本文由Fairyproof原創,授權金色財經發布。
2021 年對加密貨幣??真是個熱?朝天的年份。
根據 coinmarketcap.com 的數據顯示,?特幣的價格從年初 1 ? 1 ?的 28994.01 美元到年尾 12 ? 31 ?漲到了 46306.45 美元, 并在 11 ? 10 ?創出歷史新? 68789.63 美元;以太坊從年初 1 ? 1 ?的 737.71 美元到年尾 12 ? 31 ?漲到了 3682.63 美元,并 在 11 ? 16 ?創出歷史新? 4891.7 美元。在?特幣和以太坊的帶領下, coinmarketcap.com 統計的整個加密貨幣市場總市值從年 初 1 ? 1 ?的 7730 億美元到年尾 12 ? 31 ?漲到了 22560 億美元。
???市場?情持續?爆, 另???加密貨幣全?業也迎來了爆發式成?。層出不窮的創新和應?顛覆了我們對技術、商業和?化 等的理解和認知: 我們?證了以太坊第?層擴展的爆發,我們從未想到它會來得如此突然;我們?證了 DeFi 2.0 對傳統 DeFi 商業模式的顛覆;我們?證了 NFT ?躍成為元宇宙?態中身份的標識;我們?證了鏈游?態中崛起的 play-to-earn 模式 ......
就像硬幣有兩??樣, 對加密貨幣?業??, ??我們看到了其蓬勃發展的?態, 但另??我們也經歷了觸?驚?的安全事故。 2021 年加密貨幣全?業公開報道的安全事故?少有 189 起,?少有 76 億美元的加密資產在這些安全事故中損失。
這些安全事故不僅給加密資產持有者造成了??損失也嚴?影響甚?阻礙了整個加密?業?態的?期發展。
Fairyproof 研究團隊研究了公開報道的189 起典型安全事故, 分析了其中的原因并將經驗、教訓進?總結, 匯成了本報告, 期待與 業界同仁及讀者交流,共同促進加密?業的良性發展,保障加密資產的全?安全。
在我們深?探討之前,有必要先介紹本報告中會頻繁提及的?些基本概念及術語。
區塊鏈是?個持續增?的數據集鏈表。這些數據集被稱為區塊。這些區塊通過加密算法前后相互鏈接。這些區塊中除 了第?個區塊(也被稱為“創世區塊”) 以外, 每個區塊都包含前?個區塊的哈希值、本區塊的時間戳、交易數據等。只要區塊 鏈系統持續正常運作, 這些區塊前后鏈接就會構成?條永遠不斷增?的鏈式結構。通常已經記錄在區塊鏈中的交易和數據是?法回 滾和篡改的。如果要回滾或篡改某個區塊中的交易或數據, 則此區塊后所有區塊的交易和數據都要回滾或篡改, ?這在技術上和經 濟上都有相當的難度。
?特幣是區塊鏈技術的第?個應?。它為區塊鏈?態的發展開辟了全新、?限的想象空間。在?特幣之后, 區塊鏈?態開始爆發式 成?,為全?類帶來了全新的視?和?象。
基本上所有現有的區塊鏈系統都可以被分為兩類: ?許可型區塊鏈(permissionless blockchain)和許可型區塊鏈(permissioned blockchain)。
?許可型區塊鏈有時也被稱為公有區塊鏈, 它是?個開放的?絡系統, 任何?都可以作為節點在?需授權的情況下參與其共識的達 成、參與對數據和區塊的驗證。這個?絡中所有的節點相互之間都?需預先建?信任關系。?特幣是第?個?許可型區塊鏈。
許可型區塊鏈是?個封閉的?絡系統, 只有經過授權的節點才可以進??絡參與共識的達成、數據和區塊的驗證等活動。這些節點 通常是某個聯盟的成員、某個組織或公司的部?等。
由于?許可型區塊鏈是個開放的系統, 任何?都可以參與區塊驗證、打包等活動并使?系統, 因此它吸引了全球科技愛好者參與其 ?態系統的構建和開發。
此外, 在?許可型區塊鏈中, 為了維系系統的?治和運作, 其設計開發者會賦予其?種被稱為是“挖礦”的機制。這種機制會對成功 打包有效區塊的節點進?獎勵, 獎勵通常以加密貨幣的形式發放。在這種機制的激勵下, 來?全球的節點會參與系統的維護和運作。
因此,?許可型區塊鏈?態的成?和發展?分迅猛。
但與此同時, 由于?許可型區塊鏈允許任何節點??檻地加?系統的運作,因此惡意節點也難免加?其中,通過作惡甚?對系統 的攻擊獲取加密貨幣的獎勵。從這個?度審視, ?許可型區塊鏈更容易受到?客的攻擊, ?客既可以作為惡意節點從系統內部攻擊 也可以以傳統?式從系統外部攻擊。
這些綜合因素的疊加使得?許可型區塊鏈的安全保障和維護相對于許可型區塊鏈??更加復雜、更加困難。
DAPP 是去中?化應?程序 (decentralized application) 的英?簡稱。這是?種運?在區塊鏈上,由?個或多個智能合約組成核 ?,包括前端、后臺等構件的應?程序 。 如果承載?個 DAPP 運?的區塊鏈是?許可型區塊鏈,則這個 DAPP 就能在?需 中?化媒介控制和?預的情況下?治地運?。
金色財經CEO安鑫鑫:DeFi最大的問題是收益率影響很大:金色財經現場報道,4月25日,2021新基建區塊鏈峰會在成都舉辦。在分布式存儲新時代分會場上,金色財經CEO安鑫鑫以《換個角度 看待區塊鏈挖礦產業》為題進行分享。他指出,AMM流動性挖礦的機制可以稱得上區塊鏈第三大發明,它打開了整個區塊鏈應用的窗口。DeFi的本質是可以通過挖礦的方式運轉。其與其他項目不同的是,是鏈上應用層面,基于任何一個網絡都可以運營。但是DeFi最大的問題是收益率影響很大,需要實現長久正循環。
安鑫鑫總結表示,挖礦產業是區塊鏈的基石,可以選擇適合自己的好礦挖起來。[2021/4/25 20:55:56]
這種 DAPP 通常是開源、透明、公開的,任何?都可以?需許可地與其交互。這類 DAPP 的開發者為了吸引盡可能多的?戶使? 它并保障 DAPP 的?期開發和維護,會在 DAPP 中加?加密貨幣的發?機制,?發?的加密貨幣獎勵使? DAPP 的?戶和開發團 隊。這種加密貨幣發?機制通常也會成為?客的攻擊?標。
這些特點也使得 DAPP 和?許可型區塊鏈?樣很容易被?客攻擊。
對?許可型區塊鏈、 DAPP 和涉及加密貨幣業務的中?化機構及組織的攻擊或其?身出現的安全事故?泛存在于加密貨幣領域, 并 且?益嚴峻,對這些攻擊和安全事故的探討、研究和防范是加密貨幣領域的焦點,也是我們研究的核?。
對于其中的攻擊事件??, 發起攻擊的?客通常會將攻擊獲取的加密貨幣兌換成錨定法幣(通常是美元) 的穩定幣或直接兌換為法 幣離場。
Fairyproof 研究團隊對 2021 年發?、經公開報道的典型安全事故進?了系統的統計和總結,在本報告中羅列了相關數據、分析了 事故的成因、并列舉了防范這些事故的可?建議和有效措施。
我們研究了媒體公開報道的 2021 年發?的 189 起安全事故,在本章羅列了我們統計的相關數據并分析了這些事故的原因和要點。
根據被攻擊對象的不同,我們將 189 起安全事故分為兩類:區塊鏈類安全事故和 DAPP 類安全事故。
區塊鏈(blockchain)類安全事故是指區塊鏈系統遭到來?內部節點或外部?客的攻擊或由于區塊鏈客戶端軟件或節點硬件等事故 ?使區塊鏈系統?法正常的?作,從?使得攻擊者從中漁利或使得區塊鏈原?加密貨幣持有者受到損失。
DAPP 類安全事故是指 DAPP 受到攻擊或者 DAPP 因?身缺陷?法正常?作,從?使得攻擊者從中漁利或者 DAPP 發?的加密貨 幣持有者受到損失。
在總共 189 起安全事故中,區塊鏈類安全事故數和 DAPP 類安全事故數各?所占的百分?如下圖所示:
如上圖所示, DAPP 類安全事故數占?超過了 95%,共有 181 起,只有 8 起為區塊鏈類安全事故。
我們深?研究了區塊鏈類安全事故,將其分為三個?類:區塊鏈主?(blockchain mainnet)、側鏈(sidechain)和第?層擴展 (layer 2 solution)。
區塊鏈主?也被稱為 lay 1, 它有??獨?的共識機制、驗證節點等。區塊鏈主?的節點可以獨?驗證交易、數據,達成共識,使 區塊鏈獲得最終?致性。?特幣和以太坊就是典型的區塊鏈主?。
側鏈也是單獨的區塊鏈, 但它通常伴隨?條區塊鏈主?平?運作。側鏈也有??的?絡系統、共識機制和驗證節點。它和區塊鏈主 ?相連,兩者相連的?式有多種,常?的包括雙向錨定(two-way peg) 等。
第?層擴展是指依賴區塊鏈主?的協議或?絡系統。第?層擴展?法??取得最終的?致性和安全性,必須依賴區塊鏈主?獲 得。第?層擴展的主要功能和?標是解決區塊鏈主?的性能擴展問題。第?層擴展通常擁有相較于主?更加?效、更低費?的業務 處理能?。?前第?層擴展技術發展得最迅速、最有活?的是依托于以太坊的第?層擴展技術。以太坊的第?層擴展技術和?態在 2021 年取得了??的進展。
側鏈和第?層擴展技術都是為了解決區塊鏈主?的性能問題。這兩者典型的區別在于側鏈可以不依賴于區塊鏈主?獲得安全性和最 終?致性,?第?層擴展則必須依賴區塊鏈主?。
我們統計的 2021 年區塊鏈類安全事故總共有 8 起, 下圖展示了區塊鏈主?、側鏈和第?層擴展各個類別中發?的安全事故數所占比例。
如上圖所示, 區塊鏈主?發?的安全事故占整個區塊鏈類安全事故的?例為 62.5% ,總共有 5 起,涉及的區塊鏈主?有 Solana、 ETC、BSV、Verge和 Firo;側鏈發?的安全事故總共有 2 起, 涉及的側鏈有 Polygon和 Liquid Network; 第?層擴展發?的安全事故有 1 起,涉及的第?層擴展系統是 Arbitrum One.
金色財經挖礦數據播報:ETH今日全網算力上漲2.00%:金色財經報道,據蜘蛛礦池數據顯示:
BTC全網算力168.145EH/s,挖礦難度21.87T,目前區塊高度676318,理論收益0.00000625/T/天。
ETH全網算力467.701TH/s,挖礦難度6107.17T,目前區塊高度12111563,理論收益0.00597491/100MH/天。
BSV全網算力0.599EH/s,挖礦難度0.08T,目前區塊高度680062,理論收益0.00150199/T/天。
BCH全網算力1.361EH/s,挖礦難度0.18,目前區塊高度680349,理論收益0.00066137/T/天。[2021/3/26 19:19:29]
在 5 個涉及區塊鏈主?的安全事故中, 有 4 起(ETC 、BSV 、Verge 和 Firo) 都是遭到了 51%攻擊, 其根本原因是這些區塊鏈 主?的算?都相對較低, 這使得?客可以?較容易地通過租借算?的?式發動對主?的攻擊。剩下的?起(Solana) 則是因為主? 受到了 DOS 攻擊。
我們分析研究了 DAPP 類安全事故, 進?步將其分為三個?類: DAPP 前端事故(front-end)、 DAPP 后臺事故(server side)、 DAPP 合約事故(smart contract)。
DAPP 前端事故主要是 DAPP 中涉及傳統信息技術的客戶端中出現了安全漏洞導致?戶的賬戶信息、個?信息等被盜從?導致?戶 的加密資產被盜或損失。
DAPP 后臺事故主要是 DAPP 中涉及傳統信息技術的服務器端出現安全漏洞導致 DAPP 的后臺服務與鏈上交互過程被劫持從?導致 ?戶的加密資產被盜或損失。
DAPP 合約事故主要是 DAPP 的智能合約出現安全漏洞導致?戶的加密資產被盜或損失。
在總共 181 起 DAPP 類安全事故中,這三類安全事故的案例數占?如下圖所示:
如上圖所示,前端安全事故數占?為 8.84%、后臺安全事故數占?為 11.05%、合約安全事故數占?為 80.11%, 三者具體的事故 數分別為 16 起、 20 起和 145 起。我們進?步研究了這三類安全事故導致的損失?額,得到下?的統計圖:
我們的統計數據顯示前端安全事故造成的損失達 2.8 億美元、后臺安全事故造成的損失達 3.91 億美元、合約安全事故造成的損失 達 69.3 億美元;三者的占?分別為 3.68% 、 5.14%和 91.17%。
盡管前端安全事故導致的損失?額所占的?例并不?, 但其中有不少個案都涉及較?的?額, ?如 Vulcan Forged的事故導致 了 1.4 億美元的損失、 BadgerDAO的事故導致了 1.2 億美元的損失、 Farmer World的事故導致了 1570 萬美元的損失。
顯然, 合約安全事故是最?的隱患。在合約安全事故中, 我們進?步研究發現出現的典型攻擊包括閃電貸 ( flashloans) 、缺 少權限驗證、通證精度計算錯誤、數值溢出、??攻擊、 AMM 算法漏洞、假通證存儲/抵押、雙花、治理攻擊等。
我們統計分析了不同漏洞導致的合約事故的數量,得到下列統計圖:
我們研究了不同原因造成的合約事故所導致的損失?額,得到下列統計圖:
有趣的是, 我們發現盡管由缺少權限驗證導致的安全事故在數量上明顯少于由閃電貸引發的安全事故, 但前者所導致的損失?額則 ???于后者,兩者所導致的損失?額占?分別為10.48%和 4.45%。
2021 年,閃電貸逐漸成為攻擊者常?的?具, ?來攻擊 DeFi 類 DAPP。?些典型的 DeFi 類 DAPP 如 Cream Finance、Spartan Protocol 、YFI 、 Indexed Finance都遭到了閃電貸攻擊。有些甚?多次遭遇閃電貸攻擊,?如 AutoShark被攻擊 三次, Pancake Bunny 、 BurgerSwap和 Cream Finance 都被攻擊兩次。
金色午報 | 11月18日午間重要動態一覽:7:00-12:00關鍵詞:18000美元、墨西哥富豪、CCTV-2
1.墨西哥第三大富豪已將10%的流動資產投資于比特幣;
2.Polkadot已抵押超6.71億DOT抵押率達66%;
3.SushiSwap鎖倉量24小時激增157%至10億美元;
4.海南推出基于區塊鏈技術的冷鏈食品溯源管控系統;
5.去中心化抵押借貸市場總借款量達30億美元創歷史新高;
6.F2Pool:ZEC區塊獎勵預計今日減半由6.25枚ZEC減半為3.125枚;
7.CCTV-2報道:第四季度以來,比特幣在不到50天的時間里大漲70%;
8.Bitcoin ABC推出0.22.7版本分別適用于BCHA網絡和BCHN網絡;
9.比特幣持續上漲,現已突破18000美元,為2017年12月以來首次。[2020/11/18 21:10:47]
我們基于導致安全事故的發?原因將 189 起安全事故分為了三?類: 由?客攻擊導致(attacksfrom hackers)、由不當操作導致 (improper operations)和由項??不當?為導致(rug-pulls)。
我們統計分析了這三類原因導致的安全事故數量,得到下列統計圖:
如上圖所示, 由?客攻擊導致的安全事故數量占?最多, ?達 86.24%, 其次是由項??不當?為導致, 占?為 11.11%,最后是由 不當操作導致,占?為 2.65%。具體到安全事故數量,三者分別為163 起、 21 起和 5 起。
我們研究了這些事故原因造成的損失?額,得到下列統計圖:
如上圖所示,由項??不當?為導致的損失?額占?最?,達 66.18%, 由?客攻擊導致的損失?額占?為 32.72%,由不當操作 導致的損失?額占?為 1.10%。有趣的是盡管由項??不當?為導致的安全事故數遠?于由?客攻擊導致的安全事故數,但在損失 ?額上,前者遠?于后者。在總計 76 億美元的損失?額中,由項??不當?為導致的損失?額、由?客攻擊導致的損失?額和由 不當操作導致的損失?額分別為 50.3 億美元、 24.9 億美元和8354 萬美元。
我們研究了由?客攻擊導致的安全事故,分析了其中的漏洞種類,得到下列統計圖:
如上圖所示,兩有個被?客利?進?攻擊的漏洞分別是私鑰泄露(admin key being compromised)和缺少權限驗證(missing validation for access control)。這兩者所引發的安全事故數量所占的?例分別為 11.66%和 9.20% ,整體上所占?例并不?
但當我們研究了兩者所導致的損失?額后, 發現了有趣的現象, 得到的統計圖如下所示:
和前?幅統計圖形成相當?反差的是: 由私鑰泄露所導致的損失?額占?和由缺少權限驗證所導致的?額損失占?在總?額中占? 不?,兩者分別是 24.93%和 29.2%。
在諸多由私鑰泄露導致的安全事故中, 涉及了?些中?化加密資產交易所, ?如 BitMEX損失了 1.5 億美元、 Liquid損失了 9100 萬美元、 AscendEX損失了 7700 萬美元、 HitBtc損失了 4000 萬美元、 Bilaxy損失了 2170 萬美元。
要指出的是, 在這??節我們所討論的安全事故涉及的被攻擊對象包括智能合約、 DAPP 前端和 DAPP 后臺。如果我們僅考慮 DAPP 前端和后臺,則私鑰泄露就是最主要的安全隱患。
在 2021 年,由項??不當?為導致的安全事故沖擊了?量 DAPP ,包括 DeFi 類應?和中?化加密資產交易所。
我們統計的由項??不當?為導致的安全事故共有 21 起,其中 2 起是中?化加密資產交易所, 19 起是 DAPP。
我們研究了這些案例,得到下列統計圖:
如上圖所示,涉及中?化加密資產交易所的案例數僅占 9.52%, ? 90.48%都是涉及 DAPP 的案例。
我們進?步研究了這兩類事故的涉案?額,得到下列統計圖:
金色熱搜榜:LOOM居于榜首:根據金色財經排行榜數據顯示,過去24小時內,LOOM搜索量高居榜首。具體前五名單如下:LOOM、MANA、XRP、ZEC、LTC。[2020/11/11 12:19:35]
如上圖所示, 盡管涉及中?化交易所的案例數遠遠?于涉及 DAPP 的案例數, 但前者的涉案?額遠?于后者, 前者的涉案?額占? 為 97.4%, ?后者僅占 2.6%。
總共有 5 起由不當操作導致的安全事故,所有的案例都發?在 DAPP ,更確切地說都是 DeFi 應?,包括了著名的項?如 Compound 、 dYdX 。 這些安全事故總共造成的損失?額達 8354 萬美元。
除了常?的區塊鏈主鏈和側鏈事故, 2021 年出現了新?的發?于第?層擴展系統的安全事故。但這類安全事故的數量仍然少于側 鏈,當然也遠少于主鏈。
我們基于安全事故的涉案受害對象進?研究,發現由?客攻擊導致的事故數量占?接近 90%,由此可??客攻擊仍然整個加密領 域最?的威脅。
DAPP 安全事故所涉及的前端、后臺和智能合約三類中, ?論是從案例數量上看還是從涉案?額上看, 智能合約安全漏洞引發的事 故都遠超前端和后臺漏洞引發的事故。從案例數量上看, 智能合約占?為 80.11%, 接著是后臺占?達 11.05%, 最后是前端占?達 8.84% 。 從涉案?額上看,智能合約占?為 91.17%, 接著是后臺占?達 5.14%, 最后是前端占?達 3.68%。
前端安全相對智能合約安全?直以來并不受到加密領域安全業者的關注,但它的漏洞在 2021 年引發了?起涉案?額較?的事故, 其中有兩起每起的涉案?額都超過了 1 億美元, 分別是 Vulcan Forged 和 BadgerDAO,損失?額分別為 1.4 億美元和 1.2 億美元。
在由前端和后臺漏洞引發的安全事故中,私鑰泄露仍然是 2021 年這兩個領域最?的安全隱患。
我們研究了與智能合約相關的安全事故后發現: 由閃電貸導致的攻擊案例數遠超任何其它類別, 位居第?; 由缺少權限驗證導致的
攻擊案例數位居第?;但由后者導致的損失?額則遠?于前者,也?于任何其它類別。
在所有 189 起安全事故中, 盡管由?客攻擊導致的安全事故超過任何其它類別, ?如由項??不當?為導致的安全事故, 但后者造 成的損失?額則遠超前者。
在 2021 年, 由項??不當?為導致的安全事故涉及 DAPP 和中?化加密資產交易所。其中 DAPP 的涉案數?遠超中?化加密資產 交易所的涉案數, 但后者的涉案?額卻遠超前者。由此可?, 從涉案?額來看, 中?化加密資產交易所仍然是最?的安全隱患, 這 ?點對加密資產持有者來說要引起?度關注。
基于我們的研究和分析, 我們認為安全領域最?的挑戰來?于三個??: 閃電貸攻擊、缺少權限驗證和項??不當?為。這三類事 故?泛存在于智能合約領域。?它們在某種程度上是可以借助?動化?具鑒別和防范的。
在本章,我們將介紹 Fairyproof 針對這三類事故開發的解決?案。
漏洞探查系統的?作流程如下:
步驟 1: 掃描源代碼。
步驟 2: 檢查函數的修飾符及可?性,提取函數的?為參數。
步驟 3: 將提取的函數的?為參數與 Fairyproof 標準庫中存儲的函數的標準?為參數進?對?,檢查兩者的差異。
步驟 4: 對每個函數的?為參數及其與標準參數的差異, 對照漏洞庫中的漏洞參數檢查可能存在的系統漏洞。對每個典型漏洞, 系
統將建??個列表,將?為參數可疑的函數加?對應的列表。
步驟 5: 對每?個列表中的每?個函數項, 使? Fairyproof 開發的?為曲線擬合算法 (behavior curve-fitting algorithm), 運? 機器學習驗證其是否為潛在?險。
步驟 6: 如果在第 5 步中?個函數的?為被判定為有潛在?險,則該函數將被標記并發送給?程師進?核驗。
步驟 7: ?程師將審計核驗第 6 步挑選出的所有函數,判定其是否為?險項。
這套?具和流程極?加快了審計過程的?動化,減少了繁復的??投?,提?了審計效率和正確率。
金色財經獨家分析 強調“共識”的區塊鏈行業應避免各自為戰:隨著區塊鏈行業日益壯大,要求行業標準的呼聲正在加強。近日,工業和信息化部信軟司透露,2018年將從組織建設、標準體系、重點標準等七個方面推進信息化和軟件服務業標準化工作。按照“中國制造2025”的有關要求,將持續推進云計算和區塊鏈等領域標準研制工作。支持在區塊鏈參考架構、數據格式規范等方向發布系列團體標準。金色財經獨家分析,“共識”是區塊鏈思想的核心,然而目前的情況是各細分領域之間有自己單獨標準,并未實現廣泛的技術交流和模式的溝通。幣圈、鏈圈各自為戰的現象還比較普遍。當前,有必要共建區塊鏈基礎設施,并明確共建生態系統的需求。北航數字社會與區塊鏈實驗室主任、國家大數據綜合實驗區區塊鏈互聯網實驗室主任蔡維德預計,三年后可能就能出現區塊鏈集團、區塊鏈帝國以及區塊鏈聯合國。相應的交易規則、治理法則、帝國法律、跨境交易、自治協議等等都會應運而生。然而無論是集團與帝國,都需要更加明確的溝通機制,以共識實現互通。[2018/4/16]
我們使?這套?具發現了?系列典型的?險,其中就包括可能引發閃電貸攻擊的?險和缺少權限驗證的?險。
下例是我們在審計過程中發現的?個可能被閃電貸攻擊的案例。在代碼截圖中, getAmountOut()函數從某個去中?化交易所的? 個交易對中獲取 reserve 值,并?其計算UBT 的價格。這種計算?式就可能遭遇閃電貸攻擊。
我們發現此問題后,建議項??使?更安全的價格獲取機制(預?機)來計算相關通證的價格。
下列是我們在審計過程中發現的?個缺少權限驗證的案例。在下例代碼中, 管理員可以通過調? setRate 函數任意設置 rate, 這可 能導致通證交易被搶跑。
下列函數可能被搶跑攻擊。
利?上述?具,這個缺少權限驗證的問題很快就被發現了,對此我們建議項??取消這個函數或對該函數的調?設置權限控制。
為了?動化監測?個通證合約是否存在潛在?險, 例如是否遵照以太坊通證標準, 我們開發了通證探查系統。該系統的運?過程如 下:
步驟 1: 掃描合約源代碼
步驟 2: 根據合約定義的函數、接?、繼承關系等特性解構合約,并?成m! × n 矩陣 A, 該矩陣量化此合約的特性。
步驟 3: 搜索數據庫中存儲的標準通證模型如 ERC-20 通證、 ERC-721 通證 、 ERC-1155 通證。這些模型可量化為n × m" 、 n × m# 、 ...... 、 n × m$ 的矩陣B", B#, . . . B$ 。
步驟 4: 計算矩陣的點積A ? B", A ? B#, . . . , A ? B$ 得到 m! × m" 的矩陣C" 、 m! × m# 的矩陣C# 、 ... 、 m! × m$ 的矩陣C! 。
步驟 5: 矩陣中的每個元素都表示?個潛在?險點的?險值,如果該值越?則表明該?險點的?險越?。
步驟 6: Fairyproof ?程師將審核檢查這些?險點,并得出最終結論。
基于這套?具及這個?動化流程,我們快速發現了去年?些熱?空投項?的顯著不同點,?如我們發現了 MaskDAO 通證收取“稅 費(tax)”的?典型特征,如下所示:
這種?動化?具也幫助我們迅速定位到?些空投通證項?中特殊的處理?式,?如 SOS 、 MASK 、 GDO 、 GAS 使?的鏈下處理? 式,如下圖所示:
在本節,我們將基于對 2021 年安全事故的總結和分析,分別從開發者和?戶的?度羅列?些防范安全事故的可??段及建議。我 們建議開發者和?戶都參照這些建議在?常的開發、維護、運營、交易等?為中??謹慎,做好安全防范?作。
注意: 這?的開發者既包括區塊鏈客戶端應?的開發者, 也包括 DAPP 及所有和加密資產相關的應?的開發者。這?的?戶指所有 參與到加密資產及相關系統運營、操作、交易、持有等活動的參與者。
對基于?作量證明機制(PoW)的?許可型區塊鏈??,防范其被攻擊最好的?式就是發展它的?態系統,激勵更多的節點參與系 統的挖礦,提升系統的整體算?。
2021 年,在所有擴展區塊鏈主?性能的?案中,盡管側鏈發?安全事故的案例數多于第?層擴展,但第?層擴展技術是新興的技 術, 它未來的發展會迅速推進, ?態也會?益繁榮, 因此對第?層擴展技術安全性的關注不能掉以輕?。作為開發者??應該未? 綢繆,積極深?地研究相關技術,找到防范安全事故的?案和措施。
對于 DAPP 的整體安全??, 由智能合約的漏洞引發的安全事故依舊是?要值得關注的領域, 但前端和后臺的安全也必須引起?視。 尤其在審計??,對前端和后臺的審計將成為審計的必然選項。
對于存在管理員控制關鍵操作的 DAPP ,必須將管理員權限轉移到多簽錢包或者 DAO 來管理。
閃電貸和對操作權限的驗證是合約開發者時刻要注意的兩??險點。正確合理地處理這兩??險點也是開發者在設計和編碼智能合 約時必須注意的頭等事項。
對于持有基于?作量證明機制(PoW)的區塊鏈加密貨幣的?戶??,必須關注該區塊鏈的整體算??平。如果該區塊鏈系統的算 ?較低,則可能遭遇 51%攻擊,從?影響所持有加密貨幣的價值。
側鏈技術和第?層擴展技術都還處于發展初期, 都還不夠成熟和健壯, 很有可能遭遇安全事故。因此在準備參與或持有相關加密貨 幣之前, ?戶最好仔細審視相關?案的安全性, 以免持有的加密貨幣所依賴的相關?案因安全性?佳導致所持有的加密資產價值受 損。
當和 DAPP 進?交互時, ?戶不僅要關注其智能合約的安全, 也要關注其前端和后臺的安全, 尤其要注意不要輕易點擊可疑的信息 或鏈接。
強烈建議?戶在參與加密貨幣投資及交互之前, 仔細審閱相關項?是否有審計報告, 并仔細閱讀相關的審計報告以便知曉第三?機 構對其安全性的評估。
強烈建議?戶使?冷錢包管理不?于頻繁交易的加密資產。在使?熱錢包時注意使?時周邊的硬件環境和軟件環境的安全性。
對開發團隊身份匿名的項?, ?戶應該提?警惕。?些從未有過業內聲譽的團隊開發和運營的項?可能存在跑路?險。對中?化交 易所?戶要關注其運營團隊的身份和背景,對聲譽較低的團隊運營的中?化交易所要??其跑路?險。
作者:Fairyproof Tech CEO 譚粵飛
美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程(Industrial Engineering) 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc(San Jose, CA, USA) 軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。
參考資料:
Arbitrum Portal, https://portal.arbitrum.one/
Optimism, https://www.optimism.io/
“DeFi 2.0: A beginner's guide to the second generation of DeFi protocols”.
https://cointelegraph.com/defi- 101/defi2-0-a-beginners-guide-to-the-second-generation-of-defi-protocols.
CryptoPunks. https://www.larvalabs.com/cryptopunks
BAYC. https://boredapeyachtclub.com/
Axie Infinity. https://axieinfinity.com/
“Play-To-Earn Gaming Is Driving NFT And Crypto Growth”.
https://www.forbes.com/sites/robertfarrington/2021/12/13/play-to-earn-gaming-is-driving-nft-and-crypto-growth/?sh=7f3afd1dc2dc . December 13, 2021 Morris, David Z. (15 May 2016). "Leaderless, Blockchain-Based Venture Capital Fund Raises $100 Million, And Counting". Fortune. Archived from the original on 21 May 2016. Retrieved 23 May 2016.
Popper, Nathan (21 May 2016). "A Venture Fund With Plenty of Virtual Capital, but No Capitalist". The New York Times. Archived from the original on 22 May 2016. Retrieved 23 May 2016.
"Blockchains: The great chain of being sure about things". The Economist. 31 October 2015. Archived from the original on 3 July 2016. Retrieved 18 June 2016. The technology behind bitcoin lets people who do not know or trust each other build a dependable ledger. This has implications far beyond the crypto currency.
Narayanan, Arvind; Bonneau, Joseph; Felten, Edward; Miller, Andrew; Goldfeder, Steven (2016). Bitcoin and cryptocurrency technologies: a comprehensive introduction. Princeton: Princeton University Press. ISBN 978-0-691- 17169-2.
Blockchain. https://en.wikipedia.org/wiki/Blockchain. January 4, 2022
Stifter N, Judmayer A, Schindler P, et al. What is Meant by Permissionless Blockchains?[J]. IACR Cryptol. ePrint Arch., 2021, 2021: 23 Stifter N, Judmayer A, Schindler P, et al. What is Meant by Permissionless Blockchains?[J]. IACR Cryptol. ePrint Arch., 2021, 2021: 23.
DApp, "CVC Money Transmission Services Provided Through Decentralized Applications (DApps)" (PDF). FinCEN. Retrieved 2019-05-09. dApp, "IEEE DAPPS 2020". ieeedapps.net. Archived from the original on 2020-04-26. Retrieved 2020-08- 15.
Sidechains. https://ethereum.org/en/developers/docs/scaling/sidechains/
Layer-2. https://academy.binance.com/en/glossary/layer-2
Solana. https://solana.com/
ETC. https://ethereumclassic.org/
BSV. https://bitcoinsv.com/
Verge. https://vergecurrency.com/
Firo. https://firo.org/
Polygon. https://polygon.technology/
Liquid Network. https://river.com/learn/terms/l/liquid-network/
Arbitrum One. https://portal.arbitrum.one/
“What Is a 51% Attack?”. https://www.coindesk.com/learn/what-is-a-51-attack/ . October 12, 2021
Denial-of-service attack. https://en.wikipedia.org/wiki/Denial-of-service_attack . January, 2022
Vulcan Forged. https://vulcanforged.com/
Badger DAO. https://app.badger.com/
Farmers World. https://farmersworld.io/
Flash-loans. https://aave.com/flash-loans/
Cream Finance. https://app.cream.finance/
Spartan Protocol. https://spartanprotocol.org/
Yearn Finance. https://yearn.finance/#/home
Indexed Finance. https://indexed.finance/
AutoShark. https://autoshark.finance/
Pancake Bunny. https://pancakebunny.finance/
BurgerSwap. https://burgerswap.org/
BitMEX. https://www.bitmex.com/
Liquid. https://www.liquid.com/
AscendEX. https://ascendex.com/
HitBTC. https://hitbtc.com/zh_CN
Bilaxy. https://bilaxy.com/
Compound Finance. https://compound.finance/
dYdX. https://dydx.exchange/
雖然感覺有無窮無盡的新聞,而且幾乎每個代幣的價格下跌都繼續成為頭條新聞,但我關注的是進入加密貨幣的入口以多快的速度持續增長.
1900/1/1 0:00:00導讀: DAO不是一家擁有指定管理結構的傳統公司,其是通過集體投票進行運作的,持有DAO組織通證就是其“股東”。DAO是由計算機程序的編寫的規則主導,而不是由人主導的組織.
1900/1/1 0:00:00全球鷹派央行加息在即,比特幣后市是釜底抽薪,還是逆勢上揚?這是全球投資者最關心的問題。在這種不確定性影響下,2022年2月的第一周并不平靜.
1900/1/1 0:00:00元宇宙在2021年吸引了許多人的目光。許多公司都紛紛布局相關的業務,當中以Meta公司最為激進。然而近期Meta公司股價的暴跌(將近25%),讓市場對元宇宙概念持懷疑的態度.
1900/1/1 0:00:00GameFi賽道在去年12月后進入冷靜期,市場經過調整,淘汰了一些濫竽充數的投機游戲,Axie這樣的龍頭項目也面臨著用戶增速放緩、玩家收益降低的現狀,整個賽道也正在尋找新的增長點.
1900/1/1 0:00:00自 2018 年成立以來,福布斯“區塊鏈 50 強”已經記錄了全球約 114 家公司對區塊鏈技術的使用情況.
1900/1/1 0:00:00