鏈圈必讀：一文看懂區塊鏈安全6大分類3大問題_區塊鏈:DecentralizedUnited

編者按：本文來自阿爾法公社，作者：阿爾法公社，星球日報經授權發布。一、導語2018年8月6日，騰訊安全發布《2018上半年區塊鏈安全報告》，報告顯示，目前在全球范圍內，已出現了1600余種加密數字貨幣，2018年上半年，區塊鏈領域因安全問題損失超27億美元，而且因區塊鏈安全事件損失的金額還在不斷攀升。從IOTA“郵件門事件”、USDT“假充值漏洞”、EOS“彩虹攻擊”，到BEC與SMT“整數溢出攻擊漏洞”、BTG“51%算力攻擊”等等，這一系列的事件引發了大家的廣泛關注與思考。區塊鏈安全威脅主要有哪些？為什么智能合約的安全問題如此重要，會引起這么多人關注？智能合約的安全類型有多少種？現在主流的安全監測方法有哪些？最有效的方法又是什么？大家如何能獲得安全無漏洞的智能合約代碼？針對這一系列問題，阿爾法公社對安比實驗室創始人郭宇進行了采訪，為大家系統介紹區塊鏈行業安全問題及主流解決方案。二、區塊鏈安全六大類型從安全角度來看，區塊鏈技術可分為五層，相應安全問題則為六大類。

區塊鏈2.0版本技術架構第一層，密碼學。密碼學是區塊鏈最底層的支撐技術，包含了哈希算法、數字簽名、隨機數等，如果這些密碼學技術存在問題或者漏洞，那么基于此的整個區塊鏈構建的信任將會坍塌。雖然目前密碼學技術已經頗為成熟，存在巨大漏洞的可能性比較小，但是仍然不排除一些項目存在問題。2017年7月15日，具有“物聯網世界第一幣”之稱IOTA收到了麻省理工學院附屬的學術研究組DCI的郵件，提醒IOTA團隊，IOTA的哈希算法Curl-P存在弱點，DCI可以對該系統進行成功的攻擊,竊取用戶資金。雖然IOTA隨后對DCI的郵件進行了質疑和反駁，到目前為止，也沒有用戶因為此漏洞而發生資金被盜的情況，但這一事件引起了大家對IOTA和其他項目在密碼學技術安全上的關注。

Dune 發布大語言模型路線圖，查詢解釋功能已集成 ChatGPT4:4月2日消息，區塊鏈分析平臺 Dune 在社區中發布大語言模型（LLM）路線圖，現已推出第一個 LLM 功能，并為用戶準備全套 LLM 功能與集成。Dune 已發布查詢解釋（Query Explanations），并集成 ChatGPT4，用戶可以點擊一個按鈕來顯示任何查詢的自然語言解釋，簡化 SQL 查詢。Dune 還通過 LLM 幫助用戶過渡到 Dune SQL。同時，Dune 支持使用 LLM 進行自然語言查詢，用戶可使用英語提出問題并查詢 Dune 數據集，而無需任何 SQL 知識。此外，Dune 還致力于研究解決如何在 Dune.com 上超過 70 萬張表與視圖中選擇正確的表的新方法；計劃使用 LLM 優化搜索與篩選；發布聊天機器人，幫助用戶快速瀏覽 Spellbook 與 Dune Docs 知識庫。[2023/4/2 13:40:24]

第二層，用戶私鑰的生成、使用與保護。用戶參與區塊鏈的憑證是一對公私鑰，每個人通過區塊鏈產生交互行為的前提就是他擁有安全的私鑰、并且能保管好自己的私鑰，因此私鑰的生成、試用與保護問題就非常重要。今年7月，EOS就因私鑰生成工具存在安全隱患，創建的私鑰被黑客發現漏洞，并實施“彩虹”攻擊，導致賬戶數字資產被盜，造成上千萬數字資產損失。第三層，節點系統安全漏洞。這一問題歸屬于傳統安全范疇，比如區塊鏈節點不能存在緩沖區溢出等傳統的安全漏洞。另外區塊鏈節點的實現要能忠實地正確實現區塊鏈的共識協議；節點不能暴露不該暴露的API接口，導致黑客可以無障礙的獲取一些節點關鍵信息。無論是以太坊還是EOS都曾經被爆出過比較嚴重的安全漏洞。這一部分安全也是至關重要的。第四層，底層共識協議。目前市場上主流的區塊鏈共識協議有以下幾種，POW、POS、DPOS、PBFT。底層共識協議決定了區塊鏈整個架構是否可信，能不能真正做到形成一個具有共識的區塊鏈。現在真正被證明安全的共識協議并不多，因為共識協議本身無論從理論、還是從技術實現上都不簡單。而經過長時間驗證的共識協議是比較安全的，比如像比特幣的POW。共識協議有一個不可能實現的三角關系：安全、去中心化和效率，這三者只能同時實現兩樣。如果追求效率，要么犧牲去中心化，要么犧牲安全。一個區塊鏈系統的共識協議是不是安全這個問題至關重要。理論上，基于底層共識協議創建的所有數字貨幣都是存在51%算力攻擊風險。今年上半年，就有至少4種數字貨幣分別受到了51%算力攻擊，分別是Monacoin、BitcoinGold、Verge和Electroneum，給用戶造成數千萬美元損失。

Cosmos 生態協議 Noble 將于周一發布主網:金色財經報道，Cosmos 生態代幣協議 Noble 將于周一發布主網，Noble 首席執行官 Jelena Djuric 表示，平臺已經過六個月的開發，使用 Cosmos 軟件開發工具包 (SDK) 構建，旨在幫助發行人管理他們的代幣：銷毀、鑄造、黑名單和其他功能，幫助深化整個 Cosmos DeFi 領域的流動性。Djuric 表示，從某種意義上說，Noble 希望通過成為他們的代幣工廠來激發代幣發行以從其他第 1 層生態系統轉移流動性，希望通過與協議和機構合作來促進原生資產的發行。[2023/3/25 13:26:10]

美劇《硅谷》中“51%算力攻擊”第五層，智能合約。智能合約是一套以數字形式定義的承諾(promises)，包括合約參與方可以在上面執行這些承諾的協議。任何參與方都能在應用層創建合約，也就是所謂的DAPP。這也是目前出現安全問題最多的地方。智能合約安全隱患包含了三個方面：第一，有沒有漏洞。合約代碼中是否有常見的安全漏洞。第二，是否可信。沒有漏洞的智能合約，未必就安全，合約要保證公平可信。第三，符合一定規范和流程。由于合約的創建要求以數字形式來進行定義承諾，所以如果合約的創建過程不夠規范，就容易留下巨大的隱患。目前市場上很多智能合約均存在安全漏洞問題，比如，6月3日，安比實驗室發現Ethereum上出現81個合約帶有相同錯誤，ERC20Token合約中的transferFrom函數存在巨大隱患，一旦部署后出現問題，將造成不可挽回的損失；6月6日，安比實驗室發現ERC20代幣合約FXE由于業務邏輯實現漏洞，任何人都可以隨意轉出他人賬戶中的Token，Token隨時面臨徹底歸零風險。

Web3身份驗證初創公司Dynamic已上線公測版與多鏈錢包適配器:3月6日消息，Web3身份驗證初創公司Dynamic宣布公測版現已上線，并推出免費的多鏈錢包適配器。公測版支持功能包括：電子郵件與社交賬號登錄、嵌入式錢包、SDKv2、用戶配置文件。多鏈錢包適配器旨在幫助用戶獲得DynamicSDK的靈活性。

此前報道，Web3身份驗證初創公司Dynamic于2022年6月宣布完成750萬美元種子輪融資，本輪融資由a16z領投，CastleIsland Ventures、Solana Ventures、Circle Ventures、Breyer Capital、Hypersphere和Chapter One等參投。

[2023/3/6 12:44:24]

作為區塊鏈行業從業者、智能合約使用者或是加密貨幣擁有者，應該學習相應的密碼學和智能合約編程知識，切不可隨意復制使用涉及資金安全的合約和公私鑰等的代碼。如果惡意攻擊者，將帶有嚴重漏洞的代碼公開在網絡上進行傳播，誘導技術開發能力欠缺的組織使用，將會給使用者造成毀滅性打擊和不可挽回的損失。第六層，激勵機制設計。智能合約要完成協作，通常是要設計相應的經濟激勵機制。經濟激勵是區塊鏈技術里面非常有突破性的一個概念。一個真正健康有活力的區塊鏈生態，需要一個很好的激勵機制。但是經濟激勵設計得不夠安全，可能生態就無法建設起來，比如典型的類龐氏游戲，這一點大家要警惕。三、智能合約三大問題前面介紹的六層區塊鏈安全問題，都是依托相應的技術層級來劃分的，越底層的技術越穩定，比如密碼學從一開始選定之后，就不會輕易改動。智能合約由于比較靈活，任何人都可以創建，所以相對容易出安全問題。任何用戶都能創建一個有共識基礎的合約，就好像是每個老百姓都可以基于某部法律寫一份合同，這個法律是一種共識機制，這個合同也是有內在的約束條款，使用DAPP就像簽訂合同，所有行為都要按照這個合同條款執行。因此，智能合約的安全隱患，直接關系到用戶的財產損失。到目前為止，安比實驗室發現了市場上智能合約的三大問題：第一，以整數溢出為代表的安全漏洞。安全漏洞通常是被寫代碼的人不小心引入的，它可能引起合約某些功能部件失效，最嚴重的情況，可能導致黑客攻擊、用戶丟幣、甚至黑客憑空造出來很多的幣。比如BEC、SMT、EDU，曾經就因整數溢出安全漏洞，被黑客攻擊從而導致幣值歸零。第二，智能合約權限控制。一般智能合約里會設置一個管理員，管理員一般擁有超級權限，這類合約的安全隱患比較大，因為一旦管理員的私鑰被盜用，很容易造成巨大損失。據安比實驗室不完全統計，排名前570名的Token合約中，有342個合約存在只有管理員能調用的功能，不少合約更存在管理員任意鑄幣、燒幣、凍結賬戶、關停轉賬等過高權限。今年7月10日，加密貨幣交易平臺Bancor稱遭到攻擊，丟失了當時折算法幣金額為1250萬美金的以太坊、1000萬美金的Bancor代幣和100萬美金的Pundix代幣。經過我們分析發現，這次Bancor平臺被盜事件就是與BancorConverter合約有關，攻擊者通過獲取了管理員賬戶的私鑰，借用管理員身份盜走用戶的Token，給用戶造成巨大損失。

數據：在Polygon上構建的dApp數量已超過37,000個:8月11日，據官方消息，根據Web3開發平臺Alchemy的最新數據，在Polygon上構建的去中心化應用程序 (dApp)數量已超過37,000個，這幾乎是三月份的兩倍，是今年年初的四倍。

月活團隊（Polygon PoS鏈上開發人員活動的最直接衡量標準）數量在7月底超過了11800個，而3月份僅為8000多個。越來越多的項目選擇完全基于Polygon進行構建。74%的團隊專門集成在Polygon上，26%同時部署在Polygon和以太坊上。迄今為止，Polygon PoS擁有超過1.42億個唯一用戶地址和50億美元的資產，已處理超過16億筆交易。

據悉，PoS鏈只是Polygon系列產品的一部分，該系列產品還包括Polygon Supernets，一個用于構建特定應用鏈的快速通道，Polygon Avail可擴展的數據可用層，以及許多零知識項目。[2022/8/11 12:17:25]

第三，規范性問題。現在很多智能合約的實現并沒有統一的規范。智能合約是以交互的方式多人協作，如果合約不規范，容易導致不同人對合約的行為產生誤解，從而出現大量的安全問題。比如，今年陸續爆出的“假充值”事件，包括以太坊代幣、USDT等，根據一家機構進行的不完全統計顯示，市場上的單代幣合約有3619份存在“假充值”漏洞風險，其中不乏知名代幣。正常情況下，充值過程中轉賬不成功，賬戶將無法充值，賬戶余額仍然是0。但如果合約存在“假充值”漏洞，在轉賬不成功的時候，系統并不會顯示充值失敗，交易所就會誤判結果為充值成功。如果有黑客發現這一漏洞，就會一直進行“假”充值，之后再把這筆錢提出，給交易所帶來直接損失。四、形式化驗證的重要性目前，市場上針對智能合約安全問題的檢驗方式主要有三種，第一是測試，第二是審計，第三是形式化驗證。測試需要程序自動跑，通過各種可能性的輸入，檢測是否存在整數溢出漏洞等問題。但這個測試通常不可能百分之百覆蓋，一定會有遺漏存在。審計就是靠專家的專業知識去審核，但再專業的專家也可能會有疏漏。前兩種傳統的方式，并不能保證合約中沒有漏洞，但形式化驗證能做到這一點。形式化驗證可以解決三類問題，第一類是安全無漏洞：通過數學推理的方法，捕捉、覆蓋合約的所有行為，覆蓋所有可能性，從而保證合約沒有漏洞。第二類是可信：公開透明。合約的創建者不僅要說明白干了什么事，還要向大家證明代碼確實是這么干的。這個也是目前只能用形式化驗證才能做得到。第三類是規范性問題。前面提到的假充值漏洞，就是因為以太坊的ERC20規范，寫得非常模糊、不完整。那怎么樣能寫完整呢？這就要求合約的規范就不能用自然語言，或文字描述，而是應該引入形式化規范，用一種數學邏輯語言來嚴格定義。形式化驗證在工業界、尤其是安全系統相關領域，已經有了大量應用案例，比如航空航天、高鐵、核電等行業，都有專門的團隊提供形式化驗證服務，其作用與效果早就得到了安全行業專家的認可。目前，形式化驗證包括模型檢驗和演繹推理兩種。安比實驗室在演繹推理方面積累了十幾年的科研成果和工程經驗，技術在全球比較領先。相對權威和安全的公司，比如Zeppelin和以太坊官網都曾經公布過有問題的智能合約代碼。如果能有一個更可信，不依賴權威的智能合約代碼庫，開放給所有人使用，將能很好地解決這個問題。在這方面，安比實驗室已經做了大量工作，并且目前建立全球第一家可信的開源智能合約代碼庫，方便大家免費使用。

派盾：疑似三箭資本相關地址再次被清算1716枚ETH:6月15日消息，派盾預警監測顯示，據推測與三箭資本相關地址（0x716034C25D9Fb4b38c837aFe417B7f2b9af3E9AE）再次被清算1716枚ETH。 此前消息，上述地址在此前被清算11857枚ETH。[2022/6/15 4:29:02]

Tags：區塊鏈LYGDUNPOL區塊鏈通俗易懂的例子圖polygon幣怎么挖礦DecentralizedUnitedpoloniexVIP

DOT