金色荐读 | 2021区块链生态安全报告_区块链:区块链技术最早应用于

概述

2021?年对加密货币??真是个热?朝天的年份。

根据?coinmarketcap.com?的数据显示,?特币的价格从年初?1???1??的?28994.01?美元到年尾?12??31?涨到了?46306.45美元,?并在?11???10??创出历史新??68789.63?美元;以太坊从年初?1???1??的?737.71?美元到年尾?12???31??涨到了?3682.63美元,并?在?11???16??创出历史新??4891.7?美元。在?特币和以太坊的带领下,??coinmarketcap.com?统计的整个加密货币市场总市值从年?初?1??1?的7730?亿美元到年尾12??31??涨到了22560?亿美元。

???市场?情持续?爆,??另???加密货币全?业也迎来了爆发式成?。层出不穷的创新和应?颠覆了我们对技术、商业和?化?等的理解和认知:??我们?证了以太坊第?层扩展的爆发,我们从未想到它会来得如此突然;我们?证了?DeFi?2.0对传统?DeFi?商业模式的颠覆;我们?证了?NFT??跃成为元宇宙?态中身份的标识;我们?证了链游?态中崛起的?play-to-earn?模式?......

就像硬币有两??样,?对加密货币?业??,???我们看到了其蓬勃发展的?态,?但另??我们也经历了触?惊?的安全事故。?2021?年加密货币全?业公开报道的安全事故?少有?189?起,?少有?76?亿美元的加密资产在这些安全事故中损失。

这些安全事故不仅给加密资产持有者造成了??损失也严?影响甚?阻碍了整个加密?业?态的?期发展。

Fairyproof研究团队研究了公开报道的189?起典型安全事故,??分析了其中的原因并将经验、教训进?总结,??汇成了本报告,??期待与?业界同仁及读者交流,共同促进加密?业的良性发展,保障加密资产的全?安全。

背景知识

在我们深?探讨之前,有必要先介绍本报告中会频繁提及的?些基本概念及术语。

什么是区块链

区块链是?个持续增?的数据集链表。这些数据集被称为区块。这些区块通过加密算法前后相互链接。这些区块中除?了第?个区块??以外,??每个区块都包含前?个区块的哈希值、本区块的时间戳、交易数据等。只要区块?链系统持续正常运作,??这些区块前后链接就会构成?条永远不断增?的链式结构。通常已经记录在区块链中的交易和数据是?法回?滚和篡改的。如果要回滚或篡改某个区块中的交易或数据,??则此区块后所有区块的交易和数据都要回滚或篡改,???这在技术上和经?济上都有相当的难度。

?特币是区块链技术的第?个应?。它为区块链?态的发展开辟了全新、?限的想象空间。在?特币之后,??区块链?态开始爆发式?成?,为全?类带来了全新的视?和?象。

?许可型区块链?VS?许可型区块链

基本上所有现有的区块链系统都可以被分为两类:???许可型区块链和许可型区块链。

?许可型区块链有时也被称为公有区块链,??它是?个开放的?络系统,??任何?都可以作为节点在?需授权的情况下参与其共识的达?成、参与对数据和区块的验证。这个?络中所有的节点相互之间都?需预先建?信任关系。?特币是第?个?许可型区块链。

许可型区块链是?个封闭的?络系统,??只有经过授权的节点才可以进??络参与共识的达成、数据和区块的验证等活动。这些节点?通常是某个联盟的成员、某个组织或公司的部?等。

由于?许可型区块链是个开放的系统,??任何?都可以参与区块验证、打包等活动并使?系统,??因此它吸引了全球科技爱好者参与其??态系统的构建和开发。

此外,??在?许可型区块链中,??为了维系系统的?治和运作,??其设计开发者会赋予其?种被称为是“挖矿”的机制。这种机制会对成功?打包有效区块的节点进?奖励,?奖励通常以加密货币的形式发放。在这种机制的激励下,?来?全球的节点会参与系统的维护和运作。

因此,?许可型区块链?态的成?和发展?分迅猛。

但与此同时,????由于?许可型区块链允许任何节点??槛地加?系统的运作,因此恶意节点也难免加?其中,通过作恶甚?对系统?的攻击获取加密货币的奖励。从这个?度审视,???许可型区块链更容易受到?客的攻击,???客既可以作为恶意节点从系统内部攻击?也可以以传统?式从系统外部攻击。

这些综合因素的叠加使得?许可型区块链的安全保障和维护相对于许可型区块链??更加复杂、更加困难。

什么是?DAPP

DAPP?是去中?化应?程序????的英?简称。这是?种运?在区块链上,由?个或多个智能合约组成核??,包括前端、后台等构件的应?程序?。??如果承载?个?DAPP?运?的区块链是?许可型区块链,则这个?DAPP?就能在?需?中?化媒介控制和?预的情况下?治地运?。

这种?DAPP?通常是开源、透明、公开的,任何?都可以?需许可地与其交互。这类?DAPP?的开发者为了吸引尽可能多的?户使??它并保障?DAPP?的?期开发和维护,会在?DAPP?中加?加密货币的发?机制,?发?的加密货币奖励使??DAPP?的?户和开发团?队。这种加密货币发?机制通常也会成为?客的攻击?标。

金色午报 | 6月17日午间重要动态一览:7:00-12:00关键词:Filecoin、中兴通讯、河北沧州、波卡

1. 中兴通讯联合中国移动等发布《区块链+边缘计算白皮书》。

2. Filecoin官方:测试网将于6月19日上午8点重置。

3. IDC:到2024年中国分布式存储市场规模将达24.6亿美元。

4. 农业农村部:充分利用现代信息手段,提供区块链等前沿课程。

5. 河北沧州将建华为云服务器集群,引入分布式存储技术搭建。

6. 数据:比特币和以太坊实际波动率大幅下降。

7. 波卡将在48小时之内启动NPoS阶段。

8. 数据:持有至少0.1 ETH的地址数量已超3百万个。[2020/6/17]

这些特点也使得?DAPP?和?许可型区块链?样很容易被?客攻击。

本报告的研究内容

对?许可型区块链、??DAPP?和涉及加密货币业务的中?化机构及组织的攻击或其?身出现的安全事故?泛存在于加密货币领域,??并?且?益严峻,对这些攻击和安全事故的探讨、研究和防范是加密货币领域的焦点,也是我们研究的核?。

对于其中的攻击事件??,??发起攻击的?客通常会将攻击获取的加密货币兑换成锚定法币??的稳定币或直接兑换为法?币离场。

Fairyproof研究团队对?2021?年发?、经公开报道的典型安全事故进?了系统的统计和总结,在本报告中罗列了相关数据、分析了?事故的成因、并列举了防范这些事故的可?建议和有效措施。

2021?年安全事故的统计数据及分析

我们研究了媒体公开报道的?2021?年发?的?189?起安全事故,在本章罗列了我们统计的相关数据并分析了这些事故的原因和要点。

基于被攻击对象对安全事故的分类研究

根据被攻击对象的不同,我们将?189?起安全事故分为两类:区块链类安全事故和?DAPP?类安全事故。

区块链类安全事故是指区块链系统遭到来?内部节点或外部?客的攻击或由于区块链客户端软件或节点硬件等事故??使区块链系统?法正常的?作,从?使得攻击者从中渔利或使得区块链原?加密货币持有者受到损失。

DAPP?类安全事故是指?DAPP?受到攻击或者?DAPP?因?身缺陷?法正常?作,从?使得攻击者从中渔利或者?DAPP?发?的加密货?币持有者受到损失。

在总共?189?起安全事故中,区块链类安全事故数和?DAPP?类安全事故数各?所占的百分?如下图所示:

如上图所示,??DAPP?类安全事故数占?超过了?95%,共有?181?起,只有?8?起为区块链类安全事故。

区块链类安全事故

我们深?研究了区块链类安全事故,将其分为三个?类:区块链主?、侧链和第?层扩展?。

区块链主?也被称为??lay?1,??它有??独?的共识机制、验证节点等。区块链主?的节点可以独?验证交易、数据,达成共识,使?区块链获得最终?致性。?特币和以太坊就是典型的区块链主?。

侧链也是单独的区块链,??但它通常伴随?条区块链主?平?运作。侧链也有??的?络系统、共识机制和验证节点。它和区块链主??相连,两者相连的?式有多种,常?的包括双向锚定??等。

第?层扩展是指依赖区块链主?的协议或?络系统。第?层扩展?法??取得最终的?致性和安全性,必须依赖区块链主?获?得。第?层扩展的主要功能和?标是解决区块链主?的性能扩展问题。第?层扩展通常拥有相较于主?更加?效、更低费?的业务?处理能?。?前第?层扩展技术发展得最迅速、最有活?的是依托于以太坊的第?层扩展技术。以太坊的第?层扩展技术和?态在?2021?年取得了??的进展。

侧链和第?层扩展技术都是为了解决区块链主?的性能问题。这两者典型的区别在于侧链可以不依赖于区块链主?获得安全性和最?终?致性,?第?层扩展则必须依赖区块链主?。

我们统计的?2021?年区块链类安全事故总共有?8?起,??下图展示了区块链主?、侧链和第?层扩展各个类别中发?的安全事故数所占比例。

如上图所示,?区块链主?发?的安全事故占整个区块链类安全事故的?例为?62.5%??,总共有?5起,涉及的区块链主?有Solana、?ETC、BSV、Verge和?Firo;侧链发?的安全事故总共有?2起,?涉及的侧链有?Polygon和?LiquidNetwork;??第?层扩展发?的安全事故有?1?起,涉及的第?层扩展系统是?Arbitrum?One.

独家 | 金色财经2月17日矿币数据播报:金色财经报道,据币印矿池数据显示:

主流币挖矿日收益分别为:BTC(¥1.13/T)、ZEC(¥0.49/T)、LTC(¥20.95/G)、BSV(¥1.08/T)、BCH(¥1.16/T)、DASH(¥0.11/G)。

当前热门矿机数据及净收益分别为:神马M20S(BTC,¥46.91)、蚂蚁Z11(ZEC,¥40.94)、芯动A4+(LTC,¥6.15)。[2020/2/17]

在?5?个涉及区块链主?的安全事故中,??有?4?起??都是遭到了?51%攻击,??其根本原因是这些区块链?主?的算?都相对较低,??这使得?客可以?较容易地通过租借算?的?式发动对主?的攻击。剩下的?起??则是因为主??受到了?DOS?攻击。

DAPP?类安全事故

我们分析研究了DAPP类安全事故,??进?步将其分为三个?类:??DAPP前端事故、??DAPP后台事故、?DAPP?合约事故。

DAPP?前端事故主要是?DAPP?中涉及传统信息技术的客户端中出现了安全漏洞导致?户的账户信息、个?信息等被盗从?导致?户?的加密资产被盗或损失。

DAPP?后台事故主要是?DAPP?中涉及传统信息技术的服务器端出现安全漏洞导致?DAPP?的后台服务与链上交互过程被劫持从?导致??户的加密资产被盗或损失。

DAPP?合约事故主要是?DAPP?的智能合约出现安全漏洞导致?户的加密资产被盗或损失。

?在总共?181?起?DAPP?类安全事故中,这三类安全事故的案例数占?如下图所示:

如上图所示,前端安全事故数占?为?8.84%、后台安全事故数占?为??11.05%、合约安全事故数占?为??80.11%,??三者具体的事故?数分别为16起、??20起和145起。我们进?步研究了这三类安全事故导致的损失?额,得到下?的统计图:

我们的统计数据显示前端安全事故造成的损失达?2.8?亿美元、后台安全事故造成的损失达?3.91?亿美元、合约安全事故造成的损失?达?69.3亿美元;三者的占?分别为?3.68%、??5.14%和91.17%。

尽管前端安全事故导致的损失?额所占的?例并不?,??但其中有不少个案都涉及较?的?额,???如?Vulcan?Forged的事故导致?了1.4?亿美元的损失、??BadgerDAO的事故导致了1.2?亿美元的损失、??Farmer?World的事故导致了1570?万美元的损失。

显然,??合约安全事故是最?的隐患。在合约安全事故中,??我们进?步研究发现出现的典型攻击包括闪电贷?????、缺?少权限验证、通证精度计算错误、数值溢出、??攻击、??AMM?算法漏洞、假通证存储/抵押、双花、治理攻击等。

我们统计分析了不同漏洞导致的合约事故的数量,得到下列统计图:

我们研究了不同原因造成的合约事故所导致的损失?额,得到下列统计图:

有趣的是,??我们发现尽管由缺少权限验证导致的安全事故在数量上明显少于由闪电贷引发的安全事故,??但前者所导致的损失?额则????于后者,两者所导致的损失?额占?分别为10.48%和?4.45%。

2021?年,闪电贷逐渐成为攻击者常?的?具,??来攻击DeFi?类DAPP。?些典型的DeFi?类DAPP?如CreamFinance、Spartan?Protocol、YFI、??Indexed??Finance都遭到了闪电贷攻击。有些甚?多次遭遇闪电贷攻击,?如?AutoShark被攻击?三次,??PancakeBunny、??BurgerSwap和CreamFinance都被攻击两次。

金色晨讯 | 比特大陆发布第二代7nm芯片 瑞穗金融集团将于下月推出J Coin稳定币:1.Blockstream为比特币采用Schnorr签名发布测试代码。

2.美国阿什伯恩成为闪电网络容量最大城市。

3.Dhofar银行已向印度发送首次实时交易。

4.苏黎世联邦理工学院推出保护BTC免受攻击的中继网络解决方案。

5.全球第二大地产投资商伊玛尔地产接受比特币和以太坊购房。

6.美国证券交易委员会和商品期货交易委员会考虑合作监管加密货币。

7.比特大陆发布第二代7nm芯片。

8.新西兰总理:考虑征收2-3%的临时性数字服务税。

9.日本瑞穗金融集团将于下月推出J Coin稳定币。[2019/2/19]

基于事故原因对安全事故的分类研究

我们基于导致安全事故的发?原因将?189?起安全事故分为了三?类:??由?客攻击导致、由不当操作导致?和由项??不当?为导致。

我们统计分析了这三类原因导致的安全事故数量,得到下列统计图:

如上图所示,??由?客攻击导致的安全事故数量占?最多,???达?86.24%,??其次是由项??不当?为导致,???占?为?11.11%,最后是由不当操作导致,占?为?2.65%。具体到安全事故数量,三者分别为163起、??21?起和?5?起。

我们研究了这些事故原因造成的损失?额,得到下列统计图:

如上图所示,由项??不当?为导致的损失?额占?最?,达?66.18%,???由?客攻击导致的损失?额占?为?32.72%,由不当操作?导致的损失?额占?为?1.10%。有趣的是尽管由项??不当?为导致的安全事故数远?于由?客攻击导致的安全事故数,但在损失??额上,前者远?于后者。在总计?76?亿美元的损失?额中,由项??不当?为导致的损失?额、由?客攻击导致的损失?额和由?不当操作导致的损失?额分别为?50.3?亿美元、??24.9?亿美元和8354?万美元。

由?客攻击导致的安全事故

我们研究了由?客攻击导致的安全事故,分析了其中的漏洞种类,得到下列统计图:

如上图所示,两有个被?客利?进?攻击的漏洞分别是私钥泄露和缺少权限验证。这两者所引发的安全事故数量所占的?例分别为?11.66%和?9.20%?,整体上所占?例并不?

但当我们研究了两者所导致的损失?额后,?发现了有趣的现象,?得到的统计图如下所示:

和前?幅统计图形成相当?反差的是:?由私钥泄露所导致的损失?额占?和由缺少权限验证所导致的?额损失占?在总?额中占??不?,两者分别是?24.93%和?29.2%。

在诸多由私钥泄露导致的安全事故中,??涉及了?些中?化加密资产交易所,???如?BitMEX损失了?1.5亿美元、??Liquid损失了?9100万美元、??AscendEX损失了7700?万美元、??HitBtc损失了4000?万美元、??Bilaxy损失了2170?万美元。

要指出的是,?在这??节我们所讨论的安全事故涉及的被攻击对象包括智能合约、?DAPP前端和?DAPP后台。如果我们仅考虑?DAPP?前端和后台,则私钥泄露就是最主要的安全隐患。

由项??不当?为导致的安全事故

在?2021?年,由项??不当?为导致的安全事故冲击了?量?DAPP?,包括?DeFi?类应?和中?化加密资产交易所。

我们统计的由项??不当?为导致的安全事故共有?21?起,其中?2?起是中?化加密资产交易所,??19?起是?DAPP。

我们研究了这些案例,得到下列统计图:

金色财经独家分析 区块链产业未来规模大中国脚步积极:金色财经独家分析,根据日本TVTOKYO的WBS栏目消息,日本产经省预计区块链相关市场规模将会达到67兆日元。而根据行业情报公司Reportbuyer公布的报告,全球区块链市场规模将从2017年的4.115亿美元增至2022年的76.837亿美元。全球各国政府认识到区块链技术的巨大应用前景,开始从国家发展层面考虑区块链的发展道路,区块链成为全球各大监管机构、金融机构及商业机构争相研究讨论的对象。国内在区块链产业上也不断发力,2016年12月国务院发布的《“十三五”国家信息规划》首次提到支持区块链技术发展,两次提及“区块链”关键词。2017年2月,央行推动的基于区块链的数字票据交易平台测试成功。国内区块链标准和技术不断完善,应用场景也由金融支付拓展到其它服务领域。2017年向世界知识产权组织(WIPO)提交区块链技术相关专利申请的国家中,中国排名第一。有分析机构指出,未来几年,随着国内资本对于区块链技术的投资力度不断加大,区块链在国内的商业模式逐步成熟,中国的区块链市场将进入高速发展阶段。[2018/5/9]

如上图所示,涉及中?化加密资产交易所的案例数仅占?9.52%,????90.48%都是涉及?DAPP?的案例。

我们进?步研究了这两类事故的涉案?额,得到下列统计图:

如上图所示,??尽管涉及中?化交易所的案例数远远?于涉及?DAPP的案例数,??但前者的涉案?额远?于后者,??前者的涉案?额占??为?97.4%,???后者仅占?2.6%。

由不当操作导致的安全事故

总共有??5??起由不当操作导致的安全事故,所有的案例都发?在??DAPP?,更确切地说都是??DeFi??应?,包括了著名的项?如?Compound?、??dYdX?。?这些安全事故总共造成的损失?额达?8354?万美元。

研究总结

除了常?的区块链主链和侧链事故,??2021?年出现了新?的发?于第?层扩展系统的安全事故。但这类安全事故的数量仍然少于侧?链,当然也远少于主链。

我们基于安全事故的涉案受害对象进?研究,发现由?客攻击导致的事故数量占?接近??90%,由此可??客攻击仍然整个加密领?域最?的威胁。

DAPP?安全事故所涉及的前端、后台和智能合约三类中,???论是从案例数量上看还是从涉案?额上看,??智能合约安全漏洞引发的事?故都远超前端和后台漏洞引发的事故。从案例数量上看,??智能合约占?为?80.11%,??接着是后台占?达11.05%,??最后是前端占?达?8.84%?。??从涉案?额上看,智能合约占?为?91.17%,??接着是后台占?达5.14%,??最后是前端占?达3.68%。

前端安全相对智能合约安全?直以来并不受到加密领域安全业者的关注,但它的漏洞在??2021?年引发了?起涉案?额较?的事故,?其中有两起每起的涉案?额都超过了?1?亿美元,?分别是?VulcanForged和?BadgerDAO,损失?额分别为?1.4?亿美元和?1.2?亿美元。

在由前端和后台漏洞引发的安全事故中,私钥泄露仍然是?2021?年这两个领域最?的安全隐患。

我们研究了与智能合约相关的安全事故后发现:??由闪电贷导致的攻击案例数远超任何其它类别,??位居第?;??由缺少权限验证导致的

攻击案例数位居第?;但由后者导致的损失?额则远?于前者,也?于任何其它类别。

在所有?189?起安全事故中,??尽管由?客攻击导致的安全事故超过任何其它类别,???如由项??不当?为导致的安全事故,??但后者造?成的损失?额则远超前者。

在?2021?年,??由项??不当?为导致的安全事故涉及?DAPP?和中?化加密资产交易所。其中?DAPP?的涉案数?远超中?化加密资产?交易所的涉案数,??但后者的涉案?额却远超前者。由此可?,??从涉案?额来看,??中?化加密资产交易所仍然是最?的安全隐患,??这??点对加密资产持有者来说要引起?度关注。

FAIRYPROOF??案示例

基于我们的研究和分析,??我们认为安全领域最?的挑战来?于三个??:??闪电贷攻击、缺少权限验证和项??不当?为。这三类事?故?泛存在于智能合约领域。?它们在某种程度上是可以借助?动化?具鉴别和防范的。

在本章,我们将介绍?Fairyproof针对这三类事故开发的解决?案。

漏洞探查系统

漏洞探查系统的?作流程如下:

金色财经现场报道 ERC721 标准作者William:区块链不仅是技术还是原则,不应该把它概念化:金色财经现场报道,在2018金融科技上海峰会的“块链与金融科技驱动数据经济发展新格局”互动讨论上, 新型智能合约 ERC721 标准作者William Entriken谈到:“我觉得区块链是一种原则,一种规则,而不是单单的技术,它涉及到很多方面,我们需要考虑到规则标准以及上层的东西。我相信有了区块链,一些技术人员会得到更多的启发,能做更多有价值的事情。但是我们绝对不能以一种玩弄的心态来调侃区块链,把它当成概念化的东西。我们想要把区块链应用到我们自己的行业中,所以在现阶段我们正在研发各种软件硬件来支持区块链的运用,我相信在将来我们能够研发出自己的产品。”[2018/4/19]

步骤1:??扫描源代码。

步骤??2:??检查函数的修饰符及可?性,提取函数的?为参数。

步骤??3:??将提取的函数的?为参数与?Fairyproof?标准库中存储的函数的标准?为参数进?对?,检查两者的差异。

步骤?4:??对每个函数的?为参数及其与标准参数的差异,??对照漏洞库中的漏洞参数检查可能存在的系统漏洞。对每个典型漏洞,??系

统将建??个列表,将?为参数可疑的函数加?对应的列表。

步骤?5:??对每?个列表中的每?个函数项,??使?Fairyproof开发的?为曲线拟合算法?,??运?机器学习验证其是否为潜在?险。

步骤??6:??如果在第?5?步中?个函数的?为被判定为有潜在?险,则该函数将被标记并发送给?程师进?核验。

步骤?7:???程师将审计核验第?6?步挑选出的所有函数,判定其是否为?险项。

这套?具和流程极?加快了审计过程的?动化,减少了繁复的??投?,提?了审计效率和正确率。

我们使?这套?具发现了?系列典型的?险,其中就包括可能引发闪电贷攻击的?险和缺少权限验证的?险。

下例是我们在审计过程中发现的?个可能被闪电贷攻击的案例。在代码截图中,??getAmountOut()函数从某个去中?化交易所的??个交易对中获取?reserve?值,并?其计算UBT?的价格。这种计算?式就可能遭遇闪电贷攻击。

我们发现此问题后,建议项??使?更安全的价格获取机制来计算相关通证的价格。

下列是我们在审计过程中发现的?个缺少权限验证的案例。在下例代码中,??管理员可以通过调??setRate?函数任意设置?rate,??这可?能导致通证交易被抢跑。

下列函数可能被抢跑攻击。

利?上述?具,这个缺少权限验证的问题很快就被发现了,对此我们建议项??取消这个函数或对该函数的调?设置权限控制。

通证探查系统

为了?动化监测?个通证合约是否存在潜在?险,??例如是否遵照以太坊通证标准,??我们开发了通证探查系统。该系统的运?过程如?下:

步骤1:??扫描合约源代码

步骤??2:??根据合约定义的函数、接?、继承关系等特性解构合约,并?成m!???×??n?矩阵?A,??该矩阵量化此合约的特性。

步骤??3:??搜索数据库中存储的标准通证模型如??ERC-20??通证、??ERC-721??通证?、??ERC-1155??通证。这些模型可量化为n?×??m"?、?n?×?m#、??......、??n?×?m$???的矩阵B",?B#,?...B$???。

步骤4:??计算矩阵的点积A?B",?A?B#,?..?.?,A???B$?得到?m!???×??m"?的矩阵C"?、??m!???×??m#?的矩阵C#?、??...??、??m!???×??m$?的矩阵C!?。

步骤??5:??矩阵中的每个元素都表示?个潜在?险点的?险值,如果该值越?则表明该?险点的?险越?。

步骤??6:??Fairyproof?程师将审核检查这些?险点,并得出最终结论。

基于这套?具及这个?动化流程,我们快速发现了去年?些热?空投项?的显著不同点,?如我们发现了?MaskDAO?通证收取“税?费”的?典型特征,如下所示:

这种?动化?具也帮助我们迅速定位到?些空投通证项?中特殊的处理?式,?如SOS?、??MASK?、??GDO?、??GAS?使?的链下处理??式,如下图所示:

防范安全事故的可??段及建议

在本节,我们将基于对?2021?年安全事故的总结和分析,分别从开发者和?户的?度罗列?些防范安全事故的可??段及建议。我?们建议开发者和?户都参照这些建议在?常的开发、维护、运营、交易等?为中??谨慎,做好安全防范?作。

注意:??这?的开发者既包括区块链客户端应?的开发者,??也包括?DAPP?及所有和加密资产相关的应?的开发者。这?的?户指所有?参与到加密资产及相关系统运营、操作、交易、持有等活动的参与者。

对开发者的建议

对基于?作量证明机制的?许可型区块链??,防范其被攻击最好的?式就是发展它的?态系统,激励更多的节点参与系?统的挖矿,提升系统的整体算?。

2021?年,在所有扩展区块链主?性能的?案中,尽管侧链发?安全事故的案例数多于第?层扩展,但第?层扩展技术是新兴的技?术,??它未来的发展会迅速推进,???态也会?益繁荣,??因此对第?层扩展技术安全性的关注不能掉以轻?。作为开发者??应该未??绸缪,积极深?地研究相关技术,找到防范安全事故的?案和措施。

对于?DAPP?的整体安全??,?由智能合约的漏洞引发的安全事故依旧是?要值得关注的领域,?但前端和后台的安全也必须引起?视。?尤其在审计??,对前端和后台的审计将成为审计的必然选项。

对于存在管理员控制关键操作的?DAPP?,必须将管理员权限转移到多签钱包或者?DAO?来管理。

闪电贷和对操作权限的验证是合约开发者时刻要注意的两??险点。正确合理地处理这两??险点也是开发者在设计和编码智能合?约时必须注意的头等事项。

对?户的建议

对于持有基于?作量证明机制的区块链加密货币的?户??,必须关注该区块链的整体算??平。如果该区块链系统的算??较低,则可能遭遇?51%攻击,从?影响所持有加密货币的价值。

侧链技术和第?层扩展技术都还处于发展初期,??都还不够成熟和健壮,??很有可能遭遇安全事故。因此在准备参与或持有相关加密货?币之前,???户最好仔细审视相关?案的安全性,??以免持有的加密货币所依赖的相关?案因安全性?佳导致所持有的加密资产价值受?损。

当和?DAPP?进?交互时,???户不仅要关注其智能合约的安全,??也要关注其前端和后台的安全,??尤其要注意不要轻易点击可疑的信息?或链接。

强烈建议?户在参与加密货币投资及交互之前,??仔细审阅相关项?是否有审计报告,??并仔细阅读相关的审计报告以便知晓第三?机?构对其安全性的评估。

强烈建议?户使?冷钱包管理不?于频繁交易的加密资产。在使?热钱包时注意使?时周边的硬件环境和软件环境的安全性。

对开发团队身份匿名的项?,???户应该提?警惕。?些从未有过业内声誉的团队开发和运营的项?可能存在跑路?险。对中?化交?易所?户要关注其运营团队的身份和背景,对声誉较低的团队运营的中?化交易所要??其跑路?险。

参考资料:

Arbitrum?Portal,?https://portal.arbitrum.one/

Optimism,?https://www.optimism.io/

“DeFi2.0:?A?beginner's?guide?to?the?second?generation?of?DeFi?protocols”.

https://cointelegraph.com/defi-101/defi2-0-a-beginners-guide-to-the-second-generation-of-defi-protocols.

CryptoPunks.https://www.larvalabs.com/cryptopunks

BAYC.?https://boredapeyachtclub.com/

Axie?Infinity.https://axieinfinity.com/

“Play-To-Earn?Gaming?Is?Driving?NFT?And?Crypto?Growth”.?

https://www.forbes.com/sites/robertfarrington/2021/12/13/play-to-earn-gaming-is-driving-nft-and-crypto-growth/?sh=7f3afd1dc2dc?.?December13,?2021???Morris,?David?Z.(15?May?2016)."Leaderless,?Blockchain-Based?Venture?Capital?Fund?Raises?$100?Million,?And?Counting".?Fortune.?Archived?from?the?originalon?21?May?2016.?Retrieved?23?May?2016.

Popper,?Nathan?(21?May?2016)."A?Venture?Fund?With?Plenty?ofVirtualCapital,?butNo?Capitalist".?The?New?York?Times.?Archived?from?the?original?on?22?May?2016.?Retrieved?23?May?2016.

"Blockchains:?The?greatchain?ofbeing?sure?aboutthings".The?Economist.?31?October2015.?Archived?from?the?original?on?3?July?2016.?Retrieved?18?June?2016.The?technology?behind?bitcoin?lets?people?who?do?notknow?or?trust?each?otherbuild?a?dependable?ledger.?This?has?implications?farbeyond?the?crypto?????currency.

Narayanan,?Arvind;?Bonneau,?Joseph;?Felten,?Edward;?Miller,?Andrew;?Goldfeder,?Steven?(2016).?Bitcoin?and?cryptocurrency?technologies:?a?comprehensive?introduction.?Princeton:?Princeton?University?Press.?ISBN?978-0-691-17169-2.

Blockchain.https://en.wikipedia.org/wiki/Blockchain.?January?4,?2022

Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23?Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23.

DApp,"CVC?Money?Transmission?Services?Provided?Through?Decentralized?Applications?(DApps)"(PDF).?FinCEN.?Retrieved?2019-05-09.?dApp,"IEEE?DAPPS?2020".ieeedapps.net.Archived?from?the?original?on?2020-04-26.?Retrieved?2020-08-15.

Sidechains.https://ethereum.org/en/developers/docs/scaling/sidechains/

Layer-2.https://academy.binance.com/en/glossary/layer-2

Solana.?https://solana.com/

ETC.https://ethereumclassic.org/

BSV.https://bitcoinsv.com/

Verge.https://vergecurrency.com/

Firo.?https://firo.org/

Polygon.https://polygon.technology/

Liquid?Network.https://river.com/learn/terms/l/liquid-network/

Arbitrum?One.?https://portal.arbitrum.one/

“WhatIs?a?51%?Attack?”.https://www.coindesk.com/learn/what-is-a-51-attack/?.?October12,?2021

Denial-of-service?attack.https://en.wikipedia.org/wiki/Denial-of-service_attack?.?January,?2022

Vulcan?Forged.?https://vulcanforged.com/

BadgerDAO.?https://app.badger.com/

Farmers?World.?https://farmersworld.io/

Flash-loans.https://aave.com/flash-loans/

Cream?Finance.https://app.cream.finance/

Spartan?Protocol.?https://spartanprotocol.org/

Yearn?Finance.https://yearn.finance/#/home

Indexed?Finance.https://indexed.finance/

AutoShark.?https://autoshark.finance/

Pancake?Bunny.https://pancakebunny.finance/

BurgerSwap.?https://burgerswap.org/

BitMEX.?https://www.bitmex.com/

Liquid.?https://www.liquid.com/

AscendEX.?https://ascendex.com/

HitBTC.https://hitbtc.com/zh_CN

Bilaxy.https://bilaxy.com/

Compound?Finance.https://compound.finance/

dYdX.https://dydx.exchange/

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

SOL元宇宙的终极形态:无限游戏_元宇宙:ISM

在电影《头号玩家》里寻找第三把钥匙的游戏关卡中,反派IOI公司派出一大队人去打这个小游戏,但是都过不了关,一个个失败者都掉进了冰洞里,最后一个玩家即使通关了也还是掉进了冰洞.

XMR一文了解元宇宙时代的人才就业指南_元宇宙:ETA

2022年伊始,一部分互联网巨头不约而同地以裁员这一动作拉开了虎年新年的序幕。在过去的一个月中,爱奇艺传出裁员20%至40%;蘑菇街传出整体裁员30%,其中技术部门裁60%;随后阿里巴巴、百度、.

[0:15ms0-0:915ms