守護區塊鏈安全的最重要防线

2023-01-07 15:01:55

智能合約（ Smart Contract ）是一種以信息化方式傳播、驗證或執行合同的計算機協議，該技術允許在沒有第三方的情況下進行可信交易，具有合約內容去信任化、不可篡改和經濟高效等優勢。近年來，智能合約憑借其技術特點，在區塊鏈網絡中得以廣泛應用，其用例包括數字資產交易、金融衍生品、數字身份、數據存儲等領域。

智能合約在加密領域中能夠控制大量的價值和數據，成為 Web3 時代最為重要的無形的資產。而部署在區塊鏈上智能合約本身具有不可變的邏輯特點，為我們創造了一個充滿活力的去信任、去中心化的一個應用程序生態系統。與此同時，由於智能合約部署後不能修改的特性，如果智能合約存在安全風險問題，會使得某些利用智能合約中的漏洞以獲利的黑客有機可乘，將導致資產受損且往往無法挽回，給項目造成巨大損失。

如今，區塊鏈技術和應用尚處於快速發展的初級階段，面臨的安全風險種類繁多，部署在區塊鏈上的智能合約對安全的需求也日新月異。面對安全、低效、不當行為等諸多問題，智能合約代碼中的小錯誤可能會造成數百萬甚至數十億美元的損失。

因此，智能合約安全審計作為智能合約部署和運行的重要環節，承擔着全面分析智能合約邏輯設計規範和設計目的，測試智能合約存在的安全風險，根據項目流程進行模擬算法漏洞測試，糾正設計問題，審查代碼錯誤或安全漏洞等作用，成為 Web3 項目構建過程中的重中之重。

“黑客事件頻發，智能合約安全的出路在哪裏？” Web3 領域的發展對智能合約安全提出了更高的要求和全新的考驗，第 16 期 TinTin Meeting 即以智能合約安全為主題，邀請智能合約安全相關專家大咖，圓桌暢談他們有關智能合約安全相關豐富的行業經驗和建議，本次活動吸引到來自國內外近 5000 名开發者的關注，錯過直播的小夥伴可以點擊下方活動鏈接，觀看活動回放：

YouTube：

https://youtu.be/TR8roxCt35U

精彩內容

智能合約安全攻擊對象轉向普通用戶
持續性安全審計服務為 Web3 項目保駕護航
Web3 用戶安全意識需提高
不同賽道項目智能合約安全問題各不相同

活動嘉賓

智能合約安全對於區塊鏈項目構建與發展的重要性不言而喻，而專業的合約安全審計能夠為項目成長保駕護航。TinTinLand 邀請到在智能合約安全領域有着豐富審計經驗的六位嘉賓大咖作客本期活動，在回顧本期嘉賓們的精彩發言之前，先讓我們認識一下本期活動嘉賓：

本次活動的嘉賓主持人是來自 Moonbeam 中文社區經理 Yuki Pan。她在區塊鏈項目運營模式、公鏈生態拓展解決方案、技術落地等領域有多年的工作經驗。
來自區塊鏈安全審計機構 Armors 的嘉賓 Yety 有五年以上數字資產行業經驗。Armors 自 2017 年成立以來，累計為 2000 多家區塊鏈平臺、交易所、DApp 等項目提供安全審計、跨鏈遷移、平臺安全等全方位的服務，為客戶挽回近 40000 BTC 的資產。
嘉賓 Larry Yang 目前擔任 Certik 安全工程師，具有豐富的智能合約審計經驗。Certik 創立四年以來累計審計約 3500 個項目，審計項目總市值超過 3000 億美元，Certik 產品线豐富，除常規審計服務，還提供審計之後實時監測、事件分析等服務。
來自 SharkTeam 的嘉賓 Adam 是 6 項信息安全專利發明人，曾參與制定多項信息安全行業標准，是國內最早一批從事區塊鏈技術研發的技術人員之一。SharkTeam 致力於智能合約審計和鏈上安全分析，其自 2011 年成立後從 Web2 安全研究做到 Web3 安全審計，積累了豐富經驗。
信息安全專家 Rivaill 是 Supremacy 聯合創始人，為行業內多家項目方輸出過安全技術，目前專注於 Web3 領域的安全研究與工程實現。Supremacy 主要為 Web3 項目提供全生命周期的產品安全服務和解決方案。
Verilog Solutions 安全工程師 Daniel Tong 對智能合約安全有較深入的了解和研究。Verilog 主要做精品審計團隊，目前審計過的項目很多都成為行業中高口碑的龍頭項目。

目前基於智能合約的去中心化應用多種多樣，而不同類型項目又存在着不同的漏洞安全問題。那么，在智能合約安全評估過程中，常見的合約安全問題有哪些？本期活動嘉賓就基於多類型、多年的豐富審計經驗，向大家介紹了他們認知下的智能合約安全問題。

最普遍問題：合約漏洞

Daniel 老師提到目前智能合約安全問題中最普遍、最主要的問題就是合約漏洞問題。合約漏洞的類型有很多種，比如今年出現比較多的次數的就是 DNS 前端的網站劫持。但簡而言之，就是背後交互的合約被別人換掉，而往往合約地址前 4 位和後 4 位和真實的合約地址是一樣的，很多人經常用合約，可能也不一定能發現有什么問題。

合約安全之防外與防內

從安全審計的角度，Yety 老師提出目前其遇到的比較多的是數字資產增發、惡意後門、邀請機制邏輯設計缺陷問題。這裏其實出現了一個“防內”作惡的問題，比如某個項目如果要搞一些套路，就會开始無限地增發，很可能之後直接跑路、轉移 owner 權限等問題；此外還有假充值、控制權限等問題，很多項目內部出現了作惡問題。

攻擊對象從協議到用戶

根據多年的安全審計從業經驗，Rivaill 老師發現越來越多黑客從以前攻擊項目協議，到現在漸漸开始攻擊普通用戶。因此，不管是利用協議漏洞也好，通過欺詐、釣魚也好。目前來說，這個階段普通用戶需要有一個安全意識的提升。在如今的 Web3 生態中沒有或很少有法律能夠保護到普通用戶，我們只能在甄選優質項目的基礎上，自己保護自己。

價格操縱問題不容忽視

Larry 老師則分享了他在審計過程中發現的重要的一類安全問題“價格操縱”，這對於 DeFi 項目的發展至關重要。比如你可以抵押一個資產去借貸另外一種資產，如果可以用某種方法去提高我抵押品的價格，基於比較高的價格可以借貸很多的第二類資產，再返回發送的時候，對第一個資產的價格會讓其恢復到先前的比較類似的狀態。這時候其實這就是一個壞账，相當於可以不用理會借貸了，就能夠有一定的獲利。而這只是價格操縱中的一類，通過操縱預言機是近年常見的攻擊手段之一。

Adam 老師為大家總結了 2021 和 2022 兩年來智能合約安全問題四個方面內容。

語法層面經典漏洞

語法層面的經典漏洞問題在 2021 年和 2022 年上半年或者第一季度應該出現地比較多。如因為默克爾樹的結構問題，被盜了資金。再到權限控制漏洞，合約升級漏洞，如之前的笨小孩，這都屬於比較經典的合約安全漏洞。這其實是可以通過智能合約審計而有效的防止，所以大家在投資項目的時候一定要關注一下項目是否有過合約審計。

業務安全漏洞

這一層面雖不是合約安全的經典漏洞，但它也屬於合約安全的範疇，屬於業務安全漏洞。其實 DeFi 跟 NFT 項目出現的安全問題是有區別的，如操縱價格是 DeFi 項目比較容易出的問題，像 NFT 項目比較多的漏洞是參數設置漏洞，屬於業務安全漏洞。這一類漏洞其實是相對比較難以防範的。

價值風險和流動性風險

第三個層面是價值風險和流動性風險。實際上有些項目本身具有流動性風險的，這在 NFT 領域比較典型。尤其處於熊市，泡沫在 Web3 領域就會比較多地破裂，這跟技術層面沒有太大關系，屬於投資屬方面大家需要要注意的點。

資產被盜風險

第四個層面它不屬於 Web3 原生的技術安全問題，它是從 Web2 延伸過來的資產被盜。比如像現在今年非常多的釣魚攻擊，如今年上半年周傑倫的 NFT 也被盜了。大家要注意要保護好自己的私鑰，謹防自己的資產被盜。

合約審計構建項目安全之盾

據統計，盡管處於加密熊市周期下，2022 年區塊鏈安全領域總金額仍然達到了 137 億美元，攻擊事件更是較 2021 年大幅增加。如何應對猖獗的黑客攻擊？如何解決現有安全問題？2023 年，Web3 領域對於行業安全提出了更高、更迫切的需求。當下，智能合約審計無疑是解決安全問題的重要手段之一。

全面審計，為 Web3 項目保駕護航

Web3 項目是否有過合約安全審計是衡量項目未來的重要指標之一，而審計報告往往涉及很多技術內容，對於普通用戶的閱讀理解而言十分不友好。目前，Armors 除 Solidity, Rust 等智能合約外，已增加 Move 合約審計，基本上囊括了加密領域大部分智能合約審計，具有豐富的審計經驗。來自 Armors 的嘉賓 Yety 老師則解讀了安全審計的具體內容，以幫助大家快速掌握項目的安全度。

Yety 老師介紹道，Armors 團隊針對智能合約安全審計的內容主要有：權限漏洞、溢出、重入重放、攻擊、漏洞函數、惡意初始化操控、預言機回退攻擊、合約升級漏洞條件競爭、訪問控制、拒絕服務業務邏輯審計，還有能力安全使用的審計。此外還包括，預言機操控、外部模塊安全審計、區塊數據依賴安全審計等，共包括 18 個審計項目，以為項目方和用戶提供全面的審計信息。

審計之外，項目安全多維度分析

經歷了安全審計，該項目就是安全的嗎？答案自然是否定的。

對於對於普通用戶來說，衡量一個項目能不能參與很重要的一個標准是“這個項目有沒有經過審計”。但是經過了審計，並不能已經保證它安全，審計並不能作為一種項目背書。信息安全專家 Rivaill 提到很多項目提交審計代碼是不完整的，但卻也能掛上已審計的證明。他為我們帶來了五個維度上的安全分析和標准：

第一，需關注項目狀態的更新。

審計更多的是作為一種靜態的參考，其實除了審計之外，我們還是要有一些動態關注的點。比如第一點，我們是要關注項目狀態的更新。比如業務數值是否出現了異常，或者代理合約對邏輯合約指向是否更改，這都是我們需要動態關注的更新。

第二，項目所依賴的流動性風險及影響。

因為流動性過小，它可能會導致一個價格操縱的問題。比如有一些借貸平臺的這些抵押資產，它的流動性很小，就可以通過操縱抵押制成的價格來完成一個槓杆效應。

第三，針對治理的攻擊需要及時關注和規避。

我們需要看這個項目是否有它的治理，是否有異常的提案。因為我們知道對於這些大項目來說，都是一般有很多人關注，但是小項目就不一定，我們要經常關注，規避這類風險。

第四，注重項目更新的穩定性。

Rivaill 覺得項目是不建議頻繁更新的，因為每次引入新的東西都會造成一定的風險。因為審計目前都是單次的，因為單次的審計它是沒法對後續項目更新後提供保障。

第五，關注行業中新的攻擊向量。

攻擊向量是黑客用於發動攻擊的手段。我們都知道 Web3 生態是日新月異，每隔一段時間都會有一些新技術新的生態去出來。隨着這個技術的更新和各種邪惡的各種協議的組合，衍生針對 Web3 的攻擊向量，對於這些出來的新型的攻擊手段，我們是要對項目進行額外的測試。

暴露問題，才能更好地解決問題

為什么存在項目安全審計，Web3 的安全事件還是頻發？相信不少开發者會有這樣的疑惑。首先，智能合約存在各式各樣的潛在風險，而概括起來主要可分為後端（合約端）安全、前端交互安全和底層協議安全。在這其中，不僅僅是需要各項審計機構的單次服務，更加需要的是一個持續性的安全審計服務，以及不管是從項目方的自查、社會的監督，還是從第三方的專業機構上面的輔助，包括項目方自身的安全意識。

此外，Daniel 老師提到，“為什么提到 Web3 安全事件，大家能夠知道很多很多，而你卻從來沒有聽過淘寶、支付寶出現問題？”這是因為它的系統是封閉的，作為普通用戶你永遠沒有“權力”、“途徑”去知道它什么時候遇到了什么事。

而 Web3 是去中心化的、透明的，我們能夠時時刻刻看到它發生的任何事情。而極大的信息透明度帶來的就是無限的信息傳播，你需要去甄別去學習，普通人一定要學很多相關的知識去保護自己。Web3 整個行業現在還太早期了，暴露安全問題可以更好地解決問題，很多 Web3 團隊也缺乏網絡安全經驗，安全問題的解決是項目成長的必經之路。

比如近期 CertiK 團隊就主動出擊，通過調查證實目前市場上出現 KYC Actor 的亂象。Larry 與我們分享道，目前安全問題不僅是外部黑客問題，項目內部也會故意作惡去損害用戶利益，因此為了幫助用戶有效區分哪些團隊值得投資？哪些團隊具有高風險？开發了 KYC 這個產品。具體而言，CertiK 團隊會對團隊成員進行十分嚴格深入的背景調查，過程中會檢查證件、視頻會議詢問等，正是在這些調查過程中發現了地下 QIC 行業。

智能合約安全由誰守護？

對於普通用戶而言，如何守護自己的權益？嘉賓們為用戶帶來了兩個有效規避風險、守護自身資產安全的方法：

少交互：尤其是少同自己不熟悉的合約進行交互。最好的狀態是我們能夠知道每一步操作都在做什么？不要因為害怕錯失時機而進入一個網址就开始交易，不輕易的點擊一些來目來歷不明的鏈接網址。做好項目調研，明晰交易過程，尤其是投機性心理要盡量的避免，從而最大程度減少資產受損失的風險。
用戶私鑰保存和個人信息保護：各位用戶在每次創建錢包後，一定要安全正確的保護和備份好自己的私鑰，不要把私鑰和個人的信息泄露給別人。

智能合約安全問題後果嚴重，對於开發者而言，如何使自己的 Web3 項目更加安全？具有豐富合約審計經驗的嘉賓給出了以下建議：

第三方安全審計公司深度合作：好的審計公司不僅會審計代碼的安全性，能夠從最全面的維度上去保障項目的安全性，從而降低用戶資產受到損。
提高安全意識：开發者最好能夠養成一種防御性編碼的思維，每一個功能，每一個函數，每一個模塊的時候都要想是否可能會造成非預期的影響。構建完整個項目之後，提交審計的時候要也要多與審計機構進行溝通，順便也可以學習了解這方面的安全的知識。

智能合約安全問題的解決並非一朝一夕，非常感謝來自不同項目的審計專家同我們分享了他們關於合約安全問題的見解。通過本次分享會，我們不難發現智能合約安全的解決需要項目开發成員、專業審計團隊和用戶共同努力，提高安全意識，學習相關安全知識，智能合約安全將由每一位 Web3er 持續守護。