買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 幣安幣 > Info

DAP:金色薦讀 | 2021區塊鏈生態安全報告_dAppstore

Author:

Time:1900/1/1 0:00:00

概述

2021?年對加密貨幣??真是個熱?朝天的年份。

根據?coinmarketcap.com?的數據顯示,?特幣的價格從年初?1???1??的?28994.01?美元到年尾?12??31?漲到了?46306.45美元,?并在?11???10??創出歷史新??68789.63?美元;以太坊從年初?1???1??的?737.71?美元到年尾?12???31??漲到了?3682.63美元,并?在?11???16??創出歷史新??4891.7?美元。在?特幣和以太坊的帶領下,??coinmarketcap.com?統計的整個加密貨幣市場總市值從年?初?1??1?的7730?億美元到年尾12??31??漲到了22560?億美元。

???市場?情持續?爆,??另???加密貨幣全?業也迎來了爆發式成?。層出不窮的創新和應?顛覆了我們對技術、商業和?化?等的理解和認知:??我們?證了以太坊第?層擴展的爆發,我們從未想到它會來得如此突然;我們?證了?DeFi?2.0對傳統?DeFi?商業模式的顛覆;我們?證了?NFT??躍成為元宇宙?態中身份的標識;我們?證了鏈游?態中崛起的?play-to-earn?模式?......

就像硬幣有兩??樣,?對加密貨幣?業??,???我們看到了其蓬勃發展的?態,?但另??我們也經歷了觸?驚?的安全事故。?2021?年加密貨幣全?業公開報道的安全事故?少有?189?起,?少有?76?億美元的加密資產在這些安全事故中損失。

這些安全事故不僅給加密資產持有者造成了??損失也嚴?影響甚?阻礙了整個加密?業?態的?期發展。

Fairyproof研究團隊研究了公開報道的189?起典型安全事故,??分析了其中的原因并將經驗、教訓進?總結,??匯成了本報告,??期待與?業界同仁及讀者交流,共同促進加密?業的良性發展,保障加密資產的全?安全。

背景知識

在我們深?探討之前,有必要先介紹本報告中會頻繁提及的?些基本概念及術語。

什么是區塊鏈

區塊鏈是?個持續增?的數據集鏈表。這些數據集被稱為區塊。這些區塊通過加密算法前后相互鏈接。這些區塊中除?了第?個區塊??以外,??每個區塊都包含前?個區塊的哈希值、本區塊的時間戳、交易數據等。只要區塊?鏈系統持續正常運作,??這些區塊前后鏈接就會構成?條永遠不斷增?的鏈式結構。通常已經記錄在區塊鏈中的交易和數據是?法回?滾和篡改的。如果要回滾或篡改某個區塊中的交易或數據,??則此區塊后所有區塊的交易和數據都要回滾或篡改,???這在技術上和經?濟上都有相當的難度。

?特幣是區塊鏈技術的第?個應?。它為區塊鏈?態的發展開辟了全新、?限的想象空間。在?特幣之后,??區塊鏈?態開始爆發式?成?,為全?類帶來了全新的視?和?象。

?許可型區塊鏈?VS?許可型區塊鏈

基本上所有現有的區塊鏈系統都可以被分為兩類:???許可型區塊鏈和許可型區塊鏈。

?許可型區塊鏈有時也被稱為公有區塊鏈,??它是?個開放的?絡系統,??任何?都可以作為節點在?需授權的情況下參與其共識的達?成、參與對數據和區塊的驗證。這個?絡中所有的節點相互之間都?需預先建?信任關系。?特幣是第?個?許可型區塊鏈。

許可型區塊鏈是?個封閉的?絡系統,??只有經過授權的節點才可以進??絡參與共識的達成、數據和區塊的驗證等活動。這些節點?通常是某個聯盟的成員、某個組織或公司的部?等。

由于?許可型區塊鏈是個開放的系統,??任何?都可以參與區塊驗證、打包等活動并使?系統,??因此它吸引了全球科技愛好者參與其??態系統的構建和開發。

此外,??在?許可型區塊鏈中,??為了維系系統的?治和運作,??其設計開發者會賦予其?種被稱為是“挖礦”的機制。這種機制會對成功?打包有效區塊的節點進?獎勵,?獎勵通常以加密貨幣的形式發放。在這種機制的激勵下,?來?全球的節點會參與系統的維護和運作。

因此,?許可型區塊鏈?態的成?和發展?分迅猛。

但與此同時,????由于?許可型區塊鏈允許任何節點??檻地加?系統的運作,因此惡意節點也難免加?其中,通過作惡甚?對系統?的攻擊獲取加密貨幣的獎勵。從這個?度審視,???許可型區塊鏈更容易受到?客的攻擊,???客既可以作為惡意節點從系統內部攻擊?也可以以傳統?式從系統外部攻擊。

這些綜合因素的疊加使得?許可型區塊鏈的安全保障和維護相對于許可型區塊鏈??更加復雜、更加困難。

什么是?DAPP

DAPP?是去中?化應?程序????的英?簡稱。這是?種運?在區塊鏈上,由?個或多個智能合約組成核??,包括前端、后臺等構件的應?程序?。??如果承載?個?DAPP?運?的區塊鏈是?許可型區塊鏈,則這個?DAPP?就能在?需?中?化媒介控制和?預的情況下?治地運?。

金色財經挖礦數據播報:ETH今日全網算力下跌1.21%:金色財經報道,據蜘蛛礦池數據顯示:

BTC全網算力151.468EH/s,挖礦難度25.05T,目前區塊高度686183,理論收益0.00000629/T/天。

ETH全網算力596.210TH/s,挖礦難度7512.24T,目前區塊高度12565165,理論收益0.00284417/100MH/天。

BSV全網算力0.694EH/s,挖礦難度0.10T,目前區塊高度690115,理論收益0.00129657/T/天。

BCH全網算力2.514 EH/s,挖礦難度0.36T,目前區塊高度690713,理論收益0.00035806/T/天。[2021/6/4 23:11:05]

這種?DAPP?通常是開源、透明、公開的,任何?都可以?需許可地與其交互。這類?DAPP?的開發者為了吸引盡可能多的?戶使??它并保障?DAPP?的?期開發和維護,會在?DAPP?中加?加密貨幣的發?機制,?發?的加密貨幣獎勵使??DAPP?的?戶和開發團?隊。這種加密貨幣發?機制通常也會成為?客的攻擊?標。

這些特點也使得?DAPP?和?許可型區塊鏈?樣很容易被?客攻擊。

本報告的研究內容

對?許可型區塊鏈、??DAPP?和涉及加密貨幣業務的中?化機構及組織的攻擊或其?身出現的安全事故?泛存在于加密貨幣領域,??并?且?益嚴峻,對這些攻擊和安全事故的探討、研究和防范是加密貨幣領域的焦點,也是我們研究的核?。

對于其中的攻擊事件??,??發起攻擊的?客通常會將攻擊獲取的加密貨幣兌換成錨定法幣??的穩定幣或直接兌換為法?幣離場。

Fairyproof研究團隊對?2021?年發?、經公開報道的典型安全事故進?了系統的統計和總結,在本報告中羅列了相關數據、分析了?事故的成因、并列舉了防范這些事故的可?建議和有效措施。

2021?年安全事故的統計數據及分析

我們研究了媒體公開報道的?2021?年發?的?189?起安全事故,在本章羅列了我們統計的相關數據并分析了這些事故的原因和要點。

基于被攻擊對象對安全事故的分類研究

根據被攻擊對象的不同,我們將?189?起安全事故分為兩類:區塊鏈類安全事故和?DAPP?類安全事故。

區塊鏈類安全事故是指區塊鏈系統遭到來?內部節點或外部?客的攻擊或由于區塊鏈客戶端軟件或節點硬件等事故??使區塊鏈系統?法正常的?作,從?使得攻擊者從中漁利或使得區塊鏈原?加密貨幣持有者受到損失。

DAPP?類安全事故是指?DAPP?受到攻擊或者?DAPP?因?身缺陷?法正常?作,從?使得攻擊者從中漁利或者?DAPP?發?的加密貨?幣持有者受到損失。

在總共?189?起安全事故中,區塊鏈類安全事故數和?DAPP?類安全事故數各?所占的百分?如下圖所示:

如上圖所示,??DAPP?類安全事故數占?超過了?95%,共有?181?起,只有?8?起為區塊鏈類安全事故。

區塊鏈類安全事故

我們深?研究了區塊鏈類安全事故,將其分為三個?類:區塊鏈主?、側鏈和第?層擴展?。

區塊鏈主?也被稱為??lay?1,??它有??獨?的共識機制、驗證節點等。區塊鏈主?的節點可以獨?驗證交易、數據,達成共識,使?區塊鏈獲得最終?致性。?特幣和以太坊就是典型的區塊鏈主?。

側鏈也是單獨的區塊鏈,??但它通常伴隨?條區塊鏈主?平?運作。側鏈也有??的?絡系統、共識機制和驗證節點。它和區塊鏈主??相連,兩者相連的?式有多種,常?的包括雙向錨定??等。

第?層擴展是指依賴區塊鏈主?的協議或?絡系統。第?層擴展?法??取得最終的?致性和安全性,必須依賴區塊鏈主?獲?得。第?層擴展的主要功能和?標是解決區塊鏈主?的性能擴展問題。第?層擴展通常擁有相較于主?更加?效、更低費?的業務?處理能?。?前第?層擴展技術發展得最迅速、最有活?的是依托于以太坊的第?層擴展技術。以太坊的第?層擴展技術和?態在?2021?年取得了??的進展。

側鏈和第?層擴展技術都是為了解決區塊鏈主?的性能問題。這兩者典型的區別在于側鏈可以不依賴于區塊鏈主?獲得安全性和最?終?致性,?第?層擴展則必須依賴區塊鏈主?。

我們統計的?2021?年區塊鏈類安全事故總共有?8?起,??下圖展示了區塊鏈主?、側鏈和第?層擴展各個類別中發?的安全事故數所占比例。

金色晨訊 | 法國財長:需考慮建立公共數字貨幣的做法:1.卡巴斯基:新加密挖掘惡意軟件針對返校學生

2.Facebook再為Libra聘請兩名游說人士

3.行業專家:若美國監管機構提供更多監管透明度,加密貨幣保險市場將以更快的速度增長

4.唐博:可運用區塊鏈構建去中心化的物聯網跨平臺信任協同系統

5.瑞士央行行長:與外匯掛鉤的穩定幣將阻礙瑞士貨幣政策

6.法國財長:需考慮建立公共數字貨幣的做法

7.紐約金融服務部批準Paxos推出與黃金錨定的代幣PAX Gold

8.幣安下月將上線BUSD,其已獲得紐約金融服務局批準

9.中科院專家:利用區塊鏈技術打造“數字圍網”,建設上海自貿試驗區新片區[2019/9/6]

如上圖所示,?區塊鏈主?發?的安全事故占整個區塊鏈類安全事故的?例為?62.5%??,總共有?5起,涉及的區塊鏈主?有Solana、?ETC、BSV、Verge和?Firo;側鏈發?的安全事故總共有?2起,?涉及的側鏈有?Polygon和?LiquidNetwork;??第?層擴展發?的安全事故有?1?起,涉及的第?層擴展系統是?Arbitrum?One.

在?5?個涉及區塊鏈主?的安全事故中,??有?4?起??都是遭到了?51%攻擊,??其根本原因是這些區塊鏈?主?的算?都相對較低,??這使得?客可以?較容易地通過租借算?的?式發動對主?的攻擊。剩下的?起??則是因為主??受到了?DOS?攻擊。

DAPP?類安全事故

我們分析研究了DAPP類安全事故,??進?步將其分為三個?類:??DAPP前端事故、??DAPP后臺事故、?DAPP?合約事故。

DAPP?前端事故主要是?DAPP?中涉及傳統信息技術的客戶端中出現了安全漏洞導致?戶的賬戶信息、個?信息等被盜從?導致?戶?的加密資產被盜或損失。

DAPP?后臺事故主要是?DAPP?中涉及傳統信息技術的服務器端出現安全漏洞導致?DAPP?的后臺服務與鏈上交互過程被劫持從?導致??戶的加密資產被盜或損失。

DAPP?合約事故主要是?DAPP?的智能合約出現安全漏洞導致?戶的加密資產被盜或損失。

?在總共?181?起?DAPP?類安全事故中,這三類安全事故的案例數占?如下圖所示:

如上圖所示,前端安全事故數占?為?8.84%、后臺安全事故數占?為??11.05%、合約安全事故數占?為??80.11%,??三者具體的事故?數分別為16起、??20起和145起。我們進?步研究了這三類安全事故導致的損失?額,得到下?的統計圖:

我們的統計數據顯示前端安全事故造成的損失達?2.8?億美元、后臺安全事故造成的損失達?3.91?億美元、合約安全事故造成的損失?達?69.3億美元;三者的占?分別為?3.68%、??5.14%和91.17%。

盡管前端安全事故導致的損失?額所占的?例并不?,??但其中有不少個案都涉及較?的?額,???如?Vulcan?Forged的事故導致?了1.4?億美元的損失、??BadgerDAO的事故導致了1.2?億美元的損失、??Farmer?World的事故導致了1570?萬美元的損失。

顯然,??合約安全事故是最?的隱患。在合約安全事故中,??我們進?步研究發現出現的典型攻擊包括閃電貸?????、缺?少權限驗證、通證精度計算錯誤、數值溢出、??攻擊、??AMM?算法漏洞、假通證存儲/抵押、雙花、治理攻擊等。

我們統計分析了不同漏洞導致的合約事故的數量,得到下列統計圖:

我們研究了不同原因造成的合約事故所導致的損失?額,得到下列統計圖:

有趣的是,??我們發現盡管由缺少權限驗證導致的安全事故在數量上明顯少于由閃電貸引發的安全事故,??但前者所導致的損失?額則????于后者,兩者所導致的損失?額占?分別為10.48%和?4.45%。

金色相對論 | 鏈播聯合創始人柏曉俊:香港監管的核心是將原有不屬于“證券”或“期貨合約”的金融產品納入監管范圍:本期金色相對論中,美國紐約州與中國律師,鏈播北美聯合創始人柏曉俊表示,香港數字資產監管規定的核心,是將原有可能不屬于“證券”或“期貨合約”的金融產品納入監管的范圍,典型的例子是大家熟悉的實用性代幣(Utility Token)、比特幣、以太幣基金。此項新規,本質上是擴大了金融監管的范圍。擴大監管的邏輯的起點是:(1)是否屬于“證券”或“期貨合約”認定的跨法域性;(2)代幣類金融產品的高風險與高波動性;(3)投資者保護的缺位。[2018/11/8]

2021?年,閃電貸逐漸成為攻擊者常?的?具,??來攻擊DeFi?類DAPP。?些典型的DeFi?類DAPP?如CreamFinance、Spartan?Protocol、YFI、??Indexed??Finance都遭到了閃電貸攻擊。有些甚?多次遭遇閃電貸攻擊,?如?AutoShark被攻擊?三次,??PancakeBunny、??BurgerSwap和CreamFinance都被攻擊兩次。

基于事故原因對安全事故的分類研究

我們基于導致安全事故的發?原因將?189?起安全事故分為了三?類:??由?客攻擊導致、由不當操作導致?和由項??不當?為導致。

我們統計分析了這三類原因導致的安全事故數量,得到下列統計圖:

如上圖所示,??由?客攻擊導致的安全事故數量占?最多,???達?86.24%,??其次是由項??不當?為導致,???占?為?11.11%,最后是由不當操作導致,占?為?2.65%。具體到安全事故數量,三者分別為163起、??21?起和?5?起。

我們研究了這些事故原因造成的損失?額,得到下列統計圖:

如上圖所示,由項??不當?為導致的損失?額占?最?,達?66.18%,???由?客攻擊導致的損失?額占?為?32.72%,由不當操作?導致的損失?額占?為?1.10%。有趣的是盡管由項??不當?為導致的安全事故數遠?于由?客攻擊導致的安全事故數,但在損失??額上,前者遠?于后者。在總計?76?億美元的損失?額中,由項??不當?為導致的損失?額、由?客攻擊導致的損失?額和由?不當操作導致的損失?額分別為?50.3?億美元、??24.9?億美元和8354?萬美元。

由?客攻擊導致的安全事故

我們研究了由?客攻擊導致的安全事故,分析了其中的漏洞種類,得到下列統計圖:

如上圖所示,兩有個被?客利?進?攻擊的漏洞分別是私鑰泄露和缺少權限驗證。這兩者所引發的安全事故數量所占的?例分別為?11.66%和?9.20%?,整體上所占?例并不?

但當我們研究了兩者所導致的損失?額后,?發現了有趣的現象,?得到的統計圖如下所示:

和前?幅統計圖形成相當?反差的是:?由私鑰泄露所導致的損失?額占?和由缺少權限驗證所導致的?額損失占?在總?額中占??不?,兩者分別是?24.93%和?29.2%。

在諸多由私鑰泄露導致的安全事故中,??涉及了?些中?化加密資產交易所,???如?BitMEX損失了?1.5億美元、??Liquid損失了?9100萬美元、??AscendEX損失了7700?萬美元、??HitBtc損失了4000?萬美元、??Bilaxy損失了2170?萬美元。

要指出的是,?在這??節我們所討論的安全事故涉及的被攻擊對象包括智能合約、?DAPP前端和?DAPP后臺。如果我們僅考慮?DAPP?前端和后臺,則私鑰泄露就是最主要的安全隱患。

由項??不當?為導致的安全事故

在?2021?年,由項??不當?為導致的安全事故沖擊了?量?DAPP?,包括?DeFi?類應?和中?化加密資產交易所。

我們統計的由項??不當?為導致的安全事故共有?21?起,其中?2?起是中?化加密資產交易所,??19?起是?DAPP。

我們研究了這些案例,得到下列統計圖:

金色獨家 北郵在線數字經濟研究院執行董事李立中:三個原因導致加密貨幣價格下跌:北郵在線數字經濟研究院執行董事、副院長李立中在接受金色財經采訪時被問及“加密貨幣價格下跌的原因”時他表示,“大概有三點原因:1、隨著區塊鏈技術研究的不斷深入研究,越來越多的國家意識到加密貨幣會帶來嚴重的洗錢問題,開始著手制定發布相關的監管條例。2、近期的公鏈51%攻擊問題凸現,人們開始發現節點數量不代表整個體系的安全質量,交易所的近期被盜事件和操縱事件也產生了市場的恐慌,用戶紛紛提幣到自己的錢包導致流動性下降進而引起價格下跌。3、隨著時間的推移真正做技術的應用場景項目開始浮出水面,使得整個行業開始價值回歸,原來的泡沫開始逐步褪去。”[2018/6/16]

如上圖所示,涉及中?化加密資產交易所的案例數僅占?9.52%,????90.48%都是涉及?DAPP?的案例。

我們進?步研究了這兩類事故的涉案?額,得到下列統計圖:

如上圖所示,??盡管涉及中?化交易所的案例數遠遠?于涉及?DAPP的案例數,??但前者的涉案?額遠?于后者,??前者的涉案?額占??為?97.4%,???后者僅占?2.6%。

由不當操作導致的安全事故

總共有??5??起由不當操作導致的安全事故,所有的案例都發?在??DAPP?,更確切地說都是??DeFi??應?,包括了著名的項?如?Compound?、??dYdX?。?這些安全事故總共造成的損失?額達?8354?萬美元。

研究總結

除了常?的區塊鏈主鏈和側鏈事故,??2021?年出現了新?的發?于第?層擴展系統的安全事故。但這類安全事故的數量仍然少于側?鏈,當然也遠少于主鏈。

我們基于安全事故的涉案受害對象進?研究,發現由?客攻擊導致的事故數量占?接近??90%,由此可??客攻擊仍然整個加密領?域最?的威脅。

DAPP?安全事故所涉及的前端、后臺和智能合約三類中,???論是從案例數量上看還是從涉案?額上看,??智能合約安全漏洞引發的事?故都遠超前端和后臺漏洞引發的事故。從案例數量上看,??智能合約占?為?80.11%,??接著是后臺占?達11.05%,??最后是前端占?達?8.84%?。??從涉案?額上看,智能合約占?為?91.17%,??接著是后臺占?達5.14%,??最后是前端占?達3.68%。

前端安全相對智能合約安全?直以來并不受到加密領域安全業者的關注,但它的漏洞在??2021?年引發了?起涉案?額較?的事故,?其中有兩起每起的涉案?額都超過了?1?億美元,?分別是?VulcanForged和?BadgerDAO,損失?額分別為?1.4?億美元和?1.2?億美元。

在由前端和后臺漏洞引發的安全事故中,私鑰泄露仍然是?2021?年這兩個領域最?的安全隱患。

我們研究了與智能合約相關的安全事故后發現:??由閃電貸導致的攻擊案例數遠超任何其它類別,??位居第?;??由缺少權限驗證導致的

攻擊案例數位居第?;但由后者導致的損失?額則遠?于前者,也?于任何其它類別。

在所有?189?起安全事故中,??盡管由?客攻擊導致的安全事故超過任何其它類別,???如由項??不當?為導致的安全事故,??但后者造?成的損失?額則遠超前者。

在?2021?年,??由項??不當?為導致的安全事故涉及?DAPP?和中?化加密資產交易所。其中?DAPP?的涉案數?遠超中?化加密資產?交易所的涉案數,??但后者的涉案?額卻遠超前者。由此可?,??從涉案?額來看,??中?化加密資產交易所仍然是最?的安全隱患,??這??點對加密資產持有者來說要引起?度關注。

FAIRYPROOF??案示例

基于我們的研究和分析,??我們認為安全領域最?的挑戰來?于三個??:??閃電貸攻擊、缺少權限驗證和項??不當?為。這三類事?故?泛存在于智能合約領域。?它們在某種程度上是可以借助?動化?具鑒別和防范的。

在本章,我們將介紹?Fairyproof針對這三類事故開發的解決?案。

漏洞探查系統

漏洞探查系統的?作流程如下:

金色財經獨家分析 交易所:監管同時應“有效自律”:此前的Upbit事件受到韓國最高金融監管機構的調查,同時韓國100多家交易所實名認證的問題也引起人們注意,在中心化交易所主導的加密貨幣交易情況下,行業自律和監管的問題再受關注。除了監管、調查之外的手段,自律也不可缺少。不過自律流于形式也是目前的一種現象,自律組織,行業協會在日韓興起,不禁讓人覺得向官方示好的成分多于實質性的自律,在政府監管之前自己先做出一種姿態,也表現出日韓交易所對于政策、監管風險的擔憂,也有業內有關人士認為“行業自律”除了在少數一些國家發揮作用之外,大多數不太奏效。交易所要建立信任,實現長久發展,應該主動、高標準地實施向公眾披露AML/KYC等相關舉措。當然,鑒于中心化交易所的本質,無論如何人們還是需要考慮“是否值得信任”的問題,要想真正“去信任化”,需要多中心化交易所、錢包等共同營造良好的生態。[2018/5/14]

步驟1:??掃描源代碼。

步驟??2:??檢查函數的修飾符及可?性,提取函數的?為參數。

步驟??3:??將提取的函數的?為參數與?Fairyproof?標準庫中存儲的函數的標準?為參數進?對?,檢查兩者的差異。

步驟?4:??對每個函數的?為參數及其與標準參數的差異,??對照漏洞庫中的漏洞參數檢查可能存在的系統漏洞。對每個典型漏洞,??系

統將建??個列表,將?為參數可疑的函數加?對應的列表。

步驟?5:??對每?個列表中的每?個函數項,??使?Fairyproof開發的?為曲線擬合算法?,??運?機器學習驗證其是否為潛在?險。

步驟??6:??如果在第?5?步中?個函數的?為被判定為有潛在?險,則該函數將被標記并發送給?程師進?核驗。

步驟?7:???程師將審計核驗第?6?步挑選出的所有函數,判定其是否為?險項。

這套?具和流程極?加快了審計過程的?動化,減少了繁復的??投?,提?了審計效率和正確率。

我們使?這套?具發現了?系列典型的?險,其中就包括可能引發閃電貸攻擊的?險和缺少權限驗證的?險。

下例是我們在審計過程中發現的?個可能被閃電貸攻擊的案例。在代碼截圖中,??getAmountOut()函數從某個去中?化交易所的??個交易對中獲取?reserve?值,并?其計算UBT?的價格。這種計算?式就可能遭遇閃電貸攻擊。

我們發現此問題后,建議項??使?更安全的價格獲取機制來計算相關通證的價格。

下列是我們在審計過程中發現的?個缺少權限驗證的案例。在下例代碼中,??管理員可以通過調??setRate?函數任意設置?rate,??這可?能導致通證交易被搶跑。

下列函數可能被搶跑攻擊。

利?上述?具,這個缺少權限驗證的問題很快就被發現了,對此我們建議項??取消這個函數或對該函數的調?設置權限控制。

通證探查系統

為了?動化監測?個通證合約是否存在潛在?險,??例如是否遵照以太坊通證標準,??我們開發了通證探查系統。該系統的運?過程如?下:

步驟1:??掃描合約源代碼

步驟??2:??根據合約定義的函數、接?、繼承關系等特性解構合約,并?成m!???×??n?矩陣?A,??該矩陣量化此合約的特性。

步驟??3:??搜索數據庫中存儲的標準通證模型如??ERC-20??通證、??ERC-721??通證?、??ERC-1155??通證。這些模型可量化為n?×??m"?、?n?×?m#、??......、??n?×?m$???的矩陣B",?B#,?...B$???。

步驟4:??計算矩陣的點積A?B",?A?B#,?..?.?,A???B$?得到?m!???×??m"?的矩陣C"?、??m!???×??m#?的矩陣C#?、??...??、??m!???×??m$?的矩陣C!?。

步驟??5:??矩陣中的每個元素都表示?個潛在?險點的?險值,如果該值越?則表明該?險點的?險越?。

步驟??6:??Fairyproof?程師將審核檢查這些?險點,并得出最終結論。

基于這套?具及這個?動化流程,我們快速發現了去年?些熱?空投項?的顯著不同點,?如我們發現了?MaskDAO?通證收取“稅?費”的?典型特征,如下所示:

這種?動化?具也幫助我們迅速定位到?些空投通證項?中特殊的處理?式,?如SOS?、??MASK?、??GDO?、??GAS?使?的鏈下處理??式,如下圖所示:

防范安全事故的可??段及建議

在本節,我們將基于對?2021?年安全事故的總結和分析,分別從開發者和?戶的?度羅列?些防范安全事故的可??段及建議。我?們建議開發者和?戶都參照這些建議在?常的開發、維護、運營、交易等?為中??謹慎,做好安全防范?作。

注意:??這?的開發者既包括區塊鏈客戶端應?的開發者,??也包括?DAPP?及所有和加密資產相關的應?的開發者。這?的?戶指所有?參與到加密資產及相關系統運營、操作、交易、持有等活動的參與者。

對開發者的建議

對基于?作量證明機制的?許可型區塊鏈??,防范其被攻擊最好的?式就是發展它的?態系統,激勵更多的節點參與系?統的挖礦,提升系統的整體算?。

2021?年,在所有擴展區塊鏈主?性能的?案中,盡管側鏈發?安全事故的案例數多于第?層擴展,但第?層擴展技術是新興的技?術,??它未來的發展會迅速推進,???態也會?益繁榮,??因此對第?層擴展技術安全性的關注不能掉以輕?。作為開發者??應該未??綢繆,積極深?地研究相關技術,找到防范安全事故的?案和措施。

對于?DAPP?的整體安全??,?由智能合約的漏洞引發的安全事故依舊是?要值得關注的領域,?但前端和后臺的安全也必須引起?視。?尤其在審計??,對前端和后臺的審計將成為審計的必然選項。

對于存在管理員控制關鍵操作的?DAPP?,必須將管理員權限轉移到多簽錢包或者?DAO?來管理。

閃電貸和對操作權限的驗證是合約開發者時刻要注意的兩??險點。正確合理地處理這兩??險點也是開發者在設計和編碼智能合?約時必須注意的頭等事項。

對?戶的建議

對于持有基于?作量證明機制的區塊鏈加密貨幣的?戶??,必須關注該區塊鏈的整體算??平。如果該區塊鏈系統的算??較低,則可能遭遇?51%攻擊,從?影響所持有加密貨幣的價值。

側鏈技術和第?層擴展技術都還處于發展初期,??都還不夠成熟和健壯,??很有可能遭遇安全事故。因此在準備參與或持有相關加密貨?幣之前,???戶最好仔細審視相關?案的安全性,??以免持有的加密貨幣所依賴的相關?案因安全性?佳導致所持有的加密資產價值受?損。

當和?DAPP?進?交互時,???戶不僅要關注其智能合約的安全,??也要關注其前端和后臺的安全,??尤其要注意不要輕易點擊可疑的信息?或鏈接。

強烈建議?戶在參與加密貨幣投資及交互之前,??仔細審閱相關項?是否有審計報告,??并仔細閱讀相關的審計報告以便知曉第三?機?構對其安全性的評估。

強烈建議?戶使?冷錢包管理不?于頻繁交易的加密資產。在使?熱錢包時注意使?時周邊的硬件環境和軟件環境的安全性。

對開發團隊身份匿名的項?,???戶應該提?警惕。?些從未有過業內聲譽的團隊開發和運營的項?可能存在跑路?險。對中?化交?易所?戶要關注其運營團隊的身份和背景,對聲譽較低的團隊運營的中?化交易所要??其跑路?險。

參考資料:

Arbitrum?Portal,?https://portal.arbitrum.one/

Optimism,?https://www.optimism.io/

“DeFi2.0:?A?beginner's?guide?to?the?second?generation?of?DeFi?protocols”.

https://cointelegraph.com/defi-101/defi2-0-a-beginners-guide-to-the-second-generation-of-defi-protocols.

CryptoPunks.https://www.larvalabs.com/cryptopunks

BAYC.?https://boredapeyachtclub.com/

Axie?Infinity.https://axieinfinity.com/

“Play-To-Earn?Gaming?Is?Driving?NFT?And?Crypto?Growth”.?

https://www.forbes.com/sites/robertfarrington/2021/12/13/play-to-earn-gaming-is-driving-nft-and-crypto-growth/?sh=7f3afd1dc2dc?.?December13,?2021???Morris,?David?Z.(15?May?2016)."Leaderless,?Blockchain-Based?Venture?Capital?Fund?Raises?$100?Million,?And?Counting".?Fortune.?Archived?from?the?originalon?21?May?2016.?Retrieved?23?May?2016.

Popper,?Nathan?(21?May?2016)."A?Venture?Fund?With?Plenty?ofVirtualCapital,?butNo?Capitalist".?The?New?York?Times.?Archived?from?the?original?on?22?May?2016.?Retrieved?23?May?2016.

"Blockchains:?The?greatchain?ofbeing?sure?aboutthings".The?Economist.?31?October2015.?Archived?from?the?original?on?3?July?2016.?Retrieved?18?June?2016.The?technology?behind?bitcoin?lets?people?who?do?notknow?or?trust?each?otherbuild?a?dependable?ledger.?This?has?implications?farbeyond?the?crypto?????currency.

Narayanan,?Arvind;?Bonneau,?Joseph;?Felten,?Edward;?Miller,?Andrew;?Goldfeder,?Steven?(2016).?Bitcoin?and?cryptocurrency?technologies:?a?comprehensive?introduction.?Princeton:?Princeton?University?Press.?ISBN?978-0-691-17169-2.

Blockchain.https://en.wikipedia.org/wiki/Blockchain.?January?4,?2022

Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23?Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23.

DApp,"CVC?Money?Transmission?Services?Provided?Through?Decentralized?Applications?(DApps)"(PDF).?FinCEN.?Retrieved?2019-05-09.?dApp,"IEEE?DAPPS?2020".ieeedapps.net.Archived?from?the?original?on?2020-04-26.?Retrieved?2020-08-15.

Sidechains.https://ethereum.org/en/developers/docs/scaling/sidechains/

Layer-2.https://academy.binance.com/en/glossary/layer-2

Solana.?https://solana.com/

ETC.https://ethereumclassic.org/

BSV.https://bitcoinsv.com/

Verge.https://vergecurrency.com/

Firo.?https://firo.org/

Polygon.https://polygon.technology/

Liquid?Network.https://river.com/learn/terms/l/liquid-network/

Arbitrum?One.?https://portal.arbitrum.one/

“WhatIs?a?51%?Attack?”.https://www.coindesk.com/learn/what-is-a-51-attack/?.?October12,?2021

Denial-of-service?attack.https://en.wikipedia.org/wiki/Denial-of-service_attack?.?January,?2022

Vulcan?Forged.?https://vulcanforged.com/

BadgerDAO.?https://app.badger.com/

Farmers?World.?https://farmersworld.io/

Flash-loans.https://aave.com/flash-loans/

Cream?Finance.https://app.cream.finance/

Spartan?Protocol.?https://spartanprotocol.org/

Yearn?Finance.https://yearn.finance/#/home

Indexed?Finance.https://indexed.finance/

AutoShark.?https://autoshark.finance/

Pancake?Bunny.https://pancakebunny.finance/

BurgerSwap.?https://burgerswap.org/

BitMEX.?https://www.bitmex.com/

Liquid.?https://www.liquid.com/

AscendEX.?https://ascendex.com/

HitBTC.https://hitbtc.com/zh_CN

Bilaxy.https://bilaxy.com/

Compound?Finance.https://compound.finance/

dYdX.https://dydx.exchange/

Tags:區塊鏈APPDAPDAPP區塊鏈的未來發展前景MathWallet麥子錢包appDaps CoindAppstore

幣安幣
元宇宙:看區塊鏈技術如何在2022北京冬奧會中大展身手_AZU

奮進的中國再度點燃激情與夢想的圣火,翹首以待的2022年北京冬奧會正在火熱舉行中。無論是充滿創意、古典與現代相結合的開幕式,還是運動員在賽事上的精湛技巧和奧運精神的展現,都為我們帶來一場場冰雪視.

1900/1/1 0:00:00
DOS:金色觀察|交易所與傳統巨頭布局NFT交易平臺 誰更有優勢?_區塊鏈

熱潮涌動,出圈的NFT玩兒法也越來越“野”。前有周杰倫等眾多明星藝人,后有冰墩墩等冬奧新寵,各路頂流都在進軍NFT。然而,盡管更多人聽說過NFT,但大多數人仍然沒有擁有它們.

1900/1/1 0:00:00
NFT:上市數字人民幣技術服務商發展報告_數字人民幣怎么用微信支付

隨著北京冬奧會的開幕,數字人民幣也進入了新的發展階段,試點場景進一步拓展,試點規模進一步擴大。作為數字經濟時代的金融基礎設施,數字人民幣的推進為產業鏈上的商業銀行、支付機構、場景方以及技術服務商.

1900/1/1 0:00:00
加密貨幣:跨國界、避審查 加密貨幣在俄烏危機籌款中扮“重要角色”_加密貨幣和中國數字貨幣

近日,隨著俄烏邊境緊張局勢持續升級,有數據顯示,烏克蘭的非政府組織和志愿者團體正利用比特幣捐款眾籌資金以加強本國的武裝力量.

1900/1/1 0:00:00
MET:Metis和Boba:2022年Layer 2戰爭的新勢力_ETI

幾乎所有的高性能公鏈在描繪前景時,有一個屢試不爽的方式,就是渲染以太坊的昂貴且低效。以太坊生態擁有最多開發者和資金量,沒有理由會就此衰落,但我們看到ETH2.0遙遙無期,當下最好的擴容解決方案就.

1900/1/1 0:00:00
COI:熊市Stablecoin理財梳理:哪里可以獲得高收益?_COIN

DeFi在過去兩年里已經有了長足的發展。現在,即使是在市場行情不好時,很多人也不會完全退出加密市場,而是選擇持有Stablecoin.

1900/1/1 0:00:00
ads