安全功能組成,例如密碼學、軟件中介合同和身份控制。該技術通過啟用分布式方式來驗證訪問、驗證交易記錄和維護隱私,從而提供顯著水平的數據保護和完整性。
然而,盡管有這些安全性增強,區塊鏈市場仍然充斥著安全問題。基于區塊鏈的攻擊來自外部參與者以及內部人員。其中許多黑客使用了常見的策略,例如網絡釣魚、社會工程、攻擊傳輸中的數據或針對編碼錯誤。新技術伴隨著新的開發工具和方法,區塊鏈也不例外。一種新的網絡威脅正在出現,涉及區塊鏈網絡獨有的策略。其中包括:51%的攻擊、加密劫持、閃電貸攻擊、rugpull等
人為風險
人為風險是除技術外的一類因素,端點漏洞也是惡意行為者的入口點,例如設備、應用程序、錢包或第三方供應商級別的漏洞。員工和供應商人員也是目標。并非所有的區塊鏈都是平等的,在市場討論中經常被忽視的是,區塊鏈架構存在很大差異,尤其是在涉及不同結構和組件如何引入安全權衡時。隨著區塊鏈的組件、算法和用途不斷發展,攻擊策略和威脅緩解技術也將不斷發展。
缺乏監管
缺乏監管,智能合約不能替代合規性——它們不具有法律約束力。從洗錢到假冒,從隱私到詐騙,不明確的監管環境會減緩采用速度,并使網絡犯罪分子猖獗。
邏輯漏洞
邏輯漏洞是指由于程序邏輯不嚴導致一些邏輯分支處理錯誤造成的漏洞。
在實際開發中,因為開發者水平不一沒有安全意識,而且業務發展迅速內部測試沒有及時到位,所以常常會出現類似的漏洞。
代碼漏洞
歐易OKX通過zk-STARK技術升級POR系統:據公告顯示,歐易OKX正式升級儲備金證明POR系統,成為行業內首個將zk-STARK (零知識可擴展的透明知識論證)加密證明技術用在儲備金證明系統的交易平臺,并同步將系統開源。該技術由V神的理論發展而來,旨在通過區塊鏈確保計算的完整性和隱私。OKX在其中加入了余額總和約束、非負約束、包含性約束3項條件,以保證證明平臺持有的用戶資產數據的準確有效,持續引領行業透明度的標準。
同時,歐易OKX今日正式發布第六次儲備金證明(PoR),BTC、ETH、USDT儲備金率均超過100%,分別為103%、103%、103%,總計價值達104億美元,自 2023 年 1 月以來增長了 39%。除原有的BTC、ETH、USDT外,歐易OKX將公示幣種數量從3個增至21個,新增USDC、XRP、DOGE、SOL、OKB、APT、DASH、DOT、ELF、EOS、ETC、FIL、LINK、OKT、PEOPLE、TON、TRX、UNI,21個幣種的儲備金率均超過100%。[2023/4/28 14:33:21]
這是指代碼中的一個缺陷,它會產生損害安全性的潛在風險。此漏洞將允許黑客通過附加端點來提取數據、篡改合約或更糟的是擦除所有內容,從而利用代碼。
風險分級
致命:存在致命風險及隱患,需要立即解決
高風險:存在高危風險及隱患,將引發相同問題,必須解決
中風險:存在中度風險及隱患,可能導致潛在風險,最終仍然需要解決
低風險:存在低風險及隱患,指各類處理不當或會引發警告信息的細節,這類問題可暫時擱置
歐易OKX公布CELT處置方案的空投規則補充說明:3月1日,據官方公告,繼歐易OKX發布關于CELT項目價格大幅波動情況說明及處置方案后,進一步公布CELT處置方案的空投規則。
據歐易OKX公告表示,將針對在2月25日12:00(HKT)至2月28日上午12:00(HKT)期間買入CELT代幣(包括現貨和閃兌),并且產生虧損的用戶進行總計3,014,381 USDT的空投。對于滿足條件的用戶,平臺將在48小時內將空投發放至用戶資金賬戶。[2023/3/1 12:35:52]
建議:存在可優化的部分,這類問題可以擱置,但建議最終解決
分級標準
定級主要依據漏洞的危害程度、利用難度,輔以其他因素綜合判定,其中:危害程度主要根據機密性影響(C)、完整性影響(I)、可用性影響(A)三個維度定義;利用難度主要根據攻擊向量(AV)、攻擊復雜度(AC)、認證(Au)三個維度定義。
風險種類個數
重入攻擊
注入攻擊
權限繞過
Mempool搶跑
回滾
條件競爭
循環耗盡gas費
閃電貸高影響
經濟模型不合理
可預見的隨機數
投票權管理混亂
數據隱私泄露
鏈上時間使用不當
fallback函數編碼不當
歐易Web3錢包通過慢霧及OKLink安全審計,未將任何私鑰或助記詞上傳服務器:8月18日,OKLink安全審計團隊發布推文稱經過審計,歐易Web3錢包未將用戶的私鑰或助記詞上傳外部服務器。此前,慢霧安全審計也已經發布同樣安全審計結果。據歐易相關負責人介紹,其Web3錢包私鑰或助記詞完全本地加密存儲,只有用戶可以解密,不觸網,無泄漏風險。
據介紹,歐易Web3錢包是最全面的異構多鏈錢包,包含數字貨幣錢包、鏈上交易、NFT 市場、DApp 探索4大板塊。支持30+公鏈、1000+Defi協議。[2022/8/19 12:35:31]
鑒權不當
opcode使用不當
內聯匯編使用不當
構造函數不規范
返回值不規范
event不規范
關鍵字使用不規范
未遵循ERC標準
條件判斷不規范
流動性枯竭風險
中心化風險
邏輯變更風險
整數溢出
函數可見性不當
變量初始化不當
合約間調用不當
變量不規范
重放攻擊
隨機存儲位置寫入
蜜罐邏輯
哈希碰撞
使用不推薦的方法
未遵循基本編碼原則
歐易OKX校招負責人:Web3給企業和人才提供了雙向機遇和挑戰:8月6日,歐易OKX聯合發起的《考進Web3》系列測評舉行了首場考前分享,歐易校招負責人Kenny出席并發言。在發言中Kenny著重強調Web3的出現給企業和人才提供了雙向的機遇和挑戰。
Kenny表示,目前Web3行業和區塊鏈技術發展還屬于比較早期,從業人才需要對行業有強烈的好奇心和熱情;根據歐易對人才的需求,合格人才需要同時兼具敏捷性,自驅性,堅韌性,創新力。
在發言中,Kenny特別強調歐易聯合領域Linkedin出版的《2022 全球區塊鏈領域人才報告-Web3 方向》,該報告報告全文近2萬字,耗時近3個月,數據樣本覆蓋180個國家,囊括了全球區塊鏈行業概覽,人才現狀以及人才發展趨勢與建議三大板塊。[2022/8/9 12:13:11]
第三方依賴風險
領獎邏輯不當
編碼不規范
應急機制缺失
代碼邏輯問題
計算精度丟失
無意義的合約
已棄用的合約
精度不匹配
代理使用不規范
資產安全
外部函數調用不當
多次初始化風險
未判斷返回值
賬戶缺少簽名者檢查
缺少賬戶可寫檢查
程序邏輯缺陷
Hash算法使用不當
歐易OKEx熱門幣種播報:LMCH持續拉升,日內漲幅43.83%:據歐易OKEx平臺數據顯示,今日行情小幅下跌,BTC小幅下挫至58660USDT左右,現穩于58500USDT上方;
據歐易OKEx行情顯示,歐易OKEx日內漲幅榜中,漲幅前三的幣種是:LMCH、SUN、QTUM;波卡生態類漲幅最大的是LINK;分布式存儲類漲幅最大的是LAMB;
截至4月1日15:00熱門幣種行情如下:[2021/4/1 19:36:28]
WriteFile權限過高
業務邏輯存在為題
過時的外部依賴
循環耗盡gas
條件判斷不規范
中心化風險
未遵循基本的編碼原則
業務邏輯存在問題
每個種類風險的描述
循環耗盡gas:在以太坊區塊鏈中,不能將交易設置為永久運行。交易可以運行直到達到gas限制。一旦發生這種情況,交易將出錯,并且將返回“outofgas”錯誤。
條件判斷不規范:智能合約代碼中進行條件判斷不規范,缺失必要檢查。
中心化風險:智能合約部分函數接口權限由單一私鑰控制,具有中心化風險。
未遵循基本的編碼原則:沒有遵循基本的編碼原則,如變量命名錯誤等。
業務邏輯存在的問題:業務邏輯考慮不完善,比如退款情況考慮不周。
案例1
北京時間2022年8月2日凌晨,NomadBridge遭受攻擊,導致價值約1.9億美元的損失。
OKLink鏈上衛士追蹤顯示,NomadBridge攻擊事件共涉及1251個ETH地址,涉及14個幣種,涉案金額約1.9億美金;其中包含12個ENS地址,ENS地址涉案金額超6980萬美金,約占總金額的38%;在利用漏洞獲利后,直接進行交易的地址數達739個,占比近60%。但值得注意的是并不是所有地址都是惡意攻擊,已知已有白帽駭客公開表態愿意歸還資金,OKLink已對剩余的地址進行了監控,后期若發生異動,會通過微博、推特向用戶同步。
案例分析
對Replica合約的process函數進行分析,在require(acceptableRoot(messages),“!proven”);這個判斷條件中,messages的值需要經過acceptableRoot函數的邏輯檢驗,返回值為true才能繼續往下執行。
注意到acceptableRoot函數中,傳入的_root參數,在confirmAt大于0且小于等于block.timestamp的情況下,就會返回true。
那么該漏洞的核心就在對confirmAt這個mapping賦值的過程。從initialize函數輸入參數可以看到,_committedRoot使用了0x00。一般情況使用0值做初始化參數沒有問題,但是在Nomad的這個場景下,就導致了任意message都能通過檢測的安全漏洞。
鏈上衛士分析師建議在initialize函數中也進行嚴格的安全檢查和判斷。
BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB,價值約5.66億美元。
案例分析
BSCTokenHub是BNB信標鏈和BNB鏈之間的跨鏈橋。BNB鏈使用預編譯合約0x65驗證BNB信標鏈提交的IAVL的Proof,但BNB鏈對提交的Proof邊界情況處理不足,它僅考慮了Proof只有一個Leaf的場景,對多個Leaves的處理邏輯不夠嚴謹。黑客構造了一個包含多Leaves的Proof數據,繞過BNBChain上的校驗,從而在BNB鏈造成了BNB增發。
貨幣或區塊鏈交互的智能合約代碼的綜合過程。執行此過程是為了發現代碼中的錯誤、問題和安全漏洞,以便糾正和修復它們。它可以保護代碼免受未來潛在錯誤的影響。
OKLinkAudit采用靜態掃碼和人工驗證相結合的審計方式,從根源處檢查項目,確保項目安全。審計團隊還擁有嚴格的漏洞評級標準,對每個漏洞設置三個級別的評分,分別是基礎評分、時間評分和環境評分,確保審計結果的準確、專業。當然,專家團隊也會提供針對性的修改建議,提升項目的安全性、隱私性及可用性。目前參與審計的項目涵蓋公鏈、DeFi、L2、穩定幣、錢包、NFT等多個板塊。
2021年,因黑客攻擊、漏洞利用和欺詐造成的損失達到13億美元。
2022年第一季度,攻擊型安全事件造成的損失高達約12億美元,比去年同期的1.3億美元增長了約9倍。它也高于2021年任何一個季度的損失金額。
在被攻擊的項目中,70%由第三方審計機構審計。然而,在剩下的30%未經審計的項目中,因攻擊而遭受的損失占總損失額的60%以上。
Slither
Slither是第一個開源的針對Solidity語言的靜態分析框架。Slither速度非常快,準確性也非常高,它能夠在不需要用戶交互的情況下,在幾秒鐘之內找到真正的漏洞。該工具高度可配置,并且提供了多種API來幫助研究人員審計和分析Solidity代碼。
Slither在檢測智能合約漏洞時,其功能優于其他靜態分析工具,在速度、檢測準確性方面都有著先天優勢。Slither包含了一整套針對Solidity的專用靜態分析工具,它可以用來檢測可重用性、構造函數和方法訪問等編碼中的常見錯誤。
Mythril
Mythril是以太坊的官方合約漏洞檢測工具,可以檢測大量的智能合約安全問題,如整數溢出,任意地址寫入,時間戳依賴等14種漏洞檢測工具。可以發現常規漏洞,但是無法發現一個合約的業務邏輯問題,主要思想是利用符號執行去探索所有可能的不安全的路徑。
Mythril集成了符號執行、控制流檢查、污點分析等技術,并支持自定義漏洞檢測邏輯來對智能合約進行分析,同時,Mythril由于可以通過多次符號執行來模擬現實區塊鏈和智能合約被多次調用的情況,但是對于某些漏洞如重入、拒絕服務攻擊的誤報率比較高,也無法檢測出一些常規邏輯錯誤。并且由于Mythril由于存在著多次符號執行,要探索的路徑數量更多,也帶來了較大的時間和空間開銷。
風險判斷及檢測工具
1.TokenScanner
TokenScanner是OKLinkAudit第一個對外推出的產品,目前有B端API產品,以及C端頁面產品,也在和一些區塊鏈錢包團隊接洽幫助進行進行整套安全加固方案的建設。
目前API產品里面支持了9條EVM鏈的風險代幣檢測能力:POLY,OP,ARB,FTM,AVAX,OKC,TRON,頁面上支持了ETH和BSC,其他鏈正在開發中,年底之前頁面上會支持全部9條鏈的風險檢測項,通過代幣檢測能力,我們檢測了3,534,306代幣,通過我們的風險掃描,確定了106,474個風險代幣。
2.ArgusEye
結合OKLink的底層大數據能力與標簽能力,針對這些數據信息我們對風險事件中的事發地址和上下游地址進行破解與規律性總結,搭建了一套可疑地址和風險交易的實時發現、跟蹤分析及響應處置的機制。也會針對可能的安全事件做安全播報
DEX中的流動性,以及鏈上代幣持有者信息,我們擁有4部分檢測能力。
2.基于OKLink大數據能力,我們自研一套代幣打分規則對代幣進行打分,10分以下是極高風險代幣包括有貔貅盤代幣和rugpull代幣,是高危預警建議用戶不要購買,10-40是高風險,建議用戶也不要持有該代幣,40-80是中風險,80-100是低風險,用戶可以自行斟酌購買。
3.代幣分類器,對于特殊實現標準的代幣通過分類器進行展示,類似于ERC677和777與某些DEX協議不兼容,可能會導致用戶無法正常買入賣出,以及有rebase機制的代幣,代幣流通量會跟隨幣價動態變化,也就可能會導致用戶發現自己錢包里面的代幣突然減少了或是增多了。我們從用戶視角出發設置的代幣分類器幫助小白用戶快速理解代幣潛在風險。
Gate.ioLiveStreamiscommittedtocreatingabrand-newlivestreamingecosystemfortheblockchainindustry.
1900/1/1 0:00:00爲了幫助用戶更好地進行收益管理,Gate.io將在其官方博客提供豐富及時的行業資訊、獨家研究報告等優質內容,爲大家提供全方位的策略支持.
1900/1/1 0:00:00PolymerLabs PolymerLabs是一個基于IBC構建的模塊化網絡協議,旨在實現去中心化、安全和無許可的跨鏈網絡.
1900/1/1 0:00:00公眾號 許多投資者希望期待已久的9月15日“合并”能夠看到以太坊的價值再次開始上漲。在下面的短文中,我們將研究以太坊當前暴跌背后的可能原因以及投資者對未來的預期.
1900/1/1 0:00:00公眾號Polkadot有助于連接去中心化的區塊鏈技術。例如,來自以太坊的數據價值可以在沒有任何中介的情況下轉移到比特幣區塊鏈上。它提高了區塊鏈網絡的速度和可擴展性.
1900/1/1 0:00:00隨著比特幣在19000美元以上站穩,這種全球最大的加密貨幣與黃金的相關性正在上升。這意味著投資者將比特幣作為避風港。在分析市場活動時,美國銀行指出,比特幣與黃金的關系值得注意.
1900/1/1 0:00:00