概述
2021?年對加密貨幣??真是個熱?朝天的年份。
根據?coinmarketcap.com?的數據顯示,?特幣的價格從年初?1???1??的?28994.01?美元到年尾?12??31?漲到了?46306.45美元,?并在?11???10??創出歷史新??68789.63?美元;以太坊從年初?1???1??的?737.71?美元到年尾?12???31??漲到了?3682.63美元,并?在?11???16??創出歷史新??4891.7?美元。在?特幣和以太坊的帶領下,??coinmarketcap.com?統計的整個加密貨幣市場總市值從年?初?1??1?的7730?億美元到年尾12??31??漲到了22560?億美元。
???市場?情持續?爆,??另???加密貨幣全?業也迎來了爆發式成?。層出不窮的創新和應?顛覆了我們對技術、商業和?化?等的理解和認知:??我們?證了以太坊第?層擴展的爆發,我們從未想到它會來得如此突然;我們?證了?DeFi?2.0對傳統?DeFi?商業模式的顛覆;我們?證了?NFT??躍成為元宇宙?態中身份的標識;我們?證了鏈游?態中崛起的?play-to-earn?模式?......
就像硬幣有兩??樣,?對加密貨幣?業??,???我們看到了其蓬勃發展的?態,?但另??我們也經歷了觸?驚?的安全事故。?2021?年加密貨幣全?業公開報道的安全事故?少有?189?起,?少有?76?億美元的加密資產在這些安全事故中損失。
這些安全事故不僅給加密資產持有者造成了??損失也嚴?影響甚?阻礙了整個加密?業?態的?期發展。
Fairyproof研究團隊研究了公開報道的189?起典型安全事故,??分析了其中的原因并將經驗、教訓進?總結,??匯成了本報告,??期待與?業界同仁及讀者交流,共同促進加密?業的良性發展,保障加密資產的全?安全。
背景知識
在我們深?探討之前,有必要先介紹本報告中會頻繁提及的?些基本概念及術語。
什么是區塊鏈
區塊鏈是?個持續增?的數據集鏈表。這些數據集被稱為區塊。這些區塊通過加密算法前后相互鏈接。這些區塊中除?了第?個區塊??以外,??每個區塊都包含前?個區塊的哈希值、本區塊的時間戳、交易數據等。只要區塊?鏈系統持續正常運作,??這些區塊前后鏈接就會構成?條永遠不斷增?的鏈式結構。通常已經記錄在區塊鏈中的交易和數據是?法回?滾和篡改的。如果要回滾或篡改某個區塊中的交易或數據,??則此區塊后所有區塊的交易和數據都要回滾或篡改,???這在技術上和經?濟上都有相當的難度。
?特幣是區塊鏈技術的第?個應?。它為區塊鏈?態的發展開辟了全新、?限的想象空間。在?特幣之后,??區塊鏈?態開始爆發式?成?,為全?類帶來了全新的視?和?象。
?許可型區塊鏈?VS?許可型區塊鏈
基本上所有現有的區塊鏈系統都可以被分為兩類:???許可型區塊鏈和許可型區塊鏈。
?許可型區塊鏈有時也被稱為公有區塊鏈,??它是?個開放的?絡系統,??任何?都可以作為節點在?需授權的情況下參與其共識的達?成、參與對數據和區塊的驗證。這個?絡中所有的節點相互之間都?需預先建?信任關系。?特幣是第?個?許可型區塊鏈。
許可型區塊鏈是?個封閉的?絡系統,??只有經過授權的節點才可以進??絡參與共識的達成、數據和區塊的驗證等活動。這些節點?通常是某個聯盟的成員、某個組織或公司的部?等。
由于?許可型區塊鏈是個開放的系統,??任何?都可以參與區塊驗證、打包等活動并使?系統,??因此它吸引了全球科技愛好者參與其??態系統的構建和開發。
此外,??在?許可型區塊鏈中,??為了維系系統的?治和運作,??其設計開發者會賦予其?種被稱為是“挖礦”的機制。這種機制會對成功?打包有效區塊的節點進?獎勵,?獎勵通常以加密貨幣的形式發放。在這種機制的激勵下,?來?全球的節點會參與系統的維護和運作。
因此,?許可型區塊鏈?態的成?和發展?分迅猛。
但與此同時,????由于?許可型區塊鏈允許任何節點??檻地加?系統的運作,因此惡意節點也難免加?其中,通過作惡甚?對系統?的攻擊獲取加密貨幣的獎勵。從這個?度審視,???許可型區塊鏈更容易受到?客的攻擊,???客既可以作為惡意節點從系統內部攻擊?也可以以傳統?式從系統外部攻擊。
這些綜合因素的疊加使得?許可型區塊鏈的安全保障和維護相對于許可型區塊鏈??更加復雜、更加困難。
什么是?DAPP
DAPP?是去中?化應?程序????的英?簡稱。這是?種運?在區塊鏈上,由?個或多個智能合約組成核??,包括前端、后臺等構件的應?程序?。??如果承載?個?DAPP?運?的區塊鏈是?許可型區塊鏈,則這個?DAPP?就能在?需?中?化媒介控制和?預的情況下?治地運?。
金色沙龍丨鐘文斌:公鏈行業中鮮有“面”的突破:在本期金色沙龍上, Qtum CTO鐘文斌發言指出:目前公鏈行業中有很多“點”的突破,但卻鮮有“面”的突破。以比特幣、LTC、DASH等為代表的加密數字貨幣經過了十年時間的驗證,社區化貨幣這個理念也不斷深入人心,直至今日仍在持續增長和自我強化。但絕大多數“公鏈平臺”,也包括以太坊,仍然沒有跳出加密數字貨幣自我強化的簡單邏輯,而是開始回退到比特幣的空間內進行“加密數字貨幣”的同質化競爭,整體創新比較緩慢,距離有突破性的應用落地還比較遙遠。
從加密數字貨幣的角度,個人比較期待隱私技術(隱私資產,隱私存儲,隱私計算)的進一步發展,保護鏈上資產的隱私性。例如零知識證明技術,Mimblewimble,多方安全計算,基于智能合約的隱私資產等等。從平臺的角度,除了隱私技術、分布式存儲等一些“點”上的突破,個人還希望公鏈能夠跳出全網強一致性的固有框架,把區塊鏈技術和云計算、人工智能等深度融合,使公鏈平臺的技術框架更加多樣化,執行邏輯更加異步化。[2020/3/18]
這種?DAPP?通常是開源、透明、公開的,任何?都可以?需許可地與其交互。這類?DAPP?的開發者為了吸引盡可能多的?戶使??它并保障?DAPP?的?期開發和維護,會在?DAPP?中加?加密貨幣的發?機制,?發?的加密貨幣獎勵使??DAPP?的?戶和開發團?隊。這種加密貨幣發?機制通常也會成為?客的攻擊?標。
這些特點也使得?DAPP?和?許可型區塊鏈?樣很容易被?客攻擊。
本報告的研究內容
對?許可型區塊鏈、??DAPP?和涉及加密貨幣業務的中?化機構及組織的攻擊或其?身出現的安全事故?泛存在于加密貨幣領域,??并?且?益嚴峻,對這些攻擊和安全事故的探討、研究和防范是加密貨幣領域的焦點,也是我們研究的核?。
對于其中的攻擊事件??,??發起攻擊的?客通常會將攻擊獲取的加密貨幣兌換成錨定法幣??的穩定幣或直接兌換為法?幣離場。
Fairyproof研究團隊對?2021?年發?、經公開報道的典型安全事故進?了系統的統計和總結,在本報告中羅列了相關數據、分析了?事故的成因、并列舉了防范這些事故的可?建議和有效措施。
2021?年安全事故的統計數據及分析
我們研究了媒體公開報道的?2021?年發?的?189?起安全事故,在本章羅列了我們統計的相關數據并分析了這些事故的原因和要點。
基于被攻擊對象對安全事故的分類研究
根據被攻擊對象的不同,我們將?189?起安全事故分為兩類:區塊鏈類安全事故和?DAPP?類安全事故。
區塊鏈類安全事故是指區塊鏈系統遭到來?內部節點或外部?客的攻擊或由于區塊鏈客戶端軟件或節點硬件等事故??使區塊鏈系統?法正常的?作,從?使得攻擊者從中漁利或使得區塊鏈原?加密貨幣持有者受到損失。
DAPP?類安全事故是指?DAPP?受到攻擊或者?DAPP?因?身缺陷?法正常?作,從?使得攻擊者從中漁利或者?DAPP?發?的加密貨?幣持有者受到損失。
在總共?189?起安全事故中,區塊鏈類安全事故數和?DAPP?類安全事故數各?所占的百分?如下圖所示:
如上圖所示,??DAPP?類安全事故數占?超過了?95%,共有?181?起,只有?8?起為區塊鏈類安全事故。
區塊鏈類安全事故
我們深?研究了區塊鏈類安全事故,將其分為三個?類:區塊鏈主?、側鏈和第?層擴展?。
區塊鏈主?也被稱為??lay?1,??它有??獨?的共識機制、驗證節點等。區塊鏈主?的節點可以獨?驗證交易、數據,達成共識,使?區塊鏈獲得最終?致性。?特幣和以太坊就是典型的區塊鏈主?。
側鏈也是單獨的區塊鏈,??但它通常伴隨?條區塊鏈主?平?運作。側鏈也有??的?絡系統、共識機制和驗證節點。它和區塊鏈主??相連,兩者相連的?式有多種,常?的包括雙向錨定??等。
第?層擴展是指依賴區塊鏈主?的協議或?絡系統。第?層擴展?法??取得最終的?致性和安全性,必須依賴區塊鏈主?獲?得。第?層擴展的主要功能和?標是解決區塊鏈主?的性能擴展問題。第?層擴展通常擁有相較于主?更加?效、更低費?的業務?處理能?。?前第?層擴展技術發展得最迅速、最有活?的是依托于以太坊的第?層擴展技術。以太坊的第?層擴展技術和?態在?2021?年取得了??的進展。
側鏈和第?層擴展技術都是為了解決區塊鏈主?的性能問題。這兩者典型的區別在于側鏈可以不依賴于區塊鏈主?獲得安全性和最?終?致性,?第?層擴展則必須依賴區塊鏈主?。
分析 | 金色盤面:DASH強勢領漲 短線壓力增大:金色盤面綜合分析:DASH今日漲幅4.6%,領漲10億美元俱樂部,早盤有提示這里處在上升趨勢,但上方MA144壓力較大,現在看到價格已經來的194美元,距離197美元的MA144僅有3美元,而從成交量看,這里并無增量資金入場,短線風險加劇。投資者需要謹慎看待市場波動,做好風險控制。[2018/9/8]
我們統計的?2021?年區塊鏈類安全事故總共有?8?起,??下圖展示了區塊鏈主?、側鏈和第?層擴展各個類別中發?的安全事故數所占比例。
如上圖所示,?區塊鏈主?發?的安全事故占整個區塊鏈類安全事故的?例為?62.5%??,總共有?5起,涉及的區塊鏈主?有Solana、?ETC、BSV、Verge和?Firo;側鏈發?的安全事故總共有?2起,?涉及的側鏈有?Polygon和?LiquidNetwork;??第?層擴展發?的安全事故有?1?起,涉及的第?層擴展系統是?Arbitrum?One.
在?5?個涉及區塊鏈主?的安全事故中,??有?4?起??都是遭到了?51%攻擊,??其根本原因是這些區塊鏈?主?的算?都相對較低,??這使得?客可以?較容易地通過租借算?的?式發動對主?的攻擊。剩下的?起??則是因為主??受到了?DOS?攻擊。
DAPP?類安全事故
我們分析研究了DAPP類安全事故,??進?步將其分為三個?類:??DAPP前端事故、??DAPP后臺事故、?DAPP?合約事故。
DAPP?前端事故主要是?DAPP?中涉及傳統信息技術的客戶端中出現了安全漏洞導致?戶的賬戶信息、個?信息等被盜從?導致?戶?的加密資產被盜或損失。
DAPP?后臺事故主要是?DAPP?中涉及傳統信息技術的服務器端出現安全漏洞導致?DAPP?的后臺服務與鏈上交互過程被劫持從?導致??戶的加密資產被盜或損失。
DAPP?合約事故主要是?DAPP?的智能合約出現安全漏洞導致?戶的加密資產被盜或損失。
?在總共?181?起?DAPP?類安全事故中,這三類安全事故的案例數占?如下圖所示:
如上圖所示,前端安全事故數占?為?8.84%、后臺安全事故數占?為??11.05%、合約安全事故數占?為??80.11%,??三者具體的事故?數分別為16起、??20起和145起。我們進?步研究了這三類安全事故導致的損失?額,得到下?的統計圖:
我們的統計數據顯示前端安全事故造成的損失達?2.8?億美元、后臺安全事故造成的損失達?3.91?億美元、合約安全事故造成的損失?達?69.3億美元;三者的占?分別為?3.68%、??5.14%和91.17%。
盡管前端安全事故導致的損失?額所占的?例并不?,??但其中有不少個案都涉及較?的?額,???如?Vulcan?Forged的事故導致?了1.4?億美元的損失、??BadgerDAO的事故導致了1.2?億美元的損失、??Farmer?World的事故導致了1570?萬美元的損失。
顯然,??合約安全事故是最?的隱患。在合約安全事故中,??我們進?步研究發現出現的典型攻擊包括閃電貸?????、缺?少權限驗證、通證精度計算錯誤、數值溢出、??攻擊、??AMM?算法漏洞、假通證存儲/抵押、雙花、治理攻擊等。
我們統計分析了不同漏洞導致的合約事故的數量,得到下列統計圖:
我們研究了不同原因造成的合約事故所導致的損失?額,得到下列統計圖:
有趣的是,??我們發現盡管由缺少權限驗證導致的安全事故在數量上明顯少于由閃電貸引發的安全事故,??但前者所導致的損失?額則????于后者,兩者所導致的損失?額占?分別為10.48%和?4.45%。
金色財經現場報道 Energo Labs首席運營官楊凱凱:區塊鏈加速清潔能源普及:金色財經6月12日現場報道,在2018PPP全球數字資產投資峰會《能源區塊鏈領袖委員會圓桌會議》圓桌論壇上,Energo Labs首席運營官楊凱凱提到,區塊鏈能加速清潔能源行業發展,把物理世界與分布化技術相結合,將分布式的儲能共享平臺帶到東南亞等電力不普及的地方。從能源行業看,創業公司的落地更快更靈活,能讓行業先行看到區塊鏈等優勢,帶動區塊鏈在能源行業的發展。[2018/6/12]
2021?年,閃電貸逐漸成為攻擊者常?的?具,??來攻擊DeFi?類DAPP。?些典型的DeFi?類DAPP?如CreamFinance、Spartan?Protocol、YFI、??Indexed??Finance都遭到了閃電貸攻擊。有些甚?多次遭遇閃電貸攻擊,?如?AutoShark被攻擊?三次,??PancakeBunny、??BurgerSwap和CreamFinance都被攻擊兩次。
基于事故原因對安全事故的分類研究
我們基于導致安全事故的發?原因將?189?起安全事故分為了三?類:??由?客攻擊導致、由不當操作導致?和由項??不當?為導致。
我們統計分析了這三類原因導致的安全事故數量,得到下列統計圖:
如上圖所示,??由?客攻擊導致的安全事故數量占?最多,???達?86.24%,??其次是由項??不當?為導致,???占?為?11.11%,最后是由不當操作導致,占?為?2.65%。具體到安全事故數量,三者分別為163起、??21?起和?5?起。
我們研究了這些事故原因造成的損失?額,得到下列統計圖:
如上圖所示,由項??不當?為導致的損失?額占?最?,達?66.18%,???由?客攻擊導致的損失?額占?為?32.72%,由不當操作?導致的損失?額占?為?1.10%。有趣的是盡管由項??不當?為導致的安全事故數遠?于由?客攻擊導致的安全事故數,但在損失??額上,前者遠?于后者。在總計?76?億美元的損失?額中,由項??不當?為導致的損失?額、由?客攻擊導致的損失?額和由?不當操作導致的損失?額分別為?50.3?億美元、??24.9?億美元和8354?萬美元。
由?客攻擊導致的安全事故
我們研究了由?客攻擊導致的安全事故,分析了其中的漏洞種類,得到下列統計圖:
如上圖所示,兩有個被?客利?進?攻擊的漏洞分別是私鑰泄露和缺少權限驗證。這兩者所引發的安全事故數量所占的?例分別為?11.66%和?9.20%?,整體上所占?例并不?
但當我們研究了兩者所導致的損失?額后,?發現了有趣的現象,?得到的統計圖如下所示:
和前?幅統計圖形成相當?反差的是:?由私鑰泄露所導致的損失?額占?和由缺少權限驗證所導致的?額損失占?在總?額中占??不?,兩者分別是?24.93%和?29.2%。
在諸多由私鑰泄露導致的安全事故中,??涉及了?些中?化加密資產交易所,???如?BitMEX損失了?1.5億美元、??Liquid損失了?9100萬美元、??AscendEX損失了7700?萬美元、??HitBtc損失了4000?萬美元、??Bilaxy損失了2170?萬美元。
要指出的是,?在這??節我們所討論的安全事故涉及的被攻擊對象包括智能合約、?DAPP前端和?DAPP后臺。如果我們僅考慮?DAPP?前端和后臺,則私鑰泄露就是最主要的安全隱患。
由項??不當?為導致的安全事故
在?2021?年,由項??不當?為導致的安全事故沖擊了?量?DAPP?,包括?DeFi?類應?和中?化加密資產交易所。
我們統計的由項??不當?為導致的安全事故共有?21?起,其中?2?起是中?化加密資產交易所,??19?起是?DAPP。
我們研究了這些案例,得到下列統計圖:
金色財經現場報道 菲律賓Union Bank與ConsenSys合作 將無銀行賬戶居民納入金融體系:金色財經現場報道,今日在Coindesk 2018共識會議上,菲律賓Union Bank主席Justo Ortiz宣布了i2i項目,即將沒有銀行賬戶的菲律賓人納入金融體系。 Union Bank與ConsenSys合作,在Kaleido平臺上運行,并與菲律賓的五家農村銀行合作。i2i項目正在區塊鏈上建立一個“分散,近乎實時,高性價比,安全的零售支付系統”。 這對于3500萬沒有銀行賬戶的菲律賓人來說,是促進包容性繁榮的催化劑。i2i項目計劃于5月22日在達沃啟動。[2018/5/15]
如上圖所示,涉及中?化加密資產交易所的案例數僅占?9.52%,????90.48%都是涉及?DAPP?的案例。
我們進?步研究了這兩類事故的涉案?額,得到下列統計圖:
如上圖所示,??盡管涉及中?化交易所的案例數遠遠?于涉及?DAPP的案例數,??但前者的涉案?額遠?于后者,??前者的涉案?額占??為?97.4%,???后者僅占?2.6%。
由不當操作導致的安全事故
總共有??5??起由不當操作導致的安全事故,所有的案例都發?在??DAPP?,更確切地說都是??DeFi??應?,包括了著名的項?如?Compound?、??dYdX?。?這些安全事故總共造成的損失?額達?8354?萬美元。
研究總結
除了常?的區塊鏈主鏈和側鏈事故,??2021?年出現了新?的發?于第?層擴展系統的安全事故。但這類安全事故的數量仍然少于側?鏈,當然也遠少于主鏈。
我們基于安全事故的涉案受害對象進?研究,發現由?客攻擊導致的事故數量占?接近??90%,由此可??客攻擊仍然整個加密領?域最?的威脅。
DAPP?安全事故所涉及的前端、后臺和智能合約三類中,???論是從案例數量上看還是從涉案?額上看,??智能合約安全漏洞引發的事?故都遠超前端和后臺漏洞引發的事故。從案例數量上看,??智能合約占?為?80.11%,??接著是后臺占?達11.05%,??最后是前端占?達?8.84%?。??從涉案?額上看,智能合約占?為?91.17%,??接著是后臺占?達5.14%,??最后是前端占?達3.68%。
前端安全相對智能合約安全?直以來并不受到加密領域安全業者的關注,但它的漏洞在??2021?年引發了?起涉案?額較?的事故,?其中有兩起每起的涉案?額都超過了?1?億美元,?分別是?VulcanForged和?BadgerDAO,損失?額分別為?1.4?億美元和?1.2?億美元。
在由前端和后臺漏洞引發的安全事故中,私鑰泄露仍然是?2021?年這兩個領域最?的安全隱患。
我們研究了與智能合約相關的安全事故后發現:??由閃電貸導致的攻擊案例數遠超任何其它類別,??位居第?;??由缺少權限驗證導致的
攻擊案例數位居第?;但由后者導致的損失?額則遠?于前者,也?于任何其它類別。
在所有?189?起安全事故中,??盡管由?客攻擊導致的安全事故超過任何其它類別,???如由項??不當?為導致的安全事故,??但后者造?成的損失?額則遠超前者。
在?2021?年,??由項??不當?為導致的安全事故涉及?DAPP?和中?化加密資產交易所。其中?DAPP?的涉案數?遠超中?化加密資產?交易所的涉案數,??但后者的涉案?額卻遠超前者。由此可?,??從涉案?額來看,??中?化加密資產交易所仍然是最?的安全隱患,??這??點對加密資產持有者來說要引起?度關注。
FAIRYPROOF??案示例
基于我們的研究和分析,??我們認為安全領域最?的挑戰來?于三個??:??閃電貸攻擊、缺少權限驗證和項??不當?為。這三類事?故?泛存在于智能合約領域。?它們在某種程度上是可以借助?動化?具鑒別和防范的。
在本章,我們將介紹?Fairyproof針對這三類事故開發的解決?案。
漏洞探查系統
漏洞探查系統的?作流程如下:
步驟1:??掃描源代碼。
步驟??2:??檢查函數的修飾符及可?性,提取函數的?為參數。
步驟??3:??將提取的函數的?為參數與?Fairyproof?標準庫中存儲的函數的標準?為參數進?對?,檢查兩者的差異。
金色財經現場報道 圓桌環節嘉賓關于區塊鏈3.0時代的發展方向是什么的觀點:金色財經現場報道,今日在紐約舉行的2018區塊鏈無國界峰會上金色財經合伙人佟揚主持了圓桌環節,討論了有關區塊鏈3.0時代的發展方向。對此,Certik聯合創始人哥大助理教授顧榮輝表示,區塊鏈1.0是存儲數據的區塊鏈,區塊鏈2.0存儲的是可以操作數據的程序,而區塊鏈3.0意味著可以在區塊鏈之上繼續加載區塊鏈,是終極的區塊鏈。星云鏈聯合創始人鐘馥百表示,區塊鏈3.0偏重區塊鏈技術的落地,區塊鏈3.0面臨經濟模型和技術方面的挑戰。區塊鏈3.0可以在經濟模型上激勵更多的人,提供門檻更低的開發平臺。IOST聯合創始人及CEO鐘家鳴表示,比特幣仍然是最適應區塊鏈的,區塊鏈3.0包含目前區塊鏈還不包括的一些功能。 Hydro Protocol聯合創始人王博聞表示,以太坊區塊鏈的效率低下,需要解決TPS問題,下一代的區塊鏈技術需要解決是否能使TPS以指數增長的問題。[2018/5/13]
步驟?4:??對每個函數的?為參數及其與標準參數的差異,??對照漏洞庫中的漏洞參數檢查可能存在的系統漏洞。對每個典型漏洞,??系
統將建??個列表,將?為參數可疑的函數加?對應的列表。
步驟?5:??對每?個列表中的每?個函數項,??使?Fairyproof開發的?為曲線擬合算法?,??運?機器學習驗證其是否為潛在?險。
步驟??6:??如果在第?5?步中?個函數的?為被判定為有潛在?險,則該函數將被標記并發送給?程師進?核驗。
步驟?7:???程師將審計核驗第?6?步挑選出的所有函數,判定其是否為?險項。
這套?具和流程極?加快了審計過程的?動化,減少了繁復的??投?,提?了審計效率和正確率。
我們使?這套?具發現了?系列典型的?險,其中就包括可能引發閃電貸攻擊的?險和缺少權限驗證的?險。
下例是我們在審計過程中發現的?個可能被閃電貸攻擊的案例。在代碼截圖中,??getAmountOut()函數從某個去中?化交易所的??個交易對中獲取?reserve?值,并?其計算UBT?的價格。這種計算?式就可能遭遇閃電貸攻擊。
我們發現此問題后,建議項??使?更安全的價格獲取機制來計算相關通證的價格。
下列是我們在審計過程中發現的?個缺少權限驗證的案例。在下例代碼中,??管理員可以通過調??setRate?函數任意設置?rate,??這可?能導致通證交易被搶跑。
下列函數可能被搶跑攻擊。
利?上述?具,這個缺少權限驗證的問題很快就被發現了,對此我們建議項??取消這個函數或對該函數的調?設置權限控制。
通證探查系統
為了?動化監測?個通證合約是否存在潛在?險,??例如是否遵照以太坊通證標準,??我們開發了通證探查系統。該系統的運?過程如?下:
步驟1:??掃描合約源代碼
步驟??2:??根據合約定義的函數、接?、繼承關系等特性解構合約,并?成m!???×??n?矩陣?A,??該矩陣量化此合約的特性。
步驟??3:??搜索數據庫中存儲的標準通證模型如??ERC-20??通證、??ERC-721??通證?、??ERC-1155??通證。這些模型可量化為n?×??m"?、?n?×?m#、??......、??n?×?m$???的矩陣B",?B#,?...B$???。
步驟4:??計算矩陣的點積A?B",?A?B#,?..?.?,A???B$?得到?m!???×??m"?的矩陣C"?、??m!???×??m#?的矩陣C#?、??...??、??m!???×??m$?的矩陣C!?。
步驟??5:??矩陣中的每個元素都表示?個潛在?險點的?險值,如果該值越?則表明該?險點的?險越?。
步驟??6:??Fairyproof?程師將審核檢查這些?險點,并得出最終結論。
基于這套?具及這個?動化流程,我們快速發現了去年?些熱?空投項?的顯著不同點,?如我們發現了?MaskDAO?通證收取“稅?費”的?典型特征,如下所示:
這種?動化?具也幫助我們迅速定位到?些空投通證項?中特殊的處理?式,?如SOS?、??MASK?、??GDO?、??GAS?使?的鏈下處理??式,如下圖所示:
防范安全事故的可??段及建議
在本節,我們將基于對?2021?年安全事故的總結和分析,分別從開發者和?戶的?度羅列?些防范安全事故的可??段及建議。我?們建議開發者和?戶都參照這些建議在?常的開發、維護、運營、交易等?為中??謹慎,做好安全防范?作。
注意:??這?的開發者既包括區塊鏈客戶端應?的開發者,??也包括?DAPP?及所有和加密資產相關的應?的開發者。這?的?戶指所有?參與到加密資產及相關系統運營、操作、交易、持有等活動的參與者。
對開發者的建議
對基于?作量證明機制的?許可型區塊鏈??,防范其被攻擊最好的?式就是發展它的?態系統,激勵更多的節點參與系?統的挖礦,提升系統的整體算?。
2021?年,在所有擴展區塊鏈主?性能的?案中,盡管側鏈發?安全事故的案例數多于第?層擴展,但第?層擴展技術是新興的技?術,??它未來的發展會迅速推進,???態也會?益繁榮,??因此對第?層擴展技術安全性的關注不能掉以輕?。作為開發者??應該未??綢繆,積極深?地研究相關技術,找到防范安全事故的?案和措施。
對于?DAPP?的整體安全??,?由智能合約的漏洞引發的安全事故依舊是?要值得關注的領域,?但前端和后臺的安全也必須引起?視。?尤其在審計??,對前端和后臺的審計將成為審計的必然選項。
對于存在管理員控制關鍵操作的?DAPP?,必須將管理員權限轉移到多簽錢包或者?DAO?來管理。
閃電貸和對操作權限的驗證是合約開發者時刻要注意的兩??險點。正確合理地處理這兩??險點也是開發者在設計和編碼智能合?約時必須注意的頭等事項。
對?戶的建議
對于持有基于?作量證明機制的區塊鏈加密貨幣的?戶??,必須關注該區塊鏈的整體算??平。如果該區塊鏈系統的算??較低,則可能遭遇?51%攻擊,從?影響所持有加密貨幣的價值。
側鏈技術和第?層擴展技術都還處于發展初期,??都還不夠成熟和健壯,??很有可能遭遇安全事故。因此在準備參與或持有相關加密貨?幣之前,???戶最好仔細審視相關?案的安全性,??以免持有的加密貨幣所依賴的相關?案因安全性?佳導致所持有的加密資產價值受?損。
當和?DAPP?進?交互時,???戶不僅要關注其智能合約的安全,??也要關注其前端和后臺的安全,??尤其要注意不要輕易點擊可疑的信息?或鏈接。
強烈建議?戶在參與加密貨幣投資及交互之前,??仔細審閱相關項?是否有審計報告,??并仔細閱讀相關的審計報告以便知曉第三?機?構對其安全性的評估。
強烈建議?戶使?冷錢包管理不?于頻繁交易的加密資產。在使?熱錢包時注意使?時周邊的硬件環境和軟件環境的安全性。
對開發團隊身份匿名的項?,???戶應該提?警惕。?些從未有過業內聲譽的團隊開發和運營的項?可能存在跑路?險。對中?化交?易所?戶要關注其運營團隊的身份和背景,對聲譽較低的團隊運營的中?化交易所要??其跑路?險。
參考資料:
Arbitrum?Portal,?https://portal.arbitrum.one/
Optimism,?https://www.optimism.io/
“DeFi2.0:?A?beginner's?guide?to?the?second?generation?of?DeFi?protocols”.
https://cointelegraph.com/defi-101/defi2-0-a-beginners-guide-to-the-second-generation-of-defi-protocols.
CryptoPunks.https://www.larvalabs.com/cryptopunks
BAYC.?https://boredapeyachtclub.com/
Axie?Infinity.https://axieinfinity.com/
“Play-To-Earn?Gaming?Is?Driving?NFT?And?Crypto?Growth”.?
https://www.forbes.com/sites/robertfarrington/2021/12/13/play-to-earn-gaming-is-driving-nft-and-crypto-growth/?sh=7f3afd1dc2dc?.?December13,?2021???Morris,?David?Z.(15?May?2016)."Leaderless,?Blockchain-Based?Venture?Capital?Fund?Raises?$100?Million,?And?Counting".?Fortune.?Archived?from?the?originalon?21?May?2016.?Retrieved?23?May?2016.
Popper,?Nathan?(21?May?2016)."A?Venture?Fund?With?Plenty?ofVirtualCapital,?butNo?Capitalist".?The?New?York?Times.?Archived?from?the?original?on?22?May?2016.?Retrieved?23?May?2016.
"Blockchains:?The?greatchain?ofbeing?sure?aboutthings".The?Economist.?31?October2015.?Archived?from?the?original?on?3?July?2016.?Retrieved?18?June?2016.The?technology?behind?bitcoin?lets?people?who?do?notknow?or?trust?each?otherbuild?a?dependable?ledger.?This?has?implications?farbeyond?the?crypto?????currency.
Narayanan,?Arvind;?Bonneau,?Joseph;?Felten,?Edward;?Miller,?Andrew;?Goldfeder,?Steven?(2016).?Bitcoin?and?cryptocurrency?technologies:?a?comprehensive?introduction.?Princeton:?Princeton?University?Press.?ISBN?978-0-691-17169-2.
Blockchain.https://en.wikipedia.org/wiki/Blockchain.?January?4,?2022
Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23?Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23.
DApp,"CVC?Money?Transmission?Services?Provided?Through?Decentralized?Applications?(DApps)"(PDF).?FinCEN.?Retrieved?2019-05-09.?dApp,"IEEE?DAPPS?2020".ieeedapps.net.Archived?from?the?original?on?2020-04-26.?Retrieved?2020-08-15.
Sidechains.https://ethereum.org/en/developers/docs/scaling/sidechains/
Layer-2.https://academy.binance.com/en/glossary/layer-2
Solana.?https://solana.com/
ETC.https://ethereumclassic.org/
BSV.https://bitcoinsv.com/
Verge.https://vergecurrency.com/
Firo.?https://firo.org/
Polygon.https://polygon.technology/
Liquid?Network.https://river.com/learn/terms/l/liquid-network/
Arbitrum?One.?https://portal.arbitrum.one/
“WhatIs?a?51%?Attack?”.https://www.coindesk.com/learn/what-is-a-51-attack/?.?October12,?2021
Denial-of-service?attack.https://en.wikipedia.org/wiki/Denial-of-service_attack?.?January,?2022
Vulcan?Forged.?https://vulcanforged.com/
BadgerDAO.?https://app.badger.com/
Farmers?World.?https://farmersworld.io/
Flash-loans.https://aave.com/flash-loans/
Cream?Finance.https://app.cream.finance/
Spartan?Protocol.?https://spartanprotocol.org/
Yearn?Finance.https://yearn.finance/#/home
Indexed?Finance.https://indexed.finance/
AutoShark.?https://autoshark.finance/
Pancake?Bunny.https://pancakebunny.finance/
BurgerSwap.?https://burgerswap.org/
BitMEX.?https://www.bitmex.com/
Liquid.?https://www.liquid.com/
AscendEX.?https://ascendex.com/
HitBTC.https://hitbtc.com/zh_CN
Bilaxy.https://bilaxy.com/
Compound?Finance.https://compound.finance/
dYdX.https://dydx.exchange/
1.基于NFT的公鏈賽道地圖一覽目前NFT產業價值鏈分為三層。對于基礎設施層,主要涵蓋公鏈、側鏈/Layer2、代幣標準、開發工具、存儲、錢包等。基礎設施類項目通常率先受益于行業景氣度上行.
1900/1/1 0:00:002月15日消息,石油和天然氣巨頭康菲石油公司已間接進入比特幣挖礦業務。據CNBC報道,該公司已經在北達科他州巴肯市啟動了一個比特幣試點項目,通過該項目將天然氣出售給第三方運營的比特幣礦場.
1900/1/1 0:00:00關于NFT,在我們的文章中一直以來都是常駐嘉賓,不止因為NFT背后隱藏的潛力,更因為在這個NFT世界里冥冥之中仿佛有一雙幕后的手,OpenSea、庫里、ERC115、視覺中國、周杰倫.
1900/1/1 0:00:00本文由“老雅痞”laoyapicom授權轉發NFT權益質押是DeFi的一個有前途的分支,當涉及到NFT交易時,有可能能夠解決一些問題.
1900/1/1 0:00:00從1月10日開始,以太坊生態系統的交易費用經歷了一個下降階段,創下了最低的平均和中值交易費用,分別為14.17美元和5.67美元,這是自2021年9月以來的最低水平.
1900/1/1 0:00:00金色財經消息,日本BandaiNamcoHoldings(萬代南夢宮控股)公開了2022年3月決策,并同步公開萬代南夢宮集團中期計劃(2022年4月-2025年3月31日)“IP軸戰略”.
1900/1/1 0:00:00