2021区块链生态安全报告

金色财经 view 9807 2022-2-9 15:00
share to
Scan QR code with WeChat

概述

2021 年对加密货币⽽⾔真是个热⽕朝天的年份。

根据 coinmarketcap.com 的数据显示,⽐特币的价格从年初 1 ⽉ 1 ⽇的 28994.01 美元到年尾 12 ⽉ 31 ⽇涨到了 46306.45 美元, 并在 11 ⽉ 10 ⽇创出历史新⾼ 68789.63 美元;以太坊从年初 1 ⽉ 1 ⽇的 737.71 美元到年尾 12 ⽉ 31 ⽇涨到了 3682.63 美元,并 在 11 ⽉ 16 ⽇创出历史新⾼ 4891.7 美元。在⽐特币和以太坊的带领下,  coinmarketcap.com 统计的整个加密货币市场总市值从年 初 1 ⽉ 1 ⽇的 7730 亿美元到年尾 12 ⽉ 31 ⽇涨到了 22560 亿美元。

⼀⽅⾯市场⾏情持续⽕爆,  另⼀⽅⾯加密货币全⾏业也迎来了爆发式成⻓。层出不穷的创新和应⽤颠覆了我们对技术、商业和⽂化 等的理解和认知:  我们⻅证了以太坊第⼆层扩展的爆发[1][2],我们从未想到它会来得如此突然;我们⻅证了 DeFi 2.0 对传统 DeFi 商业模式的颠覆[3];我们⻅证了 NFT ⼀跃成为元宇宙⽣态中身份的标识[4][5];我们⻅证了链游⽣态中崛起的 play-to-earn 模式 [6][7]......

就像硬币有两⾯⼀样, 对加密货币⾏业⽽⾔, ⼀⾯我们看到了其蓬勃发展的⽣态, 但另⼀⾯我们也经历了触⽬惊⼼的安全事故。 2021 年加密货币全⾏业公开报道的安全事故⾄少有 189 起,⾄少有 76 亿美元的加密资产在这些安全事故中损失。

这些安全事故不仅给加密资产持有者造成了⃞⃞损失也严⃞影响甚⃞阻碍了整个加密⃞业⃞态的⃞期发展。

Fairyproof 研究团队研究了公开报道的189 起典型安全事故,  分析了其中的原因并将经验、教训进⾏总结,  汇成了本报告,  期待与 业界同仁及读者交流,共同促进加密⾏业的良性发展,保障加密资产的全⾯安全。

背景知识

在我们深⼊探讨之前,有必要先介绍本报告中会频繁提及的⼀些基本概念及术语。

什么是区块链

区块链是⼀个持续增⻓的数据集链表。这些数据集被称为区块。这些区块通过加密算法前后相互链接[8][9][10][11]。这些区块中除 了第⼀个区块(也被称为“创世区块”)  以外,  每个区块都包含前⼀个区块的哈希值、本区块的时间戳、交易数据等[12]。只要区块 链系统持续正常运作,  这些区块前后链接就会构成⼀条永远不断增⻓的链式结构。通常已经记录在区块链中的交易和数据是⽆法回 滚和篡改的。如果要回滚或篡改某个区块中的交易或数据,  则此区块后所有区块的交易和数据都要回滚或篡改,  ⽽这在技术上和经 济上都有相当的难度。

⽐特币是区块链技术的第⼀个应⽤。它为区块链⽣态的发展开辟了全新、⽆限的想象空间。在⽐特币之后,  区块链⽣态开始爆发式 成⃞,为全⃞类带来了全新的视⃞和⃞象。

⽆许可型区块链 VS 许可型区块链

基本上所有现有的区块链系统都可以被分为两类:  ⽆许可型区块链(permissionless blockchain)和许可型区块链(permissioned blockchain)。

⽆许可型区块链有时也被称为公有区块链,  它是⼀个开放的⽹络系统,  任何⼈都可以作为节点在⽆需授权的情况下参与其共识的达 成、参与对数据和区块的验证[13]。这个⽹络中所有的节点相互之间都⽆需预先建⽴信任关系。⽐特币是第⼀个⽆许可型区块链。

许可型区块链是⼀个封闭的⽹络系统,  只有经过授权的节点才可以进⼊⽹络参与共识的达成、数据和区块的验证等活动。这些节点 通常是某个联盟的成员、某个组织或公司的部⻔等。

由于⽆许可型区块链是个开放的系统,  任何⼈都可以参与区块验证、打包等活动并使⽤系统,  因此它吸引了全球科技爱好者参与其 ⽣态系统的构建和开发。

此外,  在⽆许可型区块链中,  为了维系系统的⾃治和运作,  其设计开发者会赋予其⼀种被称为是“挖矿”的机制。这种机制会对成功 打包有效区块的节点进⾏奖励, 奖励通常以加密货币的形式发放。在这种机制的激励下, 来⾃全球的节点会参与系统的维护和运作。

因此,⽆许可型区块链⽣态的成⻓和发展⼗分迅猛。

但与此同时,    由于⽆许可型区块链允许任何节点⽆⻔槛地加⼊系统的运作,因此恶意节点也难免加⼊其中,通过作恶甚⾄对系统 的攻击获取加密货币的奖励。从这个⻆度审视,  ⽆许可型区块链更容易受到⿊客的攻击,  ⿊客既可以作为恶意节点从系统内部攻击 也可以以传统⽅式从系统外部攻击。

这些综合因素的叠加使得⽆许可型区块链的安全保障和维护相对于许可型区块链⽽⾔更加复杂、更加困难。

什么是 DAPP

DAPP 是去中⼼化应⽤程序  (decentralized application)  的英⽂简称。这是⼀种运⾏在区块链上,由⼀个或多个智能合约组成核 ⼼,包括前端、后台等构件的应⽤程序[15][16] 。  如果承载⼀个 DAPP 运⾏的区块链是⽆许可型区块链,则这个 DAPP 就能在⽆需 中⼼化媒介控制和⼲预的情况下⾃治地运⾏。

这种 DAPP 通常是开源、透明、公开的,任何⼈都可以⽆需许可地与其交互。这类 DAPP 的开发者为了吸引尽可能多的⽤户使⽤ 它并保障 DAPP 的⻓期开发和维护,会在 DAPP 中加⼊加密货币的发⾏机制,⽤发⾏的加密货币奖励使⽤ DAPP 的⽤户和开发团 队。这种加密货币发⾏机制通常也会成为⿊客的攻击⽬标。

这些特点也使得 DAPP 和⽆许可型区块链⼀样很容易被⿊客攻击。

本报告的研究内容

对⽆许可型区块链、  DAPP 和涉及加密货币业务的中⼼化机构及组织的攻击或其⾃身出现的安全事故⼴泛存在于加密货币领域,  并 且⽇益严峻,对这些攻击和安全事故的探讨、研究和防范是加密货币领域的焦点,也是我们研究的核⼼。

对于其中的攻击事件⽽⾔,  发起攻击的⿊客通常会将攻击获取的加密货币兑换成锚定法币(通常是美元)  的稳定币或直接兑换为法 币离场。

Fairyproof 研究团队对 2021 年发⽣、经公开报道的典型安全事故进⾏了系统的统计和总结,在本报告中罗列了相关数据、分析了 事故的成因、并列举了防范这些事故的可⾏建议和有效措施。

2021 年安全事故的统计数据及分析

我们研究了媒体公开报道的 2021 年发⽣的 189 起安全事故,在本章罗列了我们统计的相关数据并分析了这些事故的原因和要点。

基于被攻击对象对安全事故的分类研究

根据被攻击对象的不同,我们将 189 起安全事故分为两类:区块链类安全事故和 DAPP 类安全事故。

区块链(blockchain)类安全事故是指区块链系统遭到来⾃内部节点或外部⿊客的攻击或由于区块链客户端软件或节点硬件等事故 ⽽使区块链系统⽆法正常的⼯作,从⽽使得攻击者从中渔利或使得区块链原⽣加密货币持有者受到损失。

DAPP 类安全事故是指 DAPP 受到攻击或者 DAPP 因⾃身缺陷⽆法正常⼯作,从⽽使得攻击者从中渔利或者 DAPP 发⾏的加密货 币持有者受到损失。

在总共 189 起安全事故中,区块链类安全事故数和 DAPP 类安全事故数各⾃所占的百分⽐如下图所示:

2021区块链生态安全报告

如上图所示,  DAPP 类安全事故数占⽐超过了 95%,共有 181 起,只有 8 起为区块链类安全事故。

区块链类安全事故

我们深⼊研究了区块链类安全事故,将其分为三个⼦类:区块链主⽹(blockchain  mainnet)、侧链(sidechain)和第⼆层扩展 (layer 2 solution)。

区块链主⽹也被称为  lay 1,  它有⾃⼰独⽴的共识机制、验证节点等。区块链主⽹的节点可以独⽴验证交易、数据,达成共识,使 区块链获得最终⼀致性。⽐特币和以太坊就是典型的区块链主⽹。

侧链也是单独的区块链,  但它通常伴随⼀条区块链主⽹平⾏运作。侧链也有⾃⼰的⽹络系统、共识机制和验证节点。它和区块链主 ⽹相连,两者相连的⽅式有多种,常⻅的包括双向锚定(two-way peg)  [17]等。

第⼆层扩展是指依赖区块链主⽹的协议或⽹络系统[18]。第⼆层扩展⽆法⾃⼰取得最终的⼀致性和安全性,必须依赖区块链主⽹获 得。第⼆层扩展的主要功能和⽬标是解决区块链主⽹的性能扩展问题。第⼆层扩展通常拥有相较于主⽹更加⾼效、更低费⽤的业务 处理能⼒。⽬前第⼆层扩展技术发展得最迅速、最有活⼒的是依托于以太坊的第⼆层扩展技术。以太坊的第⼆层扩展技术和⽣态在 2021 年取得了⻓⾜的进展。

侧链和第⼆层扩展技术都是为了解决区块链主⽹的性能问题。这两者典型的区别在于侧链可以不依赖于区块链主⽹获得安全性和最 终⼀致性,⽽第⼆层扩展则必须依赖区块链主⽹。

我们统计的 2021 年区块链类安全事故总共有 8 起,  下图展示了区块链主⽹、侧链和第⼆层扩展各个类别中发⽣的安全事故数所占比例。

2021区块链生态安全报告

如上图所示, 区块链主⽹发⽣的安全事故占整个区块链类安全事故的⽐例为 62.5%  ,总共有 5 起,涉及的区块链主⽹有 Solana[19]、 ETC[20]、BSV[21]、Verge[22]和 Firo[23];侧链发⽣的安全事故总共有 2 起, 涉及的侧链有 Polygon[24]和 Liquid Network[25];  第⼆层扩展发⽣的安全事故有 1 起,涉及的第⼆层扩展系统是 Arbitrum One[26].

在 5 个涉及区块链主⽹的安全事故中,  有 4 起(ETC 、BSV 、Verge 和 Firo)  都是遭到了 51%攻击[27],  其根本原因是这些区块链 主⽹的算⼒都相对较低,  这使得⿊客可以⽐较容易地通过租借算⼒的⽅式发动对主⽹的攻击。剩下的⼀起(Solana)  则是因为主⽹ 受到了 DOS 攻击[28]。

2021区块链生态安全报告

DAPP 类安全事故

我们分析研究了 DAPP 类安全事故,  进⼀步将其分为三个⼦类:  DAPP 前端事故(front-end)、  DAPP 后台事故(server side)、 DAPP 合约事故(smart contract)。

DAPP 前端事故主要是 DAPP 中涉及传统信息技术的客户端中出现了安全漏洞导致⽤户的账户信息、个⼈信息等被盗从⽽导致⽤户 的加密资产被盗或损失。

DAPP 后台事故主要是 DAPP 中涉及传统信息技术的服务器端出现安全漏洞导致 DAPP 的后台服务与链上交互过程被劫持从⽽导致 ⽤户的加密资产被盗或损失。

DAPP 合约事故主要是 DAPP 的智能合约出现安全漏洞导致⽤户的加密资产被盗或损失。

 在总共 181 起 DAPP 类安全事故中,这三类安全事故的案例数占⽐如下图所示:

2021区块链生态安全报告

如上图所示,前端安全事故数占⽐为 8.84%、后台安全事故数占⽐为  11.05%、合约安全事故数占⽐为  80.11%,  三者具体的事故 数分别为 16 起、  20 起和 145 起。我们进⼀步研究了这三类安全事故导致的损失⾦额,得到下⾯的统计图:

2021区块链生态安全报告

我们的统计数据显示前端安全事故造成的损失达 2.8 亿美元、后台安全事故造成的损失达 3.91 亿美元、合约安全事故造成的损失 达 69.3 亿美元;三者的占⽐分别为 3.68% 、  5.14%和 91.17%。

尽管前端安全事故导致的损失⾦额所占的⽐例并不⾼,  但其中有不少个案都涉及较⼤的⾦额,  ⽐如 Vulcan Forged[29]的事故导致 了 1.4 亿美元的损失、  BadgerDAO[30]的事故导致了 1.2 亿美元的损失、  Farmer World[31]的事故导致了 1570 万美元的损失。

显然,  合约安全事故是最⼤的隐患。在合约安全事故中,  我们进⼀步研究发现出现的典型攻击包括闪电贷  (  flashloans)  [32] 、缺 少权限验证、通证精度计算错误、数值溢出、⃞⃞攻击、  AMM 算法漏洞、假通证存储/抵押、双花、治理攻击等。

我们统计分析了不同漏洞导致的合约事故的数量,得到下列统计图:

2021区块链生态安全报告

我们研究了不同原因造成的合约事故所导致的损失⾦额,得到下列统计图:

2021区块链生态安全报告

有趣的是,  我们发现尽管由缺少权限验证导致的安全事故在数量上明显少于由闪电贷引发的安全事故,  但前者所导致的损失⾦额则 ⼤⼤⾼于后者,两者所导致的损失⾦额占⽐分别为10.48%和 4.45%。

2021 年,闪电贷逐渐成为攻击者常⽤的⼯具, ⽤来攻击 DeFi 类 DAPP。⼀些典型的 DeFi 类 DAPP 如 Cream Finance[33]、Spartan Protocol[34] 、YFI[35] 、  Indexed  Finance[36]都遭到了闪电贷攻击。有些甚⾄多次遭遇闪电贷攻击,⽐如 AutoShark[37]被攻击 三次,  Pancake Bunny[38] 、  BurgerSwap[39]和 Cream Finance 都被攻击两次。

基于事故原因对安全事故的分类研究

我们基于导致安全事故的发⽣原因将 189 起安全事故分为了三⼤类:  由⿊客攻击导致(attacksfrom hackers)、由不当操作导致 (improper operations)和由项⽬⽅不当⾏为导致(rug-pulls)。

我们统计分析了这三类原因导致的安全事故数量,得到下列统计图:

2021区块链生态安全报告

如上图所示,  由⿊客攻击导致的安全事故数量占⽐最多,  ⾼达 86.24%,  其次是由项⽬⽅不当⾏为导致,   占⽐为 11.11%,最后是由 不当操作导致,占⽐为 2.65%。具体到安全事故数量,三者分别为163 起、  21 起和 5 起。

我们研究了这些事故原因造成的损失⾦额,得到下列统计图:

2021区块链生态安全报告

如上图所示,由项⽬⽅不当⾏为导致的损失⾦额占⽐最⾼,达 66.18%,   由⿊客攻击导致的损失⾦额占⽐为 32.72%,由不当操作 导致的损失⾦额占⽐为 1.10%。有趣的是尽管由项⽬⽅不当⾏为导致的安全事故数远⼩于由⿊客攻击导致的安全事故数,但在损失 ⾦额上,前者远⾼于后者。在总计 76 亿美元的损失⾦额中,由项⽬⽅不当⾏为导致的损失⾦额、由⿊客攻击导致的损失⾦额和由 不当操作导致的损失⾦额分别为 50.3 亿美元、  24.9 亿美元和8354 万美元。

由⿊客攻击导致的安全事故

我们研究了由⿊客攻击导致的安全事故,分析了其中的漏洞种类,得到下列统计图:

2021区块链生态安全报告

如上图所示,两有个被⿊客利⽤进⾏攻击的漏洞分别是私钥泄露(admin  key  being  compromised)和缺少权限验证(missing validation for access control)。这两者所引发的安全事故数量所占的⽐例分别为 11.66%和 9.20% ,整体上所占⽐例并不⾼

但当我们研究了两者所导致的损失⾦额后, 发现了有趣的现象, 得到的统计图如下所示:

2021区块链生态安全报告

和前⼀幅统计图形成相当⼤反差的是: 由私钥泄露所导致的损失⾦额占⽐和由缺少权限验证所导致的⾦额损失占⽐在总⾦额中占⽐ 不⼩,两者分别是 24.93%和 29.2%。

在诸多由私钥泄露导致的安全事故中,  涉及了⼀些中⼼化加密资产交易所,  ⽐如 BitMEX[40]损失了 1.5 亿美元、  Liquid[41]损失了 9100 万美元、  AscendEX[42]损失了 7700 万美元、  HitBtc[43]损失了 4000 万美元、  Bilaxy[44]损失了 2170 万美元。

要指出的是, 在这⼀⼩节我们所讨论的安全事故涉及的被攻击对象包括智能合约、 DAPP 前端和 DAPP 后台。如果我们仅考虑 DAPP 前端和后台,则私钥泄露就是最主要的安全隐患。

由项⽬⽅不当⾏为导致的安全事故(Rug-pulls)

在 2021 年,由项⽬⽅不当⾏为导致的安全事故冲击了⼤量 DAPP ,包括 DeFi 类应⽤和中⼼化加密资产交易所。

我们统计的由项⽬⽅不当⾏为导致的安全事故共有 21 起,其中 2 起是中⼼化加密资产交易所,  19 起是 DAPP。



我们研究了这些案例,得到下列统计图:

2021区块链生态安全报告

如上图所示,涉及中⼼化加密资产交易所的案例数仅占 9.52%,  ⽽ 90.48%都是涉及 DAPP 的案例。

我们进⼀步研究了这两类事故的涉案⾦额,得到下列统计图:

2021区块链生态安全报告

如上图所示,  尽管涉及中⼼化交易所的案例数远远⼩于涉及 DAPP 的案例数,  但前者的涉案⾦额远⾼于后者,  前者的涉案⾦额占⽐ 为 97.4%,  ⽽后者仅占 2.6%。

由不当操作导致的安全事故(IMPROPER OPERATIONS)

总共有  5  起由不当操作导致的安全事故,所有的案例都发⽣在  DAPP ,更确切地说都是  DeFi  应⽤,包括了著名的项⽬如 Compound[45] 、  dYdX[46] 。  这些安全事故总共造成的损失⾦额达 8354 万美元。

研究总结

除了常⻅的区块链主链和侧链事故,  2021 年出现了新⽣的发⽣于第⼆层扩展系统的安全事故。但这类安全事故的数量仍然少于侧 链,当然也远少于主链。

我们基于安全事故的涉案受害对象进⾏研究,发现由⿊客攻击导致的事故数量占⽐接近  90%,由此可⻅⿊客攻击仍然整个加密领 域最⼤的威胁。

DAPP 安全事故所涉及的前端、后台和智能合约三类中,  ⽆论是从案例数量上看还是从涉案⾦额上看,  智能合约安全漏洞引发的事 故都远超前端和后台漏洞引发的事故。从案例数量上看,  智能合约占⽐为 80.11%,  接着是后台占⽐达 11.05%,  最后是前端占⽐达 8.84% 。  从涉案⾦额上看,智能合约占⽐为 91.17%,  接着是后台占⽐达 5.14%,  最后是前端占⽐达 3.68%。

前端安全相对智能合约安全⼀直以来并不受到加密领域安全业者的关注,但它的漏洞在  2021 年引发了⼏起涉案⾦额较⼤的事故, 其中有两起每起的涉案⾦额都超过了 1 亿美元, 分别是 Vulcan Forged 和 BadgerDAO,损失⾦额分别为 1.4 亿美元和 1.2 亿美元。

在由前端和后台漏洞引发的安全事故中,私钥泄露仍然是 2021 年这两个领域最⼤的安全隐患。

我们研究了与智能合约相关的安全事故后发现:  由闪电贷导致的攻击案例数远超任何其它类别,  位居第⼀;  由缺少权限验证导致的

攻击案例数位居第⼆;但由后者导致的损失⾦额则远⾼于前者,也⾼于任何其它类别。

在所有 189 起安全事故中,  尽管由⿊客攻击导致的安全事故超过任何其它类别,  ⽐如由项⽬⽅不当⾏为导致的安全事故,  但后者造 成的损失⾦额则远超前者。

在 2021 年,  由项⽬⽅不当⾏为导致的安全事故涉及 DAPP 和中⼼化加密资产交易所。其中 DAPP 的涉案数⽬远超中⼼化加密资产 交易所的涉案数,  但后者的涉案⾦额却远超前者。由此可⻅,  从涉案⾦额来看,  中⼼化加密资产交易所仍然是最⼤的安全隐患,  这 ⼀点对加密资产持有者来说要引起⾼度关注。

FAIRYPROOF ⽅案示例

基于我们的研究和分析,  我们认为安全领域最⼤的挑战来⾃于三个⽅⾯:  闪电贷攻击、缺少权限验证和项⽬⽅不当⾏为。这三类事 故⼴泛存在于智能合约领域。⽽它们在某种程度上是可以借助⾃动化⼯具鉴别和防范的。

在本章,我们将介绍 Fairyproof 针对这三类事故开发的解决⽅案。

漏洞探查系统(Vulnerability Detection System)

漏洞探查系统的⼯作流程如下:

2021区块链生态安全报告

步骤 1:  扫描源代码。

步骤  2:  检查函数的修饰符及可⻅性,提取函数的⾏为参数。

步骤  3:  将提取的函数的⾏为参数与 Fairyproof 标准库中存储的函数的标准⾏为参数进⾏对⽐,检查两者的差异。

步骤 4:  对每个函数的⾏为参数及其与标准参数的差异,  对照漏洞库中的漏洞参数检查可能存在的系统漏洞。对每个典型漏洞,  系

统将建⽴⼀个列表,将⾏为参数可疑的函数加⼊对应的列表。

步骤  5:  对每⼀个列表中的每⼀个函数项,  使⽤ Fairyproof 开发的⾏为曲线拟合算法  (behavior curve-fitting algorithm),  运⽤ 机器学习验证其是否为潜在⻛险。

步骤  6:  如果在第 5 步中⼀个函数的⾏为被判定为有潜在⻛险,则该函数将被标记并发送给⼯程师进⾏核验。

步骤 7:  ⼯程师将审计核验第 6 步挑选出的所有函数,判定其是否为⻛险项。

这套⼯具和流程极⼤加快了审计过程的⾃动化,减少了繁复的⼈⼯投⼊,提⾼了审计效率和正确率。

我们使⽤这套⼯具发现了⼀系列典型的⻛险,其中就包括可能引发闪电贷攻击的⻛险和缺少权限验证的⻛险。

下例是我们在审计过程中发现的⼀个可能被闪电贷攻击的案例。在代码截图中,  getAmountOut()函数从某个去中⼼化交易所的⼀ 个交易对中获取 reserve 值,并⽤其计算UBT 的价格。这种计算⽅式就可能遭遇闪电贷攻击。

2021区块链生态安全报告

我们发现此问题后,建议项⽬⽅使⽤更安全的价格获取机制(预⾔机)来计算相关通证的价格。

下列是我们在审计过程中发现的⼀个缺少权限验证的案例。在下例代码中,  管理员可以通过调⽤ setRate 函数任意设置 rate,  这可 能导致通证交易被抢跑。

2021区块链生态安全报告

下列函数可能被抢跑攻击。

2021区块链生态安全报告

利⽤上述⼯具,这个缺少权限验证的问题很快就被发现了,对此我们建议项⽬⽅取消这个函数或对该函数的调⽤设置权限控制。

通证探查系统(TOKEN VARIANCE DETECTION SYSTEM)

为了⾃动化监测⼀个通证合约是否存在潜在⻛险,  例如是否遵照以太坊通证标准,  我们开发了通证探查系统。该系统的运⾏过程如 下:

步骤 1:  扫描合约源代码

步骤  2:  根据合约定义的函数、接⼝、继承关系等特性解构合约,并⽣成m!   ×  n  矩阵 A,  该矩阵量化此合约的特性。

2021区块链生态安全报告

步骤  3:  搜索数据库中存储的标准通证模型如  ERC-20  通证、  ERC-721  通证 、  ERC-1155  通证。这些模型可量化为n  ×  m" 、 n  ×  m# 、  ...... 、  n  ×  m$    的矩阵B", B#, . . . B$    。

步骤 4:  计算矩阵的点积A ∙ B", A ∙ B#, . . . , A ∙ B$ 得到 m!   ×  m" 的矩阵C" 、  m!   ×  m# 的矩阵C# 、  ...  、  m!   ×  m$ 的矩阵C! 。

步骤  5:  矩阵中的每个元素都表示⼀个潜在⻛险点的⻛险值,如果该值越⾼则表明该⻛险点的⻛险越⾼。

步骤  6:  Fairyproof ⼯程师将审核检查这些⻛险点,并得出最终结论。

基于这套⼯具及这个⾃动化流程,我们快速发现了去年⼀些热⻔空投项⽬的显著不同点,⽐如我们发现了 MaskDAO 通证收取“税 费(tax)”的⾮典型特征,如下所示:

2021区块链生态安全报告

这种⾃动化⼯具也帮助我们迅速定位到⼀些空投通证项⽬中特殊的处理⽅式,⽐如 SOS 、  MASK 、  GDO 、  GAS 使⽤的链下处理⽅ 式,如下图所示:

2021区块链生态安全报告

防范安全事故的可⾏⼿段及建议

在本节,我们将基于对 2021 年安全事故的总结和分析,分别从开发者和⽤户的⻆度罗列⼀些防范安全事故的可⾏⼿段及建议。我 们建议开发者和⽤户都参照这些建议在⽇常的开发、维护、运营、交易等⾏为中⼩⼼谨慎,做好安全防范⼯作。

注意:  这⾥的开发者既包括区块链客户端应⽤的开发者,  也包括 DAPP 及所有和加密资产相关的应⽤的开发者。这⾥的⽤户指所有 参与到加密资产及相关系统运营、操作、交易、持有等活动的参与者。

对开发者的建议

对基于⼯作量证明机制(PoW)的⽆许可型区块链⽽⾔,防范其被攻击最好的⽅式就是发展它的⽣态系统,激励更多的节点参与系 统的挖矿,提升系统的整体算⼒。

2021 年,在所有扩展区块链主⽹性能的⽅案中,尽管侧链发⽣安全事故的案例数多于第⼆层扩展,但第⼆层扩展技术是新兴的技 术,  它未来的发展会迅速推进,  ⽣态也会⽇益繁荣,  因此对第⼆层扩展技术安全性的关注不能掉以轻⼼。作为开发者⽽⾔应该未⾬ 绸缪,积极深⼊地研究相关技术,找到防范安全事故的⽅案和措施。

对于 DAPP 的整体安全⽽⾔, 由智能合约的漏洞引发的安全事故依旧是⾸要值得关注的领域, 但前端和后台的安全也必须引起⃞视。 尤其在审计⽅⾯,对前端和后台的审计将成为审计的必然选项。

对于存在管理员控制关键操作的 DAPP ,必须将管理员权限转移到多签钱包或者 DAO 来管理。

闪电贷和对操作权限的验证是合约开发者时刻要注意的两⼤⻛险点。正确合理地处理这两⼤⻛险点也是开发者在设计和编码智能合 约时必须注意的头等事项。

对⽤户的建议

对于持有基于⼯作量证明机制(PoW)的区块链加密货币的⽤户⽽⾔,必须关注该区块链的整体算⼒⽔平。如果该区块链系统的算 ⼒较低,则可能遭遇 51%攻击,从⽽影响所持有加密货币的价值。

侧链技术和第⼆层扩展技术都还处于发展初期,  都还不够成熟和健壮,  很有可能遭遇安全事故。因此在准备参与或持有相关加密货 币之前,  ⽤户最好仔细审视相关⽅案的安全性,  以免持有的加密货币所依赖的相关⽅案因安全性⽋佳导致所持有的加密资产价值受 损。

当和 DAPP 进⾏交互时,  ⽤户不仅要关注其智能合约的安全,  也要关注其前端和后台的安全,  尤其要注意不要轻易点击可疑的信息 或链接。

强烈建议⽤户在参与加密货币投资及交互之前,  仔细审阅相关项⽬是否有审计报告,  并仔细阅读相关的审计报告以便知晓第三⽅机 构对其安全性的评估。

强烈建议⽤户使⽤冷钱包管理不⽤于频繁交易的加密资产。在使⽤热钱包时注意使⽤时周边的硬件环境和软件环境的安全性。

对开发团队身份匿名的项⽬,  ⽤户应该提⾼警惕。⼀些从未有过业内声誉的团队开发和运营的项⽬可能存在跑路⻛险。对中⼼化交 易所⽤户要关注其运营团队的身份和背景,对声誉较低的团队运营的中⼼化交易所要⼩⼼其跑路⻛险。

作者:Fairyproof Tech CEO 谭粤飞

美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程(Industrial Engineering) 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc(San Jose, CA, USA) 软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事 。个人拥有4项区块链相关专利、3本出版著作。

参考资料:

[1] Arbitrum Portal, https://portal.arbitrum.one/

[2] Optimism, https://www.optimism.io/

[3] “DeFi 2.0: A beginner's guide to the second generation of DeFi protocols”.

https://cointelegraph.com/defi- 101/defi2-0-a-beginners-guide-to-the-second-generation-of-defi-protocols.

[4] CryptoPunks. https://www.larvalabs.com/cryptopunks

[5] BAYC. https://boredapeyachtclub.com/

[6] Axie Infinity. https://axieinfinity.com/

[7] “Play-To-Earn Gaming Is Driving NFT And Crypto Growth”. 

https://www.forbes.com/sites/robertfarrington/2021/12/13/play-to-earn-gaming-is-driving-nft-and-crypto-growth/?sh=7f3afd1dc2dc . December 13, 2021   [8] Morris, David Z. (15 May 2016). "Leaderless, Blockchain-Based Venture Capital Fund Raises $100 Million, And Counting". Fortune. Archived from the original on 21 May 2016. Retrieved 23 May 2016.

[9] Popper, Nathan (21 May 2016). "A Venture Fund With Plenty of Virtual Capital, but No Capitalist". The New York Times. Archived from the original on 22 May 2016. Retrieved 23 May 2016.

[10] "Blockchains: The great chain of being sure about things". The Economist. 31 October 2015. Archived from the original on 3 July 2016. Retrieved 18 June 2016. The technology behind bitcoin lets people who do not know or trust each other build a dependable ledger. This has implications far beyond the crypto     currency.

[11] Narayanan, Arvind; Bonneau, Joseph; Felten, Edward; Miller, Andrew; Goldfeder, Steven (2016). Bitcoin and cryptocurrency technologies: a comprehensive introduction. Princeton: Princeton University Press. ISBN 978-0-691- 17169-2.

[12] Blockchain. https://en.wikipedia.org/wiki/Blockchain. January 4, 2022

[13] Stifter N, Judmayer A, Schindler P, et al. What is Meant by Permissionless Blockchains?[J]. IACR Cryptol. ePrint Arch., 2021, 2021: 23 [14] Stifter N, Judmayer A, Schindler P, et al. What is Meant by Permissionless Blockchains?[J]. IACR Cryptol. ePrint Arch., 2021, 2021: 23.

[15] DApp,[1] "CVC Money Transmission Services Provided Through Decentralized Applications (DApps)" (PDF). FinCEN. Retrieved 2019-05-09. [16] dApp,[2] "IEEE DAPPS 2020". ieeedapps.net. Archived from the original on 2020-04-26. Retrieved 2020-08- 15.

[17] Sidechains. https://ethereum.org/en/developers/docs/scaling/sidechains/

[18] Layer-2. https://academy.binance.com/en/glossary/layer-2

[19] Solana. https://solana.com/

[20] ETC. https://ethereumclassic.org/

[21] BSV. https://bitcoinsv.com/

[22] Verge. https://vergecurrency.com/

[23] Firo. https://firo.org/

[24] Polygon. https://polygon.technology/

[25] Liquid Network. https://river.com/learn/terms/l/liquid-network/

[26] Arbitrum One. https://portal.arbitrum.one/

[27] “What Is a 51% Attack?”. https://www.coindesk.com/learn/what-is-a-51-attack/ . October 12, 2021

[28] Denial-of-service attack. https://en.wikipedia.org/wiki/Denial-of-service_attack . January, 2022

[29] Vulcan Forged. https://vulcanforged.com/

[30] Badger DAO. https://app.badger.com/

[31] Farmers World. https://farmersworld.io/

[32] Flash-loans. https://aave.com/flash-loans/

[33] Cream Finance. https://app.cream.finance/

[34] Spartan Protocol. https://spartanprotocol.org/

[35] Yearn Finance. https://yearn.finance/#/home

[36] Indexed Finance. https://indexed.finance/

[37] AutoShark. https://autoshark.finance/

[38] Pancake Bunny. https://pancakebunny.finance/

[39] BurgerSwap. https://burgerswap.org/

[40] BitMEX. https://www.bitmex.com/

[41] Liquid. https://www.liquid.com/

[42] AscendEX. https://ascendex.com/

[43] HitBTC. https://hitbtc.com/zh_CN

[44] Bilaxy. https://bilaxy.com/

[45] Compound Finance. https://compound.finance/

[46] dYdX. https://dydx.exchange/

btcfans公众号

Scan QR code with WeChat

Disclaimer:

Previous: 解读Token经济学的四大支柱与VE Token模型 Next: 法制日报:元宇宙已来 法律准备好了吗?

Related