區塊鏈:獨家 | 跨鏈攻擊給業界帶來了新的安全挑戰_QOS Chain

從6月底到現在，一個月不到的時間，業界發生了多起較為重大的攻擊事件：

6月29日，THORChain受到惡意攻擊，損失估計達14萬美元。

7月3日，跨鏈項目Chainswap合約遭到攻擊，部分用戶代幣被主動從與 ChainSwap 交互的錢包中取出，總損失約為80萬美元，跨鏈橋暫停使用。

7月11日，跨鏈項目Chainswap發布推文表示再次遭到黑客攻擊，在該跨鏈橋部署智能合約的超20個項目代幣都遭遇黑客盜取，總損失價值400萬美元。

7月12日，跨鏈項目Anyswap新推出的V3跨鏈流動性池也遭到黑客攻擊，總計損失超過787萬美元。

7月16日，THORChain再次受到攻擊，損失約為1.3萬ETH，價值約為2500萬美元。

獨家 | Bakkt期貨合約數據一覽:金色財經報道，Bakkt Volume Bot數據顯示，3月4日，Bakkt比特幣月度期貨合約單日交易額為1207萬美元，環比下降37%；未平倉合約量為818萬美元，環比下降5%。[2020/3/5]

從上面這些案例，我們明顯發現這些攻擊事件表現出四個鮮明的特點：

1.都是針對跨鏈項目展開的攻擊。

2.多個項目在一個月內反復受到攻擊。

3.項目因攻擊受到的損失金額越來越大。

4.不僅被攻擊項目本身的運作受到影響，而且部署在跨鏈項目的其它項目方的運作也受到影響。

縱觀這些被攻擊的項目，絕大多數都是因為在資產跨鏈的過程中，缺乏對資產、簽名等的驗證導致黑客抓住了其中的漏洞對項目進行攻擊。

獨家 | 犇睿資本創始人褚康：比特幣行情有特定的運行規律 不受中國股市左右:針對“A股走勢對比特幣行情的影響”問題，2月5日，犇睿資本創始人褚康接受金色財經獨家采訪時表示，受疫情影響，鼠年首個交易日，三大指數開盤集體下跌，上證綜指跌8.73%，深成指跌9.13%，創業板指跌8.23%。三大指數的集體下跌帶動包括比特幣在內的多數幣種的一波急拉與下砸，但是比特幣本身有自身獨特的走勢特點，比如春節假期期間錄得30%以上的漲幅，大幅度跑贏上證指數。這次比特幣受疫情影響的波動從一定層面上表現出了比特幣是有資金流入的，無論是否具有避險屬性，還是大宗商品的投資投機屬性，比特幣都有特定的運行規律。這個規律，不是中國股市來左右的。當然，短期的漲幅必定會帶來一定的回調，但幅度肯定不會很大。并且有望在減半利好和市場流動性增加的推動下，突破下降趨勢線，再度迎來上漲。[2020/2/5]

這些問題中有一類（比如通過相同的簽名能夠反推出私鑰）是圈內早已知曉的問題，但在跨鏈這個新場景下，缺乏先例，導致開發團隊可能會因為疏忽而遺漏對這類問題的排查。另一類則是因為跨鏈應用涉及的場景復雜導致團隊在代碼邏輯的設計中稍有不慎就會遺漏一些對關鍵點的檢查。

獨家 | 印尼交易所FUTURAX用戶交易存在token“耗損”風險:第三方大數據評級機構RatingToken最新數據顯示，2018年8月12日全球共新增1418個合約地址，其中335個為代幣型智能合約。RatingToken安全審計團隊發現，近日上線的印尼加密貨幣交易平臺FUTURAX(FTXT)，該合約代碼中存在除法類型強制轉換，在使用ETH購買Token的過程中，會將購買數量強制轉換為整數，該問題將導致部分ETH交易Token用戶產生損失。

此外，昨日新增合約風險榜TOP10的包括Vote Bhelp(Bhelp)、SuperCard(SPC)、FoMo3D Long Official(F3D)、OK3D(OK3D)、Airpay Tier 3、Tokensale、Q3 Token(Q3)、3)、Seacharters.com Da Dan和Rich peasant chain(RPC)。如需查看更多智能合約檢測結果，請查看原文鏈接。[2018/8/14]

任何一個新應用登場，項目方都要必須面對這樣的挑戰。

獨家 | 田大超：區塊鏈技術為普通創業者帶來彎道超車的機會:近期，公私鏈、區塊鏈技術地位、區塊鏈如何賦能實體經濟等相關問題都比較熱。巨杉資本創始人田大超在接受金色財經獨家專訪時表示：首先，從應用層面而言，區塊鏈技術整體還非常不成熟。其次，公鏈確實存在中心化的問題，但公鏈也不一定要完全做到去中心化，因為沒有中心化的帶動，公鏈的效率就不會提高。而絕對的中心化又存在不信任的問題，違背了區塊鏈精神，因此這其中需要其他因素的協調。未來的公鏈應該類似于議會制，每一個節點都應該經過民意選舉產生，并希望能以此解決公平公正的問題。同時，公鏈中的節點并不是固定的，對于新產生節點的優化也將加強公平性，且有限的節點也將能幫助提高整個區塊鏈網絡的決策效率。

目前，區塊鏈技術的熱度和關注度已經超過了人工智能和大數據等產業，但從技術層面而言還相差甚遠。

區塊鏈行業的確為普通創業者們帶來了一次彎道超車的機會：企業們正在爭相測試和嘗試區塊鏈技術，其中甚至已經有大量的傳統企業已經在嘗試區塊鏈技術應用，且這項新技術在金融領域取得了一定的成效。但在賦能實體產業的過程中，還需要多方的共同努力：首先，政府要為那些真正具備創新精神和創新能力的企業提供鼓勵和支持；其次，要盡快解決區塊鏈人才瓶頸問題；最后，區塊鏈技術本身還不夠成熟，我們應該給整個產業更多的時間和耐心。[2018/7/17]

此外，跨鏈項目受攻擊還給業界帶來了一個新的安全挑戰：以往項目受到攻擊時，受損失的僅僅是項目方自己；而在跨鏈領域，由于跨鏈應用本身成為了平臺，它會承載其它的應用，因此一旦跨鏈應用本身受到攻擊，則連帶受到損失的就不僅僅是跨鏈項目本身而且還包括跨鏈應用承載的項目了。

在這些攻擊案例中，Chainswap第二次受到攻擊時，就導致部署在上面的超過20個項目連帶受到損失并不得不重新部署合約。恐怕這一點是此前很多項目方都沒有意識到的新動向和新問題。

這說明安全隱患涉及的問題無論在廣度還是在深度上都上升到了一個前所未有的高度。

我們相信這個問題只會越來越顯現：因為區塊鏈生態的豐富必然導致跨鏈應用成為剛需，成為一個無法阻擋的趨勢。這意味著未來跨鏈應用只會越來越多，同時也意味著資產跨鏈也會越來越頻繁，因此未來的項目方也在部署應用時不可能僅僅只考慮某個區塊鏈而要考慮應用的跨鏈場景。由此帶來的狀況就是安全問題必然越來越突出，攻防矛盾越來越尖銳。

面對這個新形勢，從應用的角度看：不僅跨鏈應用項目方本身要高度重視項目代碼的安全，對代碼的審查要比以往更加重視，而且部署在跨鏈應用上的第三方項目方未來除了注重項目自身的安全以外也也必須重視跨鏈應用的安全。

從代碼的角度看：跨鏈項目的代碼為了因應新的安全挑戰必然越來越復雜；部署在跨鏈應用上的項目也必然會越來越復雜，比如要增加處理緊急狀況的功能和接口，以便在事發的第一時間及時提取其部署在不同區塊鏈上的流動性。

從項目方的角度看：未來面對更加復雜的應用場景和更高的代碼難度，對代碼的審計必然要更加重視。

從用戶的角度看：一定要更加慎重地對自己投資或者有意向投資的項目進行詳細的審查，重點審閱項目方的審計報告。

從審計公司的角度看：面對越來越復雜的系統，審計的難度也將越來越大，審計的要求也會越來越高。對此作為從業者的靈蹤安全不僅將一如既往地在審計過程中做好代碼的審計，更已經準備好全面的保駕護航方案，隨時應對項目方受到攻擊后在事發的第一時間為項目方提供完備的補救措施和全面的改進方案。

關于靈蹤安全：

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

作者：

靈蹤安全CEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事?。個人擁有4項區塊鏈相關專利、3本出版著作。

Tags：區塊鏈CHA比特幣TOKE區塊鏈dapp開發pdfQOS Chain玩比特幣欠了600多萬imtoken錢包地址

芝麻開門交易所下載