歐易程序員1024獻禮：鏈上安全手冊_KEX

安全功能組成，例如密碼學、軟件中介合同和身份控制。該技術通過啟用分布式方式來驗證訪問、驗證交易記錄和維護隱私，從而提供顯著水平的數據保護和完整性。

然而，盡管有這些安全性增強，區塊鏈市場仍然充斥著安全問題。基于區塊鏈的攻擊來自外部參與者以及內部人員。其中許多黑客使用了常見的策略，例如網絡釣魚、社會工程、攻擊傳輸中的數據或針對編碼錯誤。新技術伴隨著新的開發工具和方法，區塊鏈也不例外。一種新的網絡威脅正在出現，涉及區塊鏈網絡獨有的策略。其中包括：51%的攻擊、加密劫持、閃電貸攻擊、rugpull等

人為風險

人為風險是除技術外的一類因素，端點漏洞也是惡意行為者的入口點，例如設備、應用程序、錢包或第三方供應商級別的漏洞。員工和供應商人員也是目標。并非所有的區塊鏈都是平等的，在市場討論中經常被忽視的是，區塊鏈架構存在很大差異，尤其是在涉及不同結構和組件如何引入安全權衡時。隨著區塊鏈的組件、算法和用途不斷發展，攻擊策略和威脅緩解技術也將不斷發展。

缺乏監管

缺乏監管，智能合約不能替代合規性——它們不具有法律約束力。從洗錢到假冒，從隱私到詐騙，不明確的監管環境會減緩采用速度，并使網絡犯罪分子猖獗。

邏輯漏洞

邏輯漏洞是指由于程序邏輯不嚴導致一些邏輯分支處理錯誤造成的漏洞。

在實際開發中，因為開發者水平不一沒有安全意識，而且業務發展迅速內部測試沒有及時到位，所以常常會出現類似的漏洞。

代碼漏洞

歐易OKEx將于7月1日00:00暫停THETA和FIL充提:官方消息，由于THETA、FIL主網升級 ，歐易OKEx將于2021年7月1日00:00 暫停THETA和FIL的充提。[2021/6/30 0:16:26]

這是指代碼中的一個缺陷，它會產生損害安全性的潛在風險。此漏洞將允許黑客通過附加端點來提取數據、篡改合約或更糟的是擦除所有內容，從而利用代碼。

風險分級

致命：存在致命風險及隱患，需要立即解決

高風險：存在高危風險及隱患，將引發相同問題，必須解決

中風險：存在中度風險及隱患，可能導致潛在風險，最終仍然需要解決

低風險：存在低風險及隱患，指各類處理不當或會引發警告信息的細節，這類問題可暫時擱置

建議：存在可優化的部分，這類問題可以擱置，但建議最終解決

分級標準

定級主要依據漏洞的危害程度、利用難度，輔以其他因素綜合判定，其中：危害程度主要根據機密性影響(C)、完整性影響(I)、可用性影響(A)三個維度定義；利用難度主要根據攻擊向量(AV)、攻擊復雜度(AC)、認證(Au)三個維度定義。

風險種類個數

重入攻擊

注入攻擊

權限繞過

Mempool搶跑

回滾

條件競爭

循環耗盡gas費

閃電貸高影響

歐易OKEx今日BTC期權持倉總量6409.4 BTC，看漲/看跌交易總量比0.13:據歐易OKEx期權大數據顯示，今日比特幣期權持倉總量為6409.4BTC。比特幣看漲/看跌持倉總量比為1.78，看漲/看跌交易總量比為0.13。

據了解，OKEx近期對期權簡選功能進行了優化升級，可根據不同到期日，為用戶提供不同虛值程度的執行價格推薦。同時，在期權簡選頁面中補充了直接下單完成交易的功能，無需其他跳轉操作。[2021/5/20 22:22:37]

經濟模型不合理

可預見的隨機數

投票權管理混亂

數據隱私泄露

鏈上時間使用不當

fallback函數編碼不當

鑒權不當

opcode使用不當

內聯匯編使用不當

構造函數不規范

返回值不規范

event不規范

關鍵字使用不規范

未遵循ERC標準

條件判斷不規范

流動性枯竭風險

中心化風險

邏輯變更風險

整數溢出

函數可見性不當

變量初始化不當

合約間調用不當

變量不規范

重放攻擊

隨機存儲位置寫入

歐易OKEx將于16:00開放THETA充提:歐易OKEx官方發布公告稱，已完成THETA主網升級，將于3月11日16:00開放THETA的充提。[2021/3/11 18:35:53]

蜜罐邏輯

哈希碰撞

使用不推薦的方法

未遵循基本編碼原則

第三方依賴風險

領獎邏輯不當

編碼不規范

應急機制缺失

代碼邏輯問題

計算精度丟失

無意義的合約

已棄用的合約

精度不匹配

代理使用不規范

資產安全

外部函數調用不當

多次初始化風險

未判斷返回值

賬戶缺少簽名者檢查

缺少賬戶可寫檢查

程序邏輯缺陷

Hash算法使用不當

WriteFile權限過高

業務邏輯存在為題

過時的外部依賴

循環耗盡gas

條件判斷不規范

中心化風險

未遵循基本的編碼原則

業務邏輯存在問題

每個種類風險的描述

循環耗盡gas：在以太坊區塊鏈中，不能將交易設置為永久運行。交易可以運行直到達到gas限制。一旦發生這種情況，交易將出錯，并且將返回“outofgas”錯誤。

STX上線歐易OKEx后，較開盤價漲幅超過2099%:據歐易OKEx數據顯示，STX于香港時間2021年3月4日上線歐易OKEx后，較開盤價漲幅超過2099%，現報價11.67USDT。

據悉，歐易OKEx聯合Stacks舉辦了“充值、掛單挖礦，瓜分100%交易手續費及20,000 USDT獎池”活動。在3月4日15:00-3月11日15:00活動期間，新老用戶參與STX充值挖礦可瓜分2萬USDT大獎，此外參與STX/USDT掛單挖礦就有機會瓜分100%手續費獎池。[2021/3/4 18:15:50]

條件判斷不規范：智能合約代碼中進行條件判斷不規范，缺失必要檢查。

中心化風險：智能合約部分函數接口權限由單一私鑰控制，具有中心化風險。

未遵循基本的編碼原則：沒有遵循基本的編碼原則，如變量命名錯誤等。

業務邏輯存在的問題：業務邏輯考慮不完善，比如退款情況考慮不周。

案例1

北京時間2022年8月2日凌晨，NomadBridge遭受攻擊，導致價值約1.9億美元的損失。

OKLink鏈上衛士追蹤顯示，NomadBridge攻擊事件共涉及1251個ETH地址，涉及14個幣種，涉案金額約1.9億美金；其中包含12個ENS地址，ENS地址涉案金額超6980萬美金，約占總金額的38%；在利用漏洞獲利后，直接進行交易的地址數達739個，占比近60%。但值得注意的是并不是所有地址都是惡意攻擊，已知已有白帽駭客公開表態愿意歸還資金，OKLink已對剩余的地址進行了監控，后期若發生異動，會通過微博、推特向用戶同步。

歐易OKEx上線Stacks 將于今日18:00開放交易:3月4日，歐易OKEx官方公告宣布上線Stacks (STX)，現已開放充值，STX /USDT、STX/BTC市場將于今日18:00開放交易，并于3月5日18:00開放STX提現。

據悉，歐易OKEx聯合Stacks舉辦了“充值、掛單挖礦，瓜分100%交易手續費及20,000 USDT獎池”活動。在3月4日15:00-3月11日15:00活動期間，新老用戶參與STX充值挖礦可瓜分2萬USDT大獎，此外參與STX/USDT掛單挖礦就有機會瓜分100%手續費獎池。

公開資料顯示，Stacks試圖為一種新型的去中心化互聯網賦能，這種互聯網可以使用戶更好地控制其數據，它具有諸如“內置隱私”之類的屬性，其中默認情況下對Stacks應用程序中的數據（例如照片，消息，健康記錄）進行加密。[2021/3/4 18:14:41]

案例分析

對Replica合約的process函數進行分析，在require(acceptableRoot(messages),“!proven”);這個判斷條件中，messages的值需要經過acceptableRoot函數的邏輯檢驗，返回值為true才能繼續往下執行。

注意到acceptableRoot函數中，傳入的_root參數，在confirmAt大于0且小于等于block.timestamp的情況下，就會返回true。

那么該漏洞的核心就在對confirmAt這個mapping賦值的過程。從initialize函數輸入參數可以看到，_committedRoot使用了0x00。一般情況使用0值做初始化參數沒有問題，但是在Nomad的這個場景下，就導致了任意message都能通過檢測的安全漏洞。

鏈上衛士分析師建議在initialize函數中也進行嚴格的安全檢查和判斷。

BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB，價值約5.66億美元。

案例分析

BSCTokenHub是BNB信標鏈和BNB鏈之間的跨鏈橋。BNB鏈使用預編譯合約0x65驗證BNB信標鏈提交的IAVL的Proof，但BNB鏈對提交的Proof邊界情況處理不足，它僅考慮了Proof只有一個Leaf的場景，對多個Leaves的處理邏輯不夠嚴謹。黑客構造了一個包含多Leaves的Proof數據，繞過BNBChain上的校驗，從而在BNB鏈造成了BNB增發。

貨幣或區塊鏈交互的智能合約代碼的綜合過程。執行此過程是為了發現代碼中的錯誤、問題和安全漏洞，以便糾正和修復它們。它可以保護代碼免受未來潛在錯誤的影響。

OKLinkAudit采用靜態掃碼和人工驗證相結合的審計方式，從根源處檢查項目，確保項目安全。審計團隊還擁有嚴格的漏洞評級標準，對每個漏洞設置三個級別的評分，分別是基礎評分、時間評分和環境評分，確保審計結果的準確、專業。當然，專家團隊也會提供針對性的修改建議，提升項目的安全性、隱私性及可用性。目前參與審計的項目涵蓋公鏈、DeFi、L2、穩定幣、錢包、NFT等多個板塊。

2021年，因黑客攻擊、漏洞利用和欺詐造成的損失達到13億美元。

2022年第一季度，攻擊型安全事件造成的損失高達約12億美元，比去年同期的1.3億美元增長了約9倍。它也高于2021年任何一個季度的損失金額。

在被攻擊的項目中，70%由第三方審計機構審計。然而，在剩下的30%未經審計的項目中，因攻擊而遭受的損失占總損失額的60%以上。

Slither

Slither是第一個開源的針對Solidity語言的靜態分析框架。Slither速度非常快，準確性也非常高，它能夠在不需要用戶交互的情況下，在幾秒鐘之內找到真正的漏洞。該工具高度可配置，并且提供了多種API來幫助研究人員審計和分析Solidity代碼。

Slither在檢測智能合約漏洞時，其功能優于其他靜態分析工具，在速度、檢測準確性方面都有著先天優勢。Slither包含了一整套針對Solidity的專用靜態分析工具，它可以用來檢測可重用性、構造函數和方法訪問等編碼中的常見錯誤。

Mythril

Mythril是以太坊的官方合約漏洞檢測工具，可以檢測大量的智能合約安全問題，如整數溢出，任意地址寫入，時間戳依賴等14種漏洞檢測工具。可以發現常規漏洞，但是無法發現一個合約的業務邏輯問題，主要思想是利用符號執行去探索所有可能的不安全的路徑。

Mythril集成了符號執行、控制流檢查、污點分析等技術，并支持自定義漏洞檢測邏輯來對智能合約進行分析，同時，Mythril由于可以通過多次符號執行來模擬現實區塊鏈和智能合約被多次調用的情況，但是對于某些漏洞如重入、拒絕服務攻擊的誤報率比較高，也無法檢測出一些常規邏輯錯誤。并且由于Mythril由于存在著多次符號執行，要探索的路徑數量更多，也帶來了較大的時間和空間開銷。

風險判斷及檢測工具

1.TokenScanner

TokenScanner是OKLinkAudit第一個對外推出的產品，目前有B端API產品，以及C端頁面產品，也在和一些區塊鏈錢包團隊接洽幫助進行進行整套安全加固方案的建設。

目前API產品里面支持了9條EVM鏈的風險代幣檢測能力：POLY,OP,ARB,FTM,AVAX,OKC,TRON，頁面上支持了ETH和BSC，其他鏈正在開發中，年底之前頁面上會支持全部9條鏈的風險檢測項，通過代幣檢測能力，我們檢測了3,534,306代幣，通過我們的風險掃描，確定了106,474個風險代幣。

2.ArgusEye

結合OKLink的底層大數據能力與標簽能力，針對這些數據信息我們對風險事件中的事發地址和上下游地址進行破解與規律性總結，搭建了一套可疑地址和風險交易的實時發現、跟蹤分析及響應處置的機制。也會針對可能的安全事件做安全播報

DEX中的流動性，以及鏈上代幣持有者信息，我們擁有4部分檢測能力。

2.基于OKLink大數據能力，我們自研一套代幣打分規則對代幣進行打分，10分以下是極高風險代幣包括有貔貅盤代幣和rugpull代幣，是高危預警建議用戶不要購買，10-40是高風險，建議用戶也不要持有該代幣，40-80是中風險，80-100是低風險，用戶可以自行斟酌購買。

3.代幣分類器，對于特殊實現標準的代幣通過分類器進行展示，類似于ERC677和777與某些DEX協議不兼容，可能會導致用戶無法正常買入賣出，以及有rebase機制的代幣，代幣流通量會跟隨幣價動態變化，也就可能會導致用戶發現自己錢包里面的代幣突然減少了或是增多了。我們從用戶視角出發設置的代幣分類器幫助小白用戶快速理解代幣潛在風險。

Tags：KEXokexTHE區塊鏈okex幣官網okex幣幣交易手續費See The World Though Cars區塊鏈技術通俗講解簡書

歐易交易所app下載