合约分为代理合约和逻辑合约，以使开发人员可以升级后者而不是前者； （ii）使用注册管理机构合约来保存更新后的合约。这些方法虽然有效，但却引入了一个新的漏洞：当合约开发者变得恶意时，更新的合约可能是恶意的。此漏洞（即，不安全的联系人更新）仍然是一个未解决的问题。 (责任编辑：admin)