金色薦讀 | 2021區塊鏈生態安全報告

2022-02-09 15:02:02

本文由Fairyproof原創,授權金色財經發布。

概述

2021 年對加密貨幣⽽⾔真是個熱⽕朝天的年份。

根據 coinmarketcap.com 的數據顯示,⽐特幣的價格從年初 1 ⽉ 1 ⽇的 28994.01 美元到年尾 12 ⽉ 31 ⽇漲到了 46306.45 美元, 並在 11 ⽉ 10 ⽇創出歷史新⾼ 68789.63 美元;以太坊從年初 1 ⽉ 1 ⽇的 737.71 美元到年尾 12 ⽉ 31 ⽇漲到了 3682.63 美元,並 在 11 ⽉ 16 ⽇創出歷史新⾼ 4891.7 美元。在⽐特幣和以太坊的帶領下,  coinmarketcap.com 統計的整個加密貨幣市場總市值從年 初 1 ⽉ 1 ⽇的 7730 億美元到年尾 12 ⽉ 31 ⽇漲到了 22560 億美元。

⼀⽅⾯市場⾏情持續⽕爆,  另⼀⽅⾯加密貨幣全⾏業也迎來了爆發式成⻓。層出不窮的創新和應⽤顛覆了我們對技術、商業和⽂化 等的理解和認知:  我們⻅證了以太坊第⼆層擴展的爆發[1][2],我們從未想到它會來得如此突然;我們⻅證了 DeFi 2.0 對傳統 DeFi 商業模式的顛覆[3];我們⻅證了 NFT ⼀躍成為元宇宙⽣態中身份的標識[4][5];我們⻅證了鏈遊⽣態中崛起的 play-to-earn 模式 [6][7]......

就像硬幣有兩⾯⼀樣, 對加密貨幣⾏業⽽⾔, ⼀⾯我們看到了其蓬勃發展的⽣態, 但另⼀⾯我們也經歷了觸⽬驚⼼的安全事故。 2021 年加密貨幣全⾏業公开報道的安全事故⾄少有 189 起,⾄少有 76 億美元的加密資產在這些安全事故中損失。

這些安全事故不僅給加密資產持有者造成了⃞⃞損失也嚴⃞影響甚⃞阻礙了整個加密⃞業⃞態的⃞期發展。

Fairyproof 研究團隊研究了公开報道的189 起典型安全事故,  分析了其中的原因並將經驗、教訓進⾏總結,  匯成了本報告,  期待與 業界同仁及讀者交流,共同促進加密⾏業的良性發展,保障加密資產的全⾯安全。

背景知識

在我們深⼊探討之前,有必要先介紹本報告中會頻繁提及的⼀些基本概念及術語。

什么是區塊鏈

區塊鏈是⼀個持續增⻓的數據集鏈表。這些數據集被稱為區塊。這些區塊通過加密算法前後相互鏈接[8][9][10][11]。這些區塊中除 了第⼀個區塊(也被稱為“創世區塊”)  以外,  每個區塊都包含前⼀個區塊的哈希值、本區塊的時間戳、交易數據等[12]。只要區塊 鏈系統持續正常運作,  這些區塊前後鏈接就會構成⼀條永遠不斷增⻓的鏈式結構。通常已經記錄在區塊鏈中的交易和數據是⽆法回 滾和篡改的。如果要回滾或篡改某個區塊中的交易或數據,  則此區塊後所有區塊的交易和數據都要回滾或篡改,  ⽽這在技術上和經 濟上都有相當的難度。

⽐特幣是區塊鏈技術的第⼀個應⽤。它為區塊鏈⽣態的發展开闢了全新、⽆限的想象空間。在⽐特幣之後,  區塊鏈⽣態开始爆發式 成⃞,為全⃞類帶來了全新的視⃞和⃞象。

⽆許可型區塊鏈 VS 許可型區塊鏈

基本上所有現有的區塊鏈系統都可以被分為兩類:  ⽆許可型區塊鏈(permissionless blockchain)和許可型區塊鏈(permissioned blockchain)。

⽆許可型區塊鏈有時也被稱為公有區塊鏈,  它是⼀個开放的⽹絡系統,  任何⼈都可以作為節點在⽆需授權的情況下參與其共識的達 成、參與對數據和區塊的驗證[13]。這個⽹絡中所有的節點相互之間都⽆需預先建⽴信任關系。⽐特幣是第⼀個⽆許可型區塊鏈。

許可型區塊鏈是⼀個封閉的⽹絡系統,  只有經過授權的節點才可以進⼊⽹絡參與共識的達成、數據和區塊的驗證等活動。這些節點 通常是某個聯盟的成員、某個組織或公司的部⻔等。

由於⽆許可型區塊鏈是個开放的系統,  任何⼈都可以參與區塊驗證、打包等活動並使⽤系統,  因此它吸引了全球科技愛好者參與其 ⽣態系統的構建和开發。

此外,  在⽆許可型區塊鏈中,  為了維系系統的⾃治和運作,  其設計开發者會賦予其⼀種被稱為是“挖礦”的機制。這種機制會對成功 打包有效區塊的節點進⾏獎勵, 獎勵通常以加密貨幣的形式發放。在這種機制的激勵下, 來⾃全球的節點會參與系統的維護和運作。

因此,⽆許可型區塊鏈⽣態的成⻓和發展⼗分迅猛。

但與此同時,    由於⽆許可型區塊鏈允許任何節點⽆⻔檻地加⼊系統的運作,因此惡意節點也難免加⼊其中,通過作惡甚⾄對系統 的攻擊獲取加密貨幣的獎勵。從這個⻆度審視,  ⽆許可型區塊鏈更容易受到⿊客的攻擊,  ⿊客既可以作為惡意節點從系統內部攻擊 也可以以傳統⽅式從系統外部攻擊。

這些綜合因素的疊加使得⽆許可型區塊鏈的安全保障和維護相對於許可型區塊鏈⽽⾔更加復雜、更加困難。

什么是 DAPP

DAPP 是去中⼼化應⽤程序  (decentralized application)  的英⽂簡稱。這是⼀種運⾏在區塊鏈上,由⼀個或多個智能合約組成核 ⼼,包括前端、後臺等構件的應⽤程序[15][16] 。  如果承載⼀個 DAPP 運⾏的區塊鏈是⽆許可型區塊鏈,則這個 DAPP 就能在⽆需 中⼼化媒介控制和⼲預的情況下⾃治地運⾏。

這種 DAPP 通常是开源、透明、公开的,任何⼈都可以⽆需許可地與其交互。這類 DAPP 的开發者為了吸引盡可能多的⽤戶使⽤ 它並保障 DAPP 的⻓期开發和維護,會在 DAPP 中加⼊加密貨幣的發⾏機制,⽤發⾏的加密貨幣獎勵使⽤ DAPP 的⽤戶和开發團 隊。這種加密貨幣發⾏機制通常也會成為⿊客的攻擊⽬標。

這些特點也使得 DAPP 和⽆許可型區塊鏈⼀樣很容易被⿊客攻擊。

本報告的研究內容

對⽆許可型區塊鏈、  DAPP 和涉及加密貨幣業務的中⼼化機構及組織的攻擊或其⾃身出現的安全事故⼴泛存在於加密貨幣領域,  並 且⽇益嚴峻,對這些攻擊和安全事故的探討、研究和防範是加密貨幣領域的焦點,也是我們研究的核⼼。

對於其中的攻擊事件⽽⾔,  發起攻擊的⿊客通常會將攻擊獲取的加密貨幣兌換成錨定法幣(通常是美元)  的穩定幣或直接兌換為法 幣離場。

Fairyproof 研究團隊對 2021 年發⽣、經公开報道的典型安全事故進⾏了系統的統計和總結,在本報告中羅列了相關數據、分析了 事故的成因、並列舉了防範這些事故的可⾏建議和有效措施。

2021 年安全事故的統計數據及分析

我們研究了媒體公开報道的 2021 年發⽣的 189 起安全事故,在本章羅列了我們統計的相關數據並分析了這些事故的原因和要點。

基於被攻擊對象對安全事故的分類研究

根據被攻擊對象的不同,我們將 189 起安全事故分為兩類:區塊鏈類安全事故和 DAPP 類安全事故。

區塊鏈(blockchain)類安全事故是指區塊鏈系統遭到來⾃內部節點或外部⿊客的攻擊或由於區塊鏈客戶端軟件或節點硬件等事故 ⽽使區塊鏈系統⽆法正常的⼯作,從⽽使得攻擊者從中漁利或使得區塊鏈原⽣加密貨幣持有者受到損失。

DAPP 類安全事故是指 DAPP 受到攻擊或者 DAPP 因⾃身缺陷⽆法正常⼯作,從⽽使得攻擊者從中漁利或者 DAPP 發⾏的加密貨 幣持有者受到損失。

在總共 189 起安全事故中,區塊鏈類安全事故數和 DAPP 類安全事故數各⾃所佔的百分⽐如下圖所示:


      金色薦讀 | 2021區塊鏈生態安全報告

如上圖所示,  DAPP 類安全事故數佔⽐超過了 95%,共有 181 起,只有 8 起為區塊鏈類安全事故。

區塊鏈類安全事故

我們深⼊研究了區塊鏈類安全事故,將其分為三個⼦類:區塊鏈主⽹(blockchain  mainnet)、側鏈(sidechain)和第⼆層擴展 (layer 2 solution)。

區塊鏈主⽹也被稱為  lay 1,  它有⾃⼰獨⽴的共識機制、驗證節點等。區塊鏈主⽹的節點可以獨⽴驗證交易、數據,達成共識,使 區塊鏈獲得最終⼀致性。⽐特幣和以太坊就是典型的區塊鏈主⽹。

側鏈也是單獨的區塊鏈,  但它通常伴隨⼀條區塊鏈主⽹平⾏運作。側鏈也有⾃⼰的⽹絡系統、共識機制和驗證節點。它和區塊鏈主 ⽹相連,兩者相連的⽅式有多種,常⻅的包括雙向錨定(two-way peg)  [17]等。

第⼆層擴展是指依賴區塊鏈主⽹的協議或⽹絡系統[18]。第⼆層擴展⽆法⾃⼰取得最終的⼀致性和安全性,必須依賴區塊鏈主⽹獲 得。第⼆層擴展的主要功能和⽬標是解決區塊鏈主⽹的性能擴展問題。第⼆層擴展通常擁有相較於主⽹更加⾼效、更低費⽤的業務 處理能⼒。⽬前第⼆層擴展技術發展得最迅速、最有活⼒的是依托於以太坊的第⼆層擴展技術。以太坊的第⼆層擴展技術和⽣態在 2021 年取得了⻓⾜的進展。

側鏈和第⼆層擴展技術都是為了解決區塊鏈主⽹的性能問題。這兩者典型的區別在於側鏈可以不依賴於區塊鏈主⽹獲得安全性和最 終⼀致性,⽽第⼆層擴展則必須依賴區塊鏈主⽹。

我們統計的 2021 年區塊鏈類安全事故總共有 8 起,  下圖展示了區塊鏈主⽹、側鏈和第⼆層擴展各個類別中發⽣的安全事故數所佔比例。



      金色薦讀 | 2021區塊鏈生態安全報告

如上圖所示, 區塊鏈主⽹發⽣的安全事故佔整個區塊鏈類安全事故的⽐例為 62.5%  ,總共有 5 起,涉及的區塊鏈主⽹有 Solana[19]、 ETC[20]、BSV[21]、Verge[22]和 Firo[23];側鏈發⽣的安全事故總共有 2 起, 涉及的側鏈有 Polygon[24]和 Liquid Network[25];  第⼆層擴展發⽣的安全事故有 1 起,涉及的第⼆層擴展系統是 Arbitrum One[26].

在 5 個涉及區塊鏈主⽹的安全事故中,  有 4 起(ETC 、BSV 、Verge 和 Firo)  都是遭到了 51%攻擊[27],  其根本原因是這些區塊鏈 主⽹的算⼒都相對較低,  這使得⿊客可以⽐較容易地通過租借算⼒的⽅式發動對主⽹的攻擊。剩下的⼀起(Solana)  則是因為主⽹ 受到了 DOS 攻擊[28]。


      金色薦讀 | 2021區塊鏈生態安全報告

DAPP 類安全事故

我們分析研究了 DAPP 類安全事故,  進⼀步將其分為三個⼦類:  DAPP 前端事故(front-end)、  DAPP 後臺事故(server side)、 DAPP 合約事故(smart contract)。

DAPP 前端事故主要是 DAPP 中涉及傳統信息技術的客戶端中出現了安全漏洞導致⽤戶的账戶信息、個⼈信息等被盜從⽽導致⽤戶 的加密資產被盜或損失。

DAPP 後臺事故主要是 DAPP 中涉及傳統信息技術的服務器端出現安全漏洞導致 DAPP 的後臺服務與鏈上交互過程被劫持從⽽導致 ⽤戶的加密資產被盜或損失。

DAPP 合約事故主要是 DAPP 的智能合約出現安全漏洞導致⽤戶的加密資產被盜或損失。

 在總共 181 起 DAPP 類安全事故中,這三類安全事故的案例數佔⽐如下圖所示:


      金色薦讀 | 2021區塊鏈生態安全報告

如上圖所示,前端安全事故數佔⽐為 8.84%、後臺安全事故數佔⽐為  11.05%、合約安全事故數佔⽐為  80.11%,  三者具體的事故 數分別為 16 起、  20 起和 145 起。我們進⼀步研究了這三類安全事故導致的損失⾦額,得到下⾯的統計圖:


      金色薦讀 | 2021區塊鏈生態安全報告

我們的統計數據顯示前端安全事故造成的損失達 2.8 億美元、後臺安全事故造成的損失達 3.91 億美元、合約安全事故造成的損失 達 69.3 億美元;三者的佔⽐分別為 3.68% 、  5.14%和 91.17%。

盡管前端安全事故導致的損失⾦額所佔的⽐例並不⾼,  但其中有不少個案都涉及較⼤的⾦額,  ⽐如 Vulcan Forged[29]的事故導致 了 1.4 億美元的損失、  BadgerDAO[30]的事故導致了 1.2 億美元的損失、  Farmer World[31]的事故導致了 1570 萬美元的損失。

顯然,  合約安全事故是最⼤的隱患。在合約安全事故中,  我們進⼀步研究發現出現的典型攻擊包括閃電貸  (  flashloans)  [32] 、缺 少權限驗證、通證精度計算錯誤、數值溢出、⃞⃞攻擊、  AMM 算法漏洞、假通證存儲/抵押、雙花、治理攻擊等。

我們統計分析了不同漏洞導致的合約事故的數量,得到下列統計圖:


      金色薦讀 | 2021區塊鏈生態安全報告

我們研究了不同原因造成的合約事故所導致的損失⾦額,得到下列統計圖:


      金色薦讀 | 2021區塊鏈生態安全報告

有趣的是,  我們發現盡管由缺少權限驗證導致的安全事故在數量上明顯少於由閃電貸引發的安全事故,  但前者所導致的損失⾦額則 ⼤⼤⾼於後者,兩者所導致的損失⾦額佔⽐分別為10.48%和 4.45%。

2021 年,閃電貸逐漸成為攻擊者常⽤的⼯具, ⽤來攻擊 DeFi 類 DAPP。⼀些典型的 DeFi 類 DAPP 如 Cream Finance[33]、Spartan Protocol[34] 、YFI[35] 、  Indexed  Finance[36]都遭到了閃電貸攻擊。有些甚⾄多次遭遇閃電貸攻擊,⽐如 AutoShark[37]被攻擊 三次,  Pancake Bunny[38] 、  BurgerSwap[39]和 Cream Finance 都被攻擊兩次。

基於事故原因對安全事故的分類研究

我們基於導致安全事故的發⽣原因將 189 起安全事故分為了三⼤類:  由⿊客攻擊導致(attacksfrom hackers)、由不當操作導致 (improper operations)和由項⽬⽅不當⾏為導致(rug-pulls)。

我們統計分析了這三類原因導致的安全事故數量,得到下列統計圖:


      金色薦讀 | 2021區塊鏈生態安全報告

如上圖所示,  由⿊客攻擊導致的安全事故數量佔⽐最多,  ⾼達 86.24%,  其次是由項⽬⽅不當⾏為導致,   佔⽐為 11.11%,最後是由 不當操作導致,佔⽐為 2.65%。具體到安全事故數量,三者分別為163 起、  21 起和 5 起。

我們研究了這些事故原因造成的損失⾦額,得到下列統計圖:


      金色薦讀 | 2021區塊鏈生態安全報告

如上圖所示,由項⽬⽅不當⾏為導致的損失⾦額佔⽐最⾼,達 66.18%,   由⿊客攻擊導致的損失⾦額佔⽐為 32.72%,由不當操作 導致的損失⾦額佔⽐為 1.10%。有趣的是盡管由項⽬⽅不當⾏為導致的安全事故數遠⼩於由⿊客攻擊導致的安全事故數,但在損失 ⾦額上,前者遠⾼於後者。在總計 76 億美元的損失⾦額中,由項⽬⽅不當⾏為導致的損失⾦額、由⿊客攻擊導致的損失⾦額和由 不當操作導致的損失⾦額分別為 50.3 億美元、  24.9 億美元和8354 萬美元。

由⿊客攻擊導致的安全事故

我們研究了由⿊客攻擊導致的安全事故,分析了其中的漏洞種類,得到下列統計圖:


      金色薦讀 | 2021區塊鏈生態安全報告

如上圖所示,兩有個被⿊客利⽤進⾏攻擊的漏洞分別是私鑰泄露(admin  key  being  compromised)和缺少權限驗證(missing validation for access control)。這兩者所引發的安全事故數量所佔的⽐例分別為 11.66%和 9.20% ,整體上所佔⽐例並不⾼

但當我們研究了兩者所導致的損失⾦額後, 發現了有趣的現象, 得到的統計圖如下所示:


      金色薦讀 | 2021區塊鏈生態安全報告

和前⼀幅統計圖形成相當⼤反差的是: 由私鑰泄露所導致的損失⾦額佔⽐和由缺少權限驗證所導致的⾦額損失佔⽐在總⾦額中佔⽐ 不⼩,兩者分別是 24.93%和 29.2%。

在諸多由私鑰泄露導致的安全事故中,  涉及了⼀些中⼼化加密資產交易所,  ⽐如 BitMEX[40]損失了 1.5 億美元、  Liquid[41]損失了 9100 萬美元、  AscendEX[42]損失了 7700 萬美元、  HitBtc[43]損失了 4000 萬美元、  Bilaxy[44]損失了 2170 萬美元。

要指出的是, 在這⼀⼩節我們所討論的安全事故涉及的被攻擊對象包括智能合約、 DAPP 前端和 DAPP 後臺。如果我們僅考慮 DAPP 前端和後臺,則私鑰泄露就是最主要的安全隱患。

由項⽬⽅不當⾏為導致的安全事故(Rug-pulls)

在 2021 年,由項⽬⽅不當⾏為導致的安全事故衝擊了⼤量 DAPP ,包括 DeFi 類應⽤和中⼼化加密資產交易所。

我們統計的由項⽬⽅不當⾏為導致的安全事故共有 21 起,其中 2 起是中⼼化加密資產交易所,  19 起是 DAPP。


我們研究了這些案例,得到下列統計圖:


      金色薦讀 | 2021區塊鏈生態安全報告

如上圖所示,涉及中⼼化加密資產交易所的案例數僅佔 9.52%,  ⽽ 90.48%都是涉及 DAPP 的案例。

我們進⼀步研究了這兩類事故的涉案⾦額,得到下列統計圖:


      金色薦讀 | 2021區塊鏈生態安全報告

如上圖所示,  盡管涉及中⼼化交易所的案例數遠遠⼩於涉及 DAPP 的案例數,  但前者的涉案⾦額遠⾼於後者,  前者的涉案⾦額佔⽐ 為 97.4%,  ⽽後者僅佔 2.6%。

由不當操作導致的安全事故(IMPROPER OPERATIONS)

總共有  5  起由不當操作導致的安全事故,所有的案例都發⽣在  DAPP ,更確切地說都是  DeFi  應⽤,包括了著名的項⽬如 Compound[45] 、  dYdX[46] 。  這些安全事故總共造成的損失⾦額達 8354 萬美元。

研究總結

除了常⻅的區塊鏈主鏈和側鏈事故,  2021 年出現了新⽣的發⽣於第⼆層擴展系統的安全事故。但這類安全事故的數量仍然少於側 鏈,當然也遠少於主鏈。

我們基於安全事故的涉案受害對象進⾏研究,發現由⿊客攻擊導致的事故數量佔⽐接近  90%,由此可⻅⿊客攻擊仍然整個加密領 域最⼤的威脅。

DAPP 安全事故所涉及的前端、後臺和智能合約三類中,  ⽆論是從案例數量上看還是從涉案⾦額上看,  智能合約安全漏洞引發的事 故都遠超前端和後臺漏洞引發的事故。從案例數量上看,  智能合約佔⽐為 80.11%,  接着是後臺佔⽐達 11.05%,  最後是前端佔⽐達 8.84% 。  從涉案⾦額上看,智能合約佔⽐為 91.17%,  接着是後臺佔⽐達 5.14%,  最後是前端佔⽐達 3.68%。

前端安全相對智能合約安全⼀直以來並不受到加密領域安全業者的關注,但它的漏洞在  2021 年引發了⼏起涉案⾦額較⼤的事故, 其中有兩起每起的涉案⾦額都超過了 1 億美元, 分別是 Vulcan Forged 和 BadgerDAO,損失⾦額分別為 1.4 億美元和 1.2 億美元。

在由前端和後臺漏洞引發的安全事故中,私鑰泄露仍然是 2021 年這兩個領域最⼤的安全隱患。

我們研究了與智能合約相關的安全事故後發現:  由閃電貸導致的攻擊案例數遠超任何其它類別,  位居第⼀;  由缺少權限驗證導致的

攻擊案例數位居第⼆;但由後者導致的損失⾦額則遠⾼於前者,也⾼於任何其它類別。

在所有 189 起安全事故中,  盡管由⿊客攻擊導致的安全事故超過任何其它類別,  ⽐如由項⽬⽅不當⾏為導致的安全事故,  但後者造 成的損失⾦額則遠超前者。

在 2021 年,  由項⽬⽅不當⾏為導致的安全事故涉及 DAPP 和中⼼化加密資產交易所。其中 DAPP 的涉案數⽬遠超中⼼化加密資產 交易所的涉案數,  但後者的涉案⾦額卻遠超前者。由此可⻅,  從涉案⾦額來看,  中⼼化加密資產交易所仍然是最⼤的安全隱患,  這 ⼀點對加密資產持有者來說要引起⾼度關注。

FAIRYPROOF ⽅案示例

基於我們的研究和分析,  我們認為安全領域最⼤的挑战來⾃於三個⽅⾯:  閃電貸攻擊、缺少權限驗證和項⽬⽅不當⾏為。這三類事 故⼴泛存在於智能合約領域。⽽它們在某種程度上是可以借助⾃動化⼯具鑑別和防範的。

在本章,我們將介紹 Fairyproof 針對這三類事故开發的解決⽅案。

漏洞探查系統(Vulnerability Detection System)

漏洞探查系統的⼯作流程如下:


      金色薦讀 | 2021區塊鏈生態安全報告

步驟 1:  掃描源代碼。

步驟  2:  檢查函數的修飾符及可⻅性,提取函數的⾏為參數。

步驟  3:  將提取的函數的⾏為參數與 Fairyproof 標准庫中存儲的函數的標准⾏為參數進⾏對⽐,檢查兩者的差異。

步驟 4:  對每個函數的⾏為參數及其與標准參數的差異,  對照漏洞庫中的漏洞參數檢查可能存在的系統漏洞。對每個典型漏洞,  系

統將建⽴⼀個列表,將⾏為參數可疑的函數加⼊對應的列表。

步驟  5:  對每⼀個列表中的每⼀個函數項,  使⽤ Fairyproof 开發的⾏為曲线擬合算法  (behavior curve-fitting algorithm),  運⽤ 機器學習驗證其是否為潛在⻛險。

步驟  6:  如果在第 5 步中⼀個函數的⾏為被判定為有潛在⻛險,則該函數將被標記並發送給⼯程師進⾏核驗。

步驟 7:  ⼯程師將審計核驗第 6 步挑選出的所有函數,判定其是否為⻛險項。

這套⼯具和流程極⼤加快了審計過程的⾃動化,減少了繁復的⼈⼯投⼊,提⾼了審計效率和正確率。

我們使⽤這套⼯具發現了⼀系列典型的⻛險,其中就包括可能引發閃電貸攻擊的⻛險和缺少權限驗證的⻛險。

下例是我們在審計過程中發現的⼀個可能被閃電貸攻擊的案例。在代碼截圖中,  getAmountOut()函數從某個去中⼼化交易所的⼀ 個交易對中獲取 reserve 值,並⽤其計算UBT 的價格。這種計算⽅式就可能遭遇閃電貸攻擊。


      金色薦讀 | 2021區塊鏈生態安全報告

我們發現此問題後,建議項⽬⽅使⽤更安全的價格獲取機制(預⾔機)來計算相關通證的價格。

下列是我們在審計過程中發現的⼀個缺少權限驗證的案例。在下例代碼中,  管理員可以通過調⽤ setRate 函數任意設置 rate,  這可 能導致通證交易被搶跑。


      金色薦讀 | 2021區塊鏈生態安全報告

下列函數可能被搶跑攻擊。


      金色薦讀 | 2021區塊鏈生態安全報告

利⽤上述⼯具,這個缺少權限驗證的問題很快就被發現了,對此我們建議項⽬⽅取消這個函數或對該函數的調⽤設置權限控制。

通證探查系統(TOKEN VARIANCE DETECTION SYSTEM)

為了⾃動化監測⼀個通證合約是否存在潛在⻛險,  例如是否遵照以太坊通證標准,  我們开發了通證探查系統。該系統的運⾏過程如 下:

步驟 1:  掃描合約源代碼

步驟  2:  根據合約定義的函數、接⼝、繼承關系等特性解構合約,並⽣成m!   ×  n  矩陣 A,  該矩陣量化此合約的特性。


      金色薦讀 | 2021區塊鏈生態安全報告

步驟  3:  搜索數據庫中存儲的標准通證模型如  ERC-20  通證、  ERC-721  通證 、  ERC-1155  通證。這些模型可量化為n  ×  m" 、 n  ×  m# 、  ...... 、  n  ×  m$    的矩陣B", B#, . . . B$    。

步驟 4:  計算矩陣的點積A ∙ B", A ∙ B#, . . . , A ∙ B$ 得到 m!   ×  m" 的矩陣C" 、  m!   ×  m# 的矩陣C# 、  ...  、  m!   ×  m$ 的矩陣C! 。

步驟  5:  矩陣中的每個元素都表示⼀個潛在⻛險點的⻛險值,如果該值越⾼則表明該⻛險點的⻛險越⾼。

步驟  6:  Fairyproof ⼯程師將審核檢查這些⻛險點,並得出最終結論。

基於這套⼯具及這個⾃動化流程,我們快速發現了去年⼀些熱⻔空投項⽬的顯著不同點,⽐如我們發現了 MaskDAO 通證收取“稅 費(tax)”的⾮典型特徵,如下所示:


      金色薦讀 | 2021區塊鏈生態安全報告

這種⾃動化⼯具也幫助我們迅速定位到⼀些空投通證項⽬中特殊的處理⽅式,⽐如 SOS 、  MASK 、  GDO 、  GAS 使⽤的鏈下處理⽅ 式,如下圖所示:


      金色薦讀 | 2021區塊鏈生態安全報告

防範安全事故的可⾏⼿段及建議

在本節,我們將基於對 2021 年安全事故的總結和分析,分別從开發者和⽤戶的⻆度羅列⼀些防範安全事故的可⾏⼿段及建議。我 們建議开發者和⽤戶都參照這些建議在⽇常的开發、維護、運營、交易等⾏為中⼩⼼謹慎,做好安全防範⼯作。

注意:  這⾥的开發者既包括區塊鏈客戶端應⽤的开發者,  也包括 DAPP 及所有和加密資產相關的應⽤的开發者。這⾥的⽤戶指所有 參與到加密資產及相關系統運營、操作、交易、持有等活動的參與者。

對开發者的建議

對基於⼯作量證明機制(PoW)的⽆許可型區塊鏈⽽⾔,防範其被攻擊最好的⽅式就是發展它的⽣態系統,激勵更多的節點參與系 統的挖礦,提升系統的整體算⼒。

2021 年,在所有擴展區塊鏈主⽹性能的⽅案中,盡管側鏈發⽣安全事故的案例數多於第⼆層擴展,但第⼆層擴展技術是新興的技 術,  它未來的發展會迅速推進,  ⽣態也會⽇益繁榮,  因此對第⼆層擴展技術安全性的關注不能掉以輕⼼。作為开發者⽽⾔應該未⾬ 綢繆,積極深⼊地研究相關技術,找到防範安全事故的⽅案和措施。

對於 DAPP 的整體安全⽽⾔, 由智能合約的漏洞引發的安全事故依舊是⾸要值得關注的領域, 但前端和後臺的安全也必須引起⃞視。 尤其在審計⽅⾯,對前端和後臺的審計將成為審計的必然選項。

對於存在管理員控制關鍵操作的 DAPP ,必須將管理員權限轉移到多籤錢包或者 DAO 來管理。

閃電貸和對操作權限的驗證是合約开發者時刻要注意的兩⼤⻛險點。正確合理地處理這兩⼤⻛險點也是开發者在設計和編碼智能合 約時必須注意的頭等事項。

對⽤戶的建議

對於持有基於⼯作量證明機制(PoW)的區塊鏈加密貨幣的⽤戶⽽⾔,必須關注該區塊鏈的整體算⼒⽔平。如果該區塊鏈系統的算 ⼒較低,則可能遭遇 51%攻擊,從⽽影響所持有加密貨幣的價值。

側鏈技術和第⼆層擴展技術都還處於發展初期,  都還不夠成熟和健壯,  很有可能遭遇安全事故。因此在准備參與或持有相關加密貨 幣之前,  ⽤戶最好仔細審視相關⽅案的安全性,  以免持有的加密貨幣所依賴的相關⽅案因安全性⽋佳導致所持有的加密資產價值受 損。

當和 DAPP 進⾏交互時,  ⽤戶不僅要關注其智能合約的安全,  也要關注其前端和後臺的安全,  尤其要注意不要輕易點擊可疑的信息 或鏈接。

強烈建議⽤戶在參與加密貨幣投資及交互之前,  仔細審閱相關項⽬是否有審計報告,  並仔細閱讀相關的審計報告以便知曉第三⽅機 構對其安全性的評估。

強烈建議⽤戶使⽤冷錢包管理不⽤於頻繁交易的加密資產。在使⽤熱錢包時注意使⽤時周邊的硬件環境和軟件環境的安全性。

對开發團隊身份匿名的項⽬,  ⽤戶應該提⾼警惕。⼀些從未有過業內聲譽的團隊开發和運營的項⽬可能存在跑路⻛險。對中⼼化交 易所⽤戶要關注其運營團隊的身份和背景,對聲譽較低的團隊運營的中⼼化交易所要⼩⼼其跑路⻛險。

作者:Fairyproof Tech CEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程(Industrial Engineering) 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc(San Jose, CA, USA) 軟件工程師,負責底層控制系統的开發、設備制程的程序實現、算法的設計,並負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

參考資料:

[1] Arbitrum Portal, https://portal.arbitrum.one/

[2] Optimism, https://www.optimism.io/

[3] “DeFi 2.0: A beginner's guide to the second generation of DeFi protocols”.

https://cointelegraph.com/defi- 101/defi2-0-a-beginners-guide-to-the-second-generation-of-defi-protocols.

[4] CryptoPunks. https://www.larvalabs.com/cryptopunks

[5] BAYC. https://boredapeyachtclub.com/

[6] Axie Infinity. https://axieinfinity.com/

[7] “Play-To-Earn Gaming Is Driving NFT And Crypto Growth”. 

https://www.forbes.com/sites/robertfarrington/2021/12/13/play-to-earn-gaming-is-driving-nft-and-crypto-growth/?sh=7f3afd1dc2dc . December 13, 2021   [8] Morris, David Z. (15 May 2016). "Leaderless, Blockchain-Based Venture Capital Fund Raises $100 Million, And Counting". Fortune. Archived from the original on 21 May 2016. Retrieved 23 May 2016.

[9] Popper, Nathan (21 May 2016). "A Venture Fund With Plenty of Virtual Capital, but No Capitalist". The New York Times. Archived from the original on 22 May 2016. Retrieved 23 May 2016.

[10] "Blockchains: The great chain of being sure about things". The Economist. 31 October 2015. Archived from the original on 3 July 2016. Retrieved 18 June 2016. The technology behind bitcoin lets people who do not know or trust each other build a dependable ledger. This has implications far beyond the crypto     currency.

[11] Narayanan, Arvind; Bonneau, Joseph; Felten, Edward; Miller, Andrew; Goldfeder, Steven (2016). Bitcoin and cryptocurrency technologies: a comprehensive introduction. Princeton: Princeton University Press. ISBN 978-0-691- 17169-2.

[12] Blockchain. https://en.wikipedia.org/wiki/Blockchain. January 4, 2022

[13] Stifter N, Judmayer A, Schindler P, et al. What is Meant by Permissionless Blockchains?[J]. IACR Cryptol. ePrint Arch., 2021, 2021: 23 [14] Stifter N, Judmayer A, Schindler P, et al. What is Meant by Permissionless Blockchains?[J]. IACR Cryptol. ePrint Arch., 2021, 2021: 23.

[15] DApp,[1] "CVC Money Transmission Services Provided Through Decentralized Applications (DApps)" (PDF). FinCEN. Retrieved 2019-05-09. [16] dApp,[2] "IEEE DAPPS 2020". ieeedapps.net. Archived from the original on 2020-04-26. Retrieved 2020-08- 15.

[17] Sidechains. https://ethereum.org/en/developers/docs/scaling/sidechains/

[18] Layer-2. https://academy.binance.com/en/glossary/layer-2

[19] Solana. https://solana.com/

[20] ETC. https://ethereumclassic.org/

[21] BSV. https://bitcoinsv.com/

[22] Verge. https://vergecurrency.com/

[23] Firo. https://firo.org/

[24] Polygon. https://polygon.technology/

[25] Liquid Network. https://river.com/learn/terms/l/liquid-network/

[26] Arbitrum One. https://portal.arbitrum.one/

[27] “What Is a 51% Attack?”. https://www.coindesk.com/learn/what-is-a-51-attack/ . October 12, 2021

[28] Denial-of-service attack. https://en.wikipedia.org/wiki/Denial-of-service_attack . January, 2022

[29] Vulcan Forged. https://vulcanforged.com/

[30] Badger DAO. https://app.badger.com/

[31] Farmers World. https://farmersworld.io/

[32] Flash-loans. https://aave.com/flash-loans/

[33] Cream Finance. https://app.cream.finance/

[34] Spartan Protocol. https://spartanprotocol.org/

[35] Yearn Finance. https://yearn.finance/#/home

[36] Indexed Finance. https://indexed.finance/

[37] AutoShark. https://autoshark.finance/

[38] Pancake Bunny. https://pancakebunny.finance/

[39] BurgerSwap. https://burgerswap.org/

[40] BitMEX. https://www.bitmex.com/

[41] Liquid. https://www.liquid.com/

[42] AscendEX. https://ascendex.com/

[43] HitBTC. https://hitbtc.com/zh_CN

[44] Bilaxy. https://bilaxy.com/

[45] Compound Finance. https://compound.finance/

[46] dYdX. https://dydx.exchange/

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

馬斯克再度出手 時隔三年重現激光眼造型

美國大選正在進行中,各種"爆款 meme"層出不窮。 今日凌晨,美國現任總統拜登宣布退出2024年...

加密小蝶
123 5個月前

狗狗幣價格展望:10億美元資金湧入後的DOGE能否觸及10美元大關?

狗狗幣(DOGE)當前正處於積極的上漲軌道上,其價格穩固於0.1381美元附近,並在盤中一度觸及0...

橙子說什么
119 5個月前

全新區塊鏈項目ATM2.0版成功發布 創新機制引領幣圈新風尚

在區塊鏈技術日新月異的今天,一款名為ATM2.0版的全新加密貨幣項目橫空出世,以其獨特的經濟模型和...

商業信息
159 5個月前

BNB Chain 的 meme Summer$FOUR傳承 CZ “4” 文化

自 2023 年开始,一張Binance首席執行官趙長鵬 ( CZ ) 經常在其推特账號上發手比“...

JSEUB1mp
129 5個月前

幣安發錢了 BNB HODLer 空投首發「Banana Gun」 幣價飆升創新高

今日凌晨,幣安宣布了第一期HODLer 空投的代幣為BANANA,其是Banana Gun 機器人...

半入清風
126 5個月前

下周能破新高?

TradingView的數據顯示 ,7月19日BTC/USD價格在64000美元左右,過去一周上漲...

愛抄底的劉坤
120 5個月前