比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

區塊鏈:金色薦讀 | 2021區塊鏈生態安全報告_GGDApp

Author:

Time:1900/1/1 0:00:00

概述

2021?年對加密貨幣??真是個熱?朝天的年份。

根據?coinmarketcap.com?的數據顯示,?特幣的價格從年初?1???1??的?28994.01?美元到年尾?12??31?漲到了?46306.45美元,?并在?11???10??創出歷史新??68789.63?美元;以太坊從年初?1???1??的?737.71?美元到年尾?12???31??漲到了?3682.63美元,并?在?11???16??創出歷史新??4891.7?美元。在?特幣和以太坊的帶領下,??coinmarketcap.com?統計的整個加密貨幣市場總市值從年?初?1??1?的7730?億美元到年尾12??31??漲到了22560?億美元。

???市場?情持續?爆,??另???加密貨幣全?業也迎來了爆發式成?。層出不窮的創新和應?顛覆了我們對技術、商業和?化?等的理解和認知:??我們?證了以太坊第?層擴展的爆發,我們從未想到它會來得如此突然;我們?證了?DeFi?2.0對傳統?DeFi?商業模式的顛覆;我們?證了?NFT??躍成為元宇宙?態中身份的標識;我們?證了鏈游?態中崛起的?play-to-earn?模式?......

就像硬幣有兩??樣,?對加密貨幣?業??,???我們看到了其蓬勃發展的?態,?但另??我們也經歷了觸?驚?的安全事故。?2021?年加密貨幣全?業公開報道的安全事故?少有?189?起,?少有?76?億美元的加密資產在這些安全事故中損失。

這些安全事故不僅給加密資產持有者造成了??損失也嚴?影響甚?阻礙了整個加密?業?態的?期發展。

Fairyproof研究團隊研究了公開報道的189?起典型安全事故,??分析了其中的原因并將經驗、教訓進?總結,??匯成了本報告,??期待與?業界同仁及讀者交流,共同促進加密?業的良性發展,保障加密資產的全?安全。

背景知識

在我們深?探討之前,有必要先介紹本報告中會頻繁提及的?些基本概念及術語。

什么是區塊鏈

區塊鏈是?個持續增?的數據集鏈表。這些數據集被稱為區塊。這些區塊通過加密算法前后相互鏈接。這些區塊中除?了第?個區塊??以外,??每個區塊都包含前?個區塊的哈希值、本區塊的時間戳、交易數據等。只要區塊?鏈系統持續正常運作,??這些區塊前后鏈接就會構成?條永遠不斷增?的鏈式結構。通常已經記錄在區塊鏈中的交易和數據是?法回?滾和篡改的。如果要回滾或篡改某個區塊中的交易或數據,??則此區塊后所有區塊的交易和數據都要回滾或篡改,???這在技術上和經?濟上都有相當的難度。

?特幣是區塊鏈技術的第?個應?。它為區塊鏈?態的發展開辟了全新、?限的想象空間。在?特幣之后,??區塊鏈?態開始爆發式?成?,為全?類帶來了全新的視?和?象。

?許可型區塊鏈?VS?許可型區塊鏈

基本上所有現有的區塊鏈系統都可以被分為兩類:???許可型區塊鏈和許可型區塊鏈。

?許可型區塊鏈有時也被稱為公有區塊鏈,??它是?個開放的?絡系統,??任何?都可以作為節點在?需授權的情況下參與其共識的達?成、參與對數據和區塊的驗證。這個?絡中所有的節點相互之間都?需預先建?信任關系。?特幣是第?個?許可型區塊鏈。

許可型區塊鏈是?個封閉的?絡系統,??只有經過授權的節點才可以進??絡參與共識的達成、數據和區塊的驗證等活動。這些節點?通常是某個聯盟的成員、某個組織或公司的部?等。

由于?許可型區塊鏈是個開放的系統,??任何?都可以參與區塊驗證、打包等活動并使?系統,??因此它吸引了全球科技愛好者參與其??態系統的構建和開發。

此外,??在?許可型區塊鏈中,??為了維系系統的?治和運作,??其設計開發者會賦予其?種被稱為是“挖礦”的機制。這種機制會對成功?打包有效區塊的節點進?獎勵,?獎勵通常以加密貨幣的形式發放。在這種機制的激勵下,?來?全球的節點會參與系統的維護和運作。

因此,?許可型區塊鏈?態的成?和發展?分迅猛。

但與此同時,????由于?許可型區塊鏈允許任何節點??檻地加?系統的運作,因此惡意節點也難免加?其中,通過作惡甚?對系統?的攻擊獲取加密貨幣的獎勵。從這個?度審視,???許可型區塊鏈更容易受到?客的攻擊,???客既可以作為惡意節點從系統內部攻擊?也可以以傳統?式從系統外部攻擊。

這些綜合因素的疊加使得?許可型區塊鏈的安全保障和維護相對于許可型區塊鏈??更加復雜、更加困難。

什么是?DAPP

DAPP?是去中?化應?程序????的英?簡稱。這是?種運?在區塊鏈上,由?個或多個智能合約組成核??,包括前端、后臺等構件的應?程序?。??如果承載?個?DAPP?運?的區塊鏈是?許可型區塊鏈,則這個?DAPP?就能在?需?中?化媒介控制和?預的情況下?治地運?。

金色財經挖礦數據播報:ETH今日全網算力下跌3.55%:金色財經報道,據蜘蛛礦池數據顯示:

BTC全網算力147.849EH/s,挖礦難度25.05T,目前區塊高度685873,理論收益0.00000628/T/天。

ETH全網算力578.166 TH/s,挖礦難度7333.68T,目前區塊高度12552298,理論收益0.00283155/100MH/天。

BSV全網算力0.727EH/s,挖礦難度0.09T,目前區塊高度689834,理論收益0.00123673/T/天。

BCH全網算力2.602 EH/s,挖礦難度0.37T,目前區塊高度690436,理論收益0.00034593/T/天。[2021/6/2 23:03:48]

這種?DAPP?通常是開源、透明、公開的,任何?都可以?需許可地與其交互。這類?DAPP?的開發者為了吸引盡可能多的?戶使??它并保障?DAPP?的?期開發和維護,會在?DAPP?中加?加密貨幣的發?機制,?發?的加密貨幣獎勵使??DAPP?的?戶和開發團?隊。這種加密貨幣發?機制通常也會成為?客的攻擊?標。

這些特點也使得?DAPP?和?許可型區塊鏈?樣很容易被?客攻擊。

本報告的研究內容

對?許可型區塊鏈、??DAPP?和涉及加密貨幣業務的中?化機構及組織的攻擊或其?身出現的安全事故?泛存在于加密貨幣領域,??并?且?益嚴峻,對這些攻擊和安全事故的探討、研究和防范是加密貨幣領域的焦點,也是我們研究的核?。

對于其中的攻擊事件??,??發起攻擊的?客通常會將攻擊獲取的加密貨幣兌換成錨定法幣??的穩定幣或直接兌換為法?幣離場。

Fairyproof研究團隊對?2021?年發?、經公開報道的典型安全事故進?了系統的統計和總結,在本報告中羅列了相關數據、分析了?事故的成因、并列舉了防范這些事故的可?建議和有效措施。

2021?年安全事故的統計數據及分析

我們研究了媒體公開報道的?2021?年發?的?189?起安全事故,在本章羅列了我們統計的相關數據并分析了這些事故的原因和要點。

基于被攻擊對象對安全事故的分類研究

根據被攻擊對象的不同,我們將?189?起安全事故分為兩類:區塊鏈類安全事故和?DAPP?類安全事故。

區塊鏈類安全事故是指區塊鏈系統遭到來?內部節點或外部?客的攻擊或由于區塊鏈客戶端軟件或節點硬件等事故??使區塊鏈系統?法正常的?作,從?使得攻擊者從中漁利或使得區塊鏈原?加密貨幣持有者受到損失。

DAPP?類安全事故是指?DAPP?受到攻擊或者?DAPP?因?身缺陷?法正常?作,從?使得攻擊者從中漁利或者?DAPP?發?的加密貨?幣持有者受到損失。

在總共?189?起安全事故中,區塊鏈類安全事故數和?DAPP?類安全事故數各?所占的百分?如下圖所示:

如上圖所示,??DAPP?類安全事故數占?超過了?95%,共有?181?起,只有?8?起為區塊鏈類安全事故。

區塊鏈類安全事故

我們深?研究了區塊鏈類安全事故,將其分為三個?類:區塊鏈主?、側鏈和第?層擴展?。

區塊鏈主?也被稱為??lay?1,??它有??獨?的共識機制、驗證節點等。區塊鏈主?的節點可以獨?驗證交易、數據,達成共識,使?區塊鏈獲得最終?致性。?特幣和以太坊就是典型的區塊鏈主?。

側鏈也是單獨的區塊鏈,??但它通常伴隨?條區塊鏈主?平?運作。側鏈也有??的?絡系統、共識機制和驗證節點。它和區塊鏈主??相連,兩者相連的?式有多種,常?的包括雙向錨定??等。

第?層擴展是指依賴區塊鏈主?的協議或?絡系統。第?層擴展?法??取得最終的?致性和安全性,必須依賴區塊鏈主?獲?得。第?層擴展的主要功能和?標是解決區塊鏈主?的性能擴展問題。第?層擴展通常擁有相較于主?更加?效、更低費?的業務?處理能?。?前第?層擴展技術發展得最迅速、最有活?的是依托于以太坊的第?層擴展技術。以太坊的第?層擴展技術和?態在?2021?年取得了??的進展。

側鏈和第?層擴展技術都是為了解決區塊鏈主?的性能問題。這兩者典型的區別在于側鏈可以不依賴于區塊鏈主?獲得安全性和最?終?致性,?第?層擴展則必須依賴區塊鏈主?。

我們統計的?2021?年區塊鏈類安全事故總共有?8?起,??下圖展示了區塊鏈主?、側鏈和第?層擴展各個類別中發?的安全事故數所占比例。

金色晚報 | 3月24日晚間重要動態一覽:12:00-21:00關鍵詞:QE、MtGox、比特幣、Tether、監管沙箱

1. 美聯儲“無限QE”政策下,比特幣和黃金表現遠超標普500指數。

2. 俄羅斯將創建“監管沙箱”使區塊鏈和加密貨幣合法化。

3. MtGox交易所:債權人可通過新網站查看第四次債權人會議民事復議資料。

4. Tether向以太坊網絡新增發6000萬枚USDT(已授權未發行)。

5. 聯合國:數字技術大有可為 推薦螞蟻金服區塊鏈等金融科技應用。

6. 浙江:實施數字生活新消費行動,擴大區塊鏈等技術應用。

7. 香港第一家虛擬銀行正式提供服務。

8. Bithumb等韓國加密貨幣交易所正在協助調查“N號房”一案。

9. 比特幣日內震蕩,最高漲至6831.96美元,最低跌至6226.28美元,現報6646美元。[2020/3/24]

如上圖所示,?區塊鏈主?發?的安全事故占整個區塊鏈類安全事故的?例為?62.5%??,總共有?5起,涉及的區塊鏈主?有Solana、?ETC、BSV、Verge和?Firo;側鏈發?的安全事故總共有?2起,?涉及的側鏈有?Polygon和?LiquidNetwork;??第?層擴展發?的安全事故有?1?起,涉及的第?層擴展系統是?Arbitrum?One.

在?5?個涉及區塊鏈主?的安全事故中,??有?4?起??都是遭到了?51%攻擊,??其根本原因是這些區塊鏈?主?的算?都相對較低,??這使得?客可以?較容易地通過租借算?的?式發動對主?的攻擊。剩下的?起??則是因為主??受到了?DOS?攻擊。

DAPP?類安全事故

我們分析研究了DAPP類安全事故,??進?步將其分為三個?類:??DAPP前端事故、??DAPP后臺事故、?DAPP?合約事故。

DAPP?前端事故主要是?DAPP?中涉及傳統信息技術的客戶端中出現了安全漏洞導致?戶的賬戶信息、個?信息等被盜從?導致?戶?的加密資產被盜或損失。

DAPP?后臺事故主要是?DAPP?中涉及傳統信息技術的服務器端出現安全漏洞導致?DAPP?的后臺服務與鏈上交互過程被劫持從?導致??戶的加密資產被盜或損失。

DAPP?合約事故主要是?DAPP?的智能合約出現安全漏洞導致?戶的加密資產被盜或損失。

?在總共?181?起?DAPP?類安全事故中,這三類安全事故的案例數占?如下圖所示:

如上圖所示,前端安全事故數占?為?8.84%、后臺安全事故數占?為??11.05%、合約安全事故數占?為??80.11%,??三者具體的事故?數分別為16起、??20起和145起。我們進?步研究了這三類安全事故導致的損失?額,得到下?的統計圖:

我們的統計數據顯示前端安全事故造成的損失達?2.8?億美元、后臺安全事故造成的損失達?3.91?億美元、合約安全事故造成的損失?達?69.3億美元;三者的占?分別為?3.68%、??5.14%和91.17%。

盡管前端安全事故導致的損失?額所占的?例并不?,??但其中有不少個案都涉及較?的?額,???如?Vulcan?Forged的事故導致?了1.4?億美元的損失、??BadgerDAO的事故導致了1.2?億美元的損失、??Farmer?World的事故導致了1570?萬美元的損失。

顯然,??合約安全事故是最?的隱患。在合約安全事故中,??我們進?步研究發現出現的典型攻擊包括閃電貸?????、缺?少權限驗證、通證精度計算錯誤、數值溢出、??攻擊、??AMM?算法漏洞、假通證存儲/抵押、雙花、治理攻擊等。

我們統計分析了不同漏洞導致的合約事故的數量,得到下列統計圖:

我們研究了不同原因造成的合約事故所導致的損失?額,得到下列統計圖:

金色相對論 | 節點資本創始合伙人杜均:動蕩之中“危與機”并存:在本期金色相對論之“礦業危·機”中,針對金色財經內容合伙人佟揚“熊市之下,數字貨幣市場處于高度不穩定狀態,給予礦業的挑戰壓力持續擴大。動蕩之中你看到的是危局還是新機?”的提問,節點資本創始合伙人杜均表示,“危與機同時存在吧,14、15年我們的礦機業務都多次面臨拔掉電源,幾大礦機生產商融資也是四處碰壁,16、17年大家也都是賺的盆滿缽滿的。核心還是要看是否有核心競爭力,有信仰,有核心競爭力,扛得住就是機。沒信仰,純粹進來打擦邊球的,看不到希望,抗不過去就是危。”[2018/11/19]

有趣的是,??我們發現盡管由缺少權限驗證導致的安全事故在數量上明顯少于由閃電貸引發的安全事故,??但前者所導致的損失?額則????于后者,兩者所導致的損失?額占?分別為10.48%和?4.45%。

2021?年,閃電貸逐漸成為攻擊者常?的?具,??來攻擊DeFi?類DAPP。?些典型的DeFi?類DAPP?如CreamFinance、Spartan?Protocol、YFI、??Indexed??Finance都遭到了閃電貸攻擊。有些甚?多次遭遇閃電貸攻擊,?如?AutoShark被攻擊?三次,??PancakeBunny、??BurgerSwap和CreamFinance都被攻擊兩次。

基于事故原因對安全事故的分類研究

我們基于導致安全事故的發?原因將?189?起安全事故分為了三?類:??由?客攻擊導致、由不當操作導致?和由項??不當?為導致。

我們統計分析了這三類原因導致的安全事故數量,得到下列統計圖:

如上圖所示,??由?客攻擊導致的安全事故數量占?最多,???達?86.24%,??其次是由項??不當?為導致,???占?為?11.11%,最后是由不當操作導致,占?為?2.65%。具體到安全事故數量,三者分別為163起、??21?起和?5?起。

我們研究了這些事故原因造成的損失?額,得到下列統計圖:

如上圖所示,由項??不當?為導致的損失?額占?最?,達?66.18%,???由?客攻擊導致的損失?額占?為?32.72%,由不當操作?導致的損失?額占?為?1.10%。有趣的是盡管由項??不當?為導致的安全事故數遠?于由?客攻擊導致的安全事故數,但在損失??額上,前者遠?于后者。在總計?76?億美元的損失?額中,由項??不當?為導致的損失?額、由?客攻擊導致的損失?額和由?不當操作導致的損失?額分別為?50.3?億美元、??24.9?億美元和8354?萬美元。

由?客攻擊導致的安全事故

我們研究了由?客攻擊導致的安全事故,分析了其中的漏洞種類,得到下列統計圖:

如上圖所示,兩有個被?客利?進?攻擊的漏洞分別是私鑰泄露和缺少權限驗證。這兩者所引發的安全事故數量所占的?例分別為?11.66%和?9.20%?,整體上所占?例并不?

但當我們研究了兩者所導致的損失?額后,?發現了有趣的現象,?得到的統計圖如下所示:

和前?幅統計圖形成相當?反差的是:?由私鑰泄露所導致的損失?額占?和由缺少權限驗證所導致的?額損失占?在總?額中占??不?,兩者分別是?24.93%和?29.2%。

在諸多由私鑰泄露導致的安全事故中,??涉及了?些中?化加密資產交易所,???如?BitMEX損失了?1.5億美元、??Liquid損失了?9100萬美元、??AscendEX損失了7700?萬美元、??HitBtc損失了4000?萬美元、??Bilaxy損失了2170?萬美元。

要指出的是,?在這??節我們所討論的安全事故涉及的被攻擊對象包括智能合約、?DAPP前端和?DAPP后臺。如果我們僅考慮?DAPP?前端和后臺,則私鑰泄露就是最主要的安全隱患。

由項??不當?為導致的安全事故

在?2021?年,由項??不當?為導致的安全事故沖擊了?量?DAPP?,包括?DeFi?類應?和中?化加密資產交易所。

分析 | 金色盤面:多頭火力全開 市場再度活躍:金色盤面分析:過去24小時,十億市值俱樂部成員集體加息,BTC大漲4.9%,而XRP則再次充當了反彈先鋒,漲幅為10.59%,目前多空分歧依然不小,隨著穩定幣事件的不斷發酵,市場還會繼續震蕩,提醒投資者理性看待市場波動,做好風控。(登錄金色財經APP—發現,查看更多幣種的獨家點評)[2018/10/16]

我們統計的由項??不當?為導致的安全事故共有?21?起,其中?2?起是中?化加密資產交易所,??19?起是?DAPP。

我們研究了這些案例,得到下列統計圖:

如上圖所示,涉及中?化加密資產交易所的案例數僅占?9.52%,????90.48%都是涉及?DAPP?的案例。

我們進?步研究了這兩類事故的涉案?額,得到下列統計圖:

如上圖所示,??盡管涉及中?化交易所的案例數遠遠?于涉及?DAPP的案例數,??但前者的涉案?額遠?于后者,??前者的涉案?額占??為?97.4%,???后者僅占?2.6%。

由不當操作導致的安全事故

總共有??5??起由不當操作導致的安全事故,所有的案例都發?在??DAPP?,更確切地說都是??DeFi??應?,包括了著名的項?如?Compound?、??dYdX?。?這些安全事故總共造成的損失?額達?8354?萬美元。

研究總結

除了常?的區塊鏈主鏈和側鏈事故,??2021?年出現了新?的發?于第?層擴展系統的安全事故。但這類安全事故的數量仍然少于側?鏈,當然也遠少于主鏈。

我們基于安全事故的涉案受害對象進?研究,發現由?客攻擊導致的事故數量占?接近??90%,由此可??客攻擊仍然整個加密領?域最?的威脅。

DAPP?安全事故所涉及的前端、后臺和智能合約三類中,???論是從案例數量上看還是從涉案?額上看,??智能合約安全漏洞引發的事?故都遠超前端和后臺漏洞引發的事故。從案例數量上看,??智能合約占?為?80.11%,??接著是后臺占?達11.05%,??最后是前端占?達?8.84%?。??從涉案?額上看,智能合約占?為?91.17%,??接著是后臺占?達5.14%,??最后是前端占?達3.68%。

前端安全相對智能合約安全?直以來并不受到加密領域安全業者的關注,但它的漏洞在??2021?年引發了?起涉案?額較?的事故,?其中有兩起每起的涉案?額都超過了?1?億美元,?分別是?VulcanForged和?BadgerDAO,損失?額分別為?1.4?億美元和?1.2?億美元。

在由前端和后臺漏洞引發的安全事故中,私鑰泄露仍然是?2021?年這兩個領域最?的安全隱患。

我們研究了與智能合約相關的安全事故后發現:??由閃電貸導致的攻擊案例數遠超任何其它類別,??位居第?;??由缺少權限驗證導致的

攻擊案例數位居第?;但由后者導致的損失?額則遠?于前者,也?于任何其它類別。

在所有?189?起安全事故中,??盡管由?客攻擊導致的安全事故超過任何其它類別,???如由項??不當?為導致的安全事故,??但后者造?成的損失?額則遠超前者。

在?2021?年,??由項??不當?為導致的安全事故涉及?DAPP?和中?化加密資產交易所。其中?DAPP?的涉案數?遠超中?化加密資產?交易所的涉案數,??但后者的涉案?額卻遠超前者。由此可?,??從涉案?額來看,??中?化加密資產交易所仍然是最?的安全隱患,??這??點對加密資產持有者來說要引起?度關注。

FAIRYPROOF??案示例

基于我們的研究和分析,??我們認為安全領域最?的挑戰來?于三個??:??閃電貸攻擊、缺少權限驗證和項??不當?為。這三類事?故?泛存在于智能合約領域。?它們在某種程度上是可以借助?動化?具鑒別和防范的。

在本章,我們將介紹?Fairyproof針對這三類事故開發的解決?案。

漏洞探查系統

漏洞探查系統的?作流程如下:

步驟1:??掃描源代碼。

步驟??2:??檢查函數的修飾符及可?性,提取函數的?為參數。

金色財經現場報道,Satoshi Kobayashi:未來一年內會有一大波投資機構進入區塊鏈行業:在2018年世界數字資產峰會(WDAS)暨FBG年會上,來自Smart Contract JP公司的Satoshi Kobayashi表示,日本正在等待美國監管機構的頒布對區塊鏈及加密貨幣領域的相關法律,現在有很多的大型機構也在等待美國相關的監管法律的出臺,未來一年內會有一大波投資機構進入這個行業。[2018/5/3]

步驟??3:??將提取的函數的?為參數與?Fairyproof?標準庫中存儲的函數的標準?為參數進?對?,檢查兩者的差異。

步驟?4:??對每個函數的?為參數及其與標準參數的差異,??對照漏洞庫中的漏洞參數檢查可能存在的系統漏洞。對每個典型漏洞,??系

統將建??個列表,將?為參數可疑的函數加?對應的列表。

步驟?5:??對每?個列表中的每?個函數項,??使?Fairyproof開發的?為曲線擬合算法?,??運?機器學習驗證其是否為潛在?險。

步驟??6:??如果在第?5?步中?個函數的?為被判定為有潛在?險,則該函數將被標記并發送給?程師進?核驗。

步驟?7:???程師將審計核驗第?6?步挑選出的所有函數,判定其是否為?險項。

這套?具和流程極?加快了審計過程的?動化,減少了繁復的??投?,提?了審計效率和正確率。

我們使?這套?具發現了?系列典型的?險,其中就包括可能引發閃電貸攻擊的?險和缺少權限驗證的?險。

下例是我們在審計過程中發現的?個可能被閃電貸攻擊的案例。在代碼截圖中,??getAmountOut()函數從某個去中?化交易所的??個交易對中獲取?reserve?值,并?其計算UBT?的價格。這種計算?式就可能遭遇閃電貸攻擊。

我們發現此問題后,建議項??使?更安全的價格獲取機制來計算相關通證的價格。

下列是我們在審計過程中發現的?個缺少權限驗證的案例。在下例代碼中,??管理員可以通過調??setRate?函數任意設置?rate,??這可?能導致通證交易被搶跑。

下列函數可能被搶跑攻擊。

利?上述?具,這個缺少權限驗證的問題很快就被發現了,對此我們建議項??取消這個函數或對該函數的調?設置權限控制。

通證探查系統

為了?動化監測?個通證合約是否存在潛在?險,??例如是否遵照以太坊通證標準,??我們開發了通證探查系統。該系統的運?過程如?下:

步驟1:??掃描合約源代碼

步驟??2:??根據合約定義的函數、接?、繼承關系等特性解構合約,并?成m!???×??n?矩陣?A,??該矩陣量化此合約的特性。

步驟??3:??搜索數據庫中存儲的標準通證模型如??ERC-20??通證、??ERC-721??通證?、??ERC-1155??通證。這些模型可量化為n?×??m"?、?n?×?m#、??......、??n?×?m$???的矩陣B",?B#,?...B$???。

步驟4:??計算矩陣的點積A?B",?A?B#,?..?.?,A???B$?得到?m!???×??m"?的矩陣C"?、??m!???×??m#?的矩陣C#?、??...??、??m!???×??m$?的矩陣C!?。

步驟??5:??矩陣中的每個元素都表示?個潛在?險點的?險值,如果該值越?則表明該?險點的?險越?。

步驟??6:??Fairyproof?程師將審核檢查這些?險點,并得出最終結論。

基于這套?具及這個?動化流程,我們快速發現了去年?些熱?空投項?的顯著不同點,?如我們發現了?MaskDAO?通證收取“稅?費”的?典型特征,如下所示:

這種?動化?具也幫助我們迅速定位到?些空投通證項?中特殊的處理?式,?如SOS?、??MASK?、??GDO?、??GAS?使?的鏈下處理??式,如下圖所示:

防范安全事故的可??段及建議

在本節,我們將基于對?2021?年安全事故的總結和分析,分別從開發者和?戶的?度羅列?些防范安全事故的可??段及建議。我?們建議開發者和?戶都參照這些建議在?常的開發、維護、運營、交易等?為中??謹慎,做好安全防范?作。

注意:??這?的開發者既包括區塊鏈客戶端應?的開發者,??也包括?DAPP?及所有和加密資產相關的應?的開發者。這?的?戶指所有?參與到加密資產及相關系統運營、操作、交易、持有等活動的參與者。

對開發者的建議

對基于?作量證明機制的?許可型區塊鏈??,防范其被攻擊最好的?式就是發展它的?態系統,激勵更多的節點參與系?統的挖礦,提升系統的整體算?。

2021?年,在所有擴展區塊鏈主?性能的?案中,盡管側鏈發?安全事故的案例數多于第?層擴展,但第?層擴展技術是新興的技?術,??它未來的發展會迅速推進,???態也會?益繁榮,??因此對第?層擴展技術安全性的關注不能掉以輕?。作為開發者??應該未??綢繆,積極深?地研究相關技術,找到防范安全事故的?案和措施。

對于?DAPP?的整體安全??,?由智能合約的漏洞引發的安全事故依舊是?要值得關注的領域,?但前端和后臺的安全也必須引起?視。?尤其在審計??,對前端和后臺的審計將成為審計的必然選項。

對于存在管理員控制關鍵操作的?DAPP?,必須將管理員權限轉移到多簽錢包或者?DAO?來管理。

閃電貸和對操作權限的驗證是合約開發者時刻要注意的兩??險點。正確合理地處理這兩??險點也是開發者在設計和編碼智能合?約時必須注意的頭等事項。

對?戶的建議

對于持有基于?作量證明機制的區塊鏈加密貨幣的?戶??,必須關注該區塊鏈的整體算??平。如果該區塊鏈系統的算??較低,則可能遭遇?51%攻擊,從?影響所持有加密貨幣的價值。

側鏈技術和第?層擴展技術都還處于發展初期,??都還不夠成熟和健壯,??很有可能遭遇安全事故。因此在準備參與或持有相關加密貨?幣之前,???戶最好仔細審視相關?案的安全性,??以免持有的加密貨幣所依賴的相關?案因安全性?佳導致所持有的加密資產價值受?損。

當和?DAPP?進?交互時,???戶不僅要關注其智能合約的安全,??也要關注其前端和后臺的安全,??尤其要注意不要輕易點擊可疑的信息?或鏈接。

強烈建議?戶在參與加密貨幣投資及交互之前,??仔細審閱相關項?是否有審計報告,??并仔細閱讀相關的審計報告以便知曉第三?機?構對其安全性的評估。

強烈建議?戶使?冷錢包管理不?于頻繁交易的加密資產。在使?熱錢包時注意使?時周邊的硬件環境和軟件環境的安全性。

對開發團隊身份匿名的項?,???戶應該提?警惕。?些從未有過業內聲譽的團隊開發和運營的項?可能存在跑路?險。對中?化交?易所?戶要關注其運營團隊的身份和背景,對聲譽較低的團隊運營的中?化交易所要??其跑路?險。

參考資料:

Arbitrum?Portal,?https://portal.arbitrum.one/

Optimism,?https://www.optimism.io/

“DeFi2.0:?A?beginner's?guide?to?the?second?generation?of?DeFi?protocols”.

https://cointelegraph.com/defi-101/defi2-0-a-beginners-guide-to-the-second-generation-of-defi-protocols.

CryptoPunks.https://www.larvalabs.com/cryptopunks

BAYC.?https://boredapeyachtclub.com/

Axie?Infinity.https://axieinfinity.com/

“Play-To-Earn?Gaming?Is?Driving?NFT?And?Crypto?Growth”.?

https://www.forbes.com/sites/robertfarrington/2021/12/13/play-to-earn-gaming-is-driving-nft-and-crypto-growth/?sh=7f3afd1dc2dc?.?December13,?2021???Morris,?David?Z.(15?May?2016)."Leaderless,?Blockchain-Based?Venture?Capital?Fund?Raises?$100?Million,?And?Counting".?Fortune.?Archived?from?the?originalon?21?May?2016.?Retrieved?23?May?2016.

Popper,?Nathan?(21?May?2016)."A?Venture?Fund?With?Plenty?ofVirtualCapital,?butNo?Capitalist".?The?New?York?Times.?Archived?from?the?original?on?22?May?2016.?Retrieved?23?May?2016.

"Blockchains:?The?greatchain?ofbeing?sure?aboutthings".The?Economist.?31?October2015.?Archived?from?the?original?on?3?July?2016.?Retrieved?18?June?2016.The?technology?behind?bitcoin?lets?people?who?do?notknow?or?trust?each?otherbuild?a?dependable?ledger.?This?has?implications?farbeyond?the?crypto?????currency.

Narayanan,?Arvind;?Bonneau,?Joseph;?Felten,?Edward;?Miller,?Andrew;?Goldfeder,?Steven?(2016).?Bitcoin?and?cryptocurrency?technologies:?a?comprehensive?introduction.?Princeton:?Princeton?University?Press.?ISBN?978-0-691-17169-2.

Blockchain.https://en.wikipedia.org/wiki/Blockchain.?January?4,?2022

Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23?Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23.

DApp,"CVC?Money?Transmission?Services?Provided?Through?Decentralized?Applications?(DApps)"(PDF).?FinCEN.?Retrieved?2019-05-09.?dApp,"IEEE?DAPPS?2020".ieeedapps.net.Archived?from?the?original?on?2020-04-26.?Retrieved?2020-08-15.

Sidechains.https://ethereum.org/en/developers/docs/scaling/sidechains/

Layer-2.https://academy.binance.com/en/glossary/layer-2

Solana.?https://solana.com/

ETC.https://ethereumclassic.org/

BSV.https://bitcoinsv.com/

Verge.https://vergecurrency.com/

Firo.?https://firo.org/

Polygon.https://polygon.technology/

Liquid?Network.https://river.com/learn/terms/l/liquid-network/

Arbitrum?One.?https://portal.arbitrum.one/

“WhatIs?a?51%?Attack?”.https://www.coindesk.com/learn/what-is-a-51-attack/?.?October12,?2021

Denial-of-service?attack.https://en.wikipedia.org/wiki/Denial-of-service_attack?.?January,?2022

Vulcan?Forged.?https://vulcanforged.com/

BadgerDAO.?https://app.badger.com/

Farmers?World.?https://farmersworld.io/

Flash-loans.https://aave.com/flash-loans/

Cream?Finance.https://app.cream.finance/

Spartan?Protocol.?https://spartanprotocol.org/

Yearn?Finance.https://yearn.finance/#/home

Indexed?Finance.https://indexed.finance/

AutoShark.?https://autoshark.finance/

Pancake?Bunny.https://pancakebunny.finance/

BurgerSwap.?https://burgerswap.org/

BitMEX.?https://www.bitmex.com/

Liquid.?https://www.liquid.com/

AscendEX.?https://ascendex.com/

HitBTC.https://hitbtc.com/zh_CN

Bilaxy.https://bilaxy.com/

Compound?Finance.https://compound.finance/

dYdX.https://dydx.exchange/

Tags:區塊鏈APPDAPDAPP區塊鏈的未來發展前景分析門羅幣app區塊鏈dapp開發費多少錢GGDApp

比特幣價格實時行情
EFI:GameFi參與者的共識博弈_SLP

GameFi能否被簡單的定義為DeFi? 譯者語: GameFi的本質到底是什么?GameFi能否被簡單的定義為DeFi?關于這些問題,爭論不休.

1900/1/1 0:00:00
WEB:彭博社:Web3 巨大潛力之下的未解之謎_Coinweb

風投基金AndreessenHorowitz(a16z)的合伙人ChrisDixon認為,以區塊鏈為基礎的互聯網未來(即所謂的web3)事關數十億美元的利益.

1900/1/1 0:00:00
區塊鏈:UNEP報告:區塊鏈技術是能源和氣候創新關鍵_Lunatics

9日獲悉,聯合國環境規劃署(UNEP)和社會阿爾法基金會(SAF)發布的一份最新報告探討了區塊鏈技術如何加速清潔能源轉型并助力發展中國家應對氣候變化.

1900/1/1 0:00:00
SOL:Solo Capitalist:分拆傳統VC投資的新興勢力_OLO

就在上周四,TechCrunch的記者NatashaMascarenhas在Twitter上發布了一個SEC文件的鏈接.

1900/1/1 0:00:00
速讀摩根大通元宇宙報告:大機會在哪里?打工人與企業生存模式巨變

2月15日,摩根大通發布了一篇名為「Opportunitiesinthemetaverse」的研究報告,探討企業如何在元宇宙中尋找機會,全面論述了企業如何探索元宇宙并駕馭炒作和現實——未來幾年.

1900/1/1 0:00:00
OUT:Web3面向創作者:元宇宙面向用戶_Ploutoz

YouTube的首席產品官NealMohan發表了一篇博文《展望2022:社區、協作和商業》,介紹他們即將在2022年推出的新產品和新功能計劃.

1900/1/1 0:00:00
ads