文章來源:阿爾法公社
一、導語
2018年8月6日,騰訊安全發布《2018上半年區塊鏈安全報告》,報告顯示,目前在全球范圍內,已出現了1600余種加密數字貨幣,2018年上半年,區塊鏈領域因安全問題損失超27億美元,而且因區塊鏈安全事件損失的金額還在不斷攀升。從IOTA「郵件門事件」、USDT「假充值漏洞」、EOS「彩虹攻擊」,到BEC與SMT「整數溢出攻擊漏洞」、BTG「51%算力攻擊」等等,這一系列的事件引發了大家的廣泛關注與思考。
區塊鏈安全威脅主要有哪些?為什么智能合約的安全問題如此重要,會引起這么多人關注?智能合約的安全類型有多少種?現在主流的安全監測方法有哪些?最有效的方法又是什么?大家如何能獲得安全無漏洞的智能合約代碼?針對這一系列問題,我們對安比實驗室創始人郭宇進行了采訪,為大家系統介紹區塊鏈行業安全問題及主流解決方案。
二、區塊鏈安全六大類型
從安全角度來看,區塊鏈技術可分為五層,相應安全問題則為六大類。
區塊鏈2.0版本技術架構
第一層,密碼學。密碼學是區塊鏈最底層的支撐技術,包含了哈希算法、數字簽名、隨機數等,如果這些密碼學技術存在問題或者漏洞,那么基于此的整個區塊鏈構建的信任將會坍塌。
《財富》:Sam Altman通過Worldcoin項目“可能已賺得數百萬美元”:金色財經報道,據《財富》雜志旗下加密欄目Fortune Crypto披露,CoinmarketCap數據顯示,OpenAI聯創Sam Altman 推出的加密項目Worldcoin在周一凌晨觸及3.31美元高點,市值一度接近3億美元,目前其價格已回落至2.1美元區間。Fortune Crypto指出,由于Worldcoin價格上漲或讓Sam Altman獲得大量利益,但目前該項目背后開發公司代表拒絕就Sam Altman本人的代幣分配數量發表評論,因此無法確認他具體獲利金額,但“可能已賺得數百萬美元”。(Fortune Crypto)[2023/7/25 15:56:54]
雖然目前密碼學技術已經頗為成熟,存在巨大漏洞的可能性比較小,但是仍然不排除一些項目存在問題。2017年7月15日,具有「物聯網世界第一幣」之稱IOTA收到了麻省理工學院附屬的學術研究組DCI的郵件,提醒IOTA團隊,IOTA的哈希算法Curl-P存在弱點,DCI可以對該系統進行成功的攻擊,竊取用戶資金。雖然IOTA隨后對DCI的郵件進行了質疑和反駁,到目前為止,也沒有用戶因為此漏洞而發生資金被盜的情況,但這一事件引起了大家對IOTA和其他項目在密碼學技術安全上的關注。
第二層,用戶私鑰的生成、使用與保護。用戶參與區塊鏈的憑證是一對公私鑰,每個人通過區塊鏈產生交互行為的前提就是他擁有安全的私鑰、并且能保管好自己的私鑰,因此私鑰的生成、試用與保護問題就非常重要。
基于Pendle的DeFi產品Penpie將在Camelot上進行代幣PNP的IDO計劃:5月18日消息,由跨鏈交易基礎設施 Magpie 與 DeFi 收益率協議 Pendle 合作推出的 DeFi 產品 Penpie 將在 Camelot 上推出其治理和收入分享代幣 PNP 的 IDO 計劃,此次參與 IDO 的 PNP 代幣數量占總供應量的 20%,硬頂為 60 萬美元,IDO 計劃代幣的 30% 將于 TGE 結束后立即解鎖,剩下將在一年內線性解鎖。其中 xGRAIL 持有者將有資格分配 IDO 計劃中 PNP 代幣銷售總額的 35%,mPENDLE 持有者占比 30%,vlMGP 持有者占比 25%,Penpie 流動性提供者 占比 10%,具體配額在以上類別中對應的份額。[2023/5/18 15:10:23]
今年7月,EOS就因私鑰生成工具存在安全隱患,創建的私鑰被黑客發現漏洞,并實施「彩虹」攻擊,導致賬戶數字資產被盜,造成上千萬數字資產損失。
第三層,節點系統安全漏洞。這一問題歸屬于傳統安全范疇,比如區塊鏈節點不能存在緩沖區溢出等傳統的安全漏洞。另外區塊鏈節點的實現要能忠實地正確實現區塊鏈的共識協議;節點不能暴露不該暴露的API接口,導致黑客可以無障礙的獲取一些節點關鍵信息。無論是以太坊還是EOS都曾經被爆出過比較嚴重的安全漏洞。這一部分安全也是至關重要的。
Amboss完成400萬美元種子輪融資,Draper Associates等參投:4月26日消息,比特幣閃電網絡數據分析初創公司Amboss宣布完成400萬美元種子輪融資,Stillmark、ValorEquity Partners、Draper Associates、Fulgur Ventures和RideWave Ventures等參投,新資金將用于AI研究和產品開發,推動節點和渠道管理自動化。
據悉,Amboss使用數據、分析和社交組件使用戶能夠在通過閃電網絡路由支付方面做出戰略決策。Ambos稱目前Kraken Exchange和Jack Dorsey的Block子公司TBD的閃電網絡節點均在Amboss平臺托管。[2023/4/26 14:26:52]
第四層,底層共識協議。目前市場上主流的區塊鏈共識協議有以下幾種,POW、POS、DPOS、PBFT。底層共識協議決定了區塊鏈整個架構是否可信,能不能真正做到形成一個具有共識的區塊鏈。現在真正被證明安全的共識協議并不多,因為共識協議本身無論從理論、還是從技術實現上都不簡單。而經過長時間驗證的共識協議是比較安全的,比如像比特幣的POW。共識協議有一個不可能實現的三角關系:安全、去中心化和效率,這三者只能同時實現兩樣。如果追求效率,要么犧牲去中心化,要么犧牲安全。
一個區塊鏈系統的共識協議是不是安全這個問題至關重要。
公鏈Sei發布白皮書:引入Twin-Turbo共識和并行化Cosmos鏈:10月28日消息,公鏈Sei Network發布白皮書,并表示“在協議級別,Sei利用Twin-Turbo共識和并行化來提高性能。Sei還擁有一個本地訂單匹配引擎,以及進行重大的協議改進,以推動Tendermint Core達到速度極限。”
白皮書指出,Sei Network引入Twin-Turbo共識,以顯著改善區塊構建和處理時間。Sei Network也是第一個并行化Cosmos鏈,這允許同時處理獨立交易,改善整體吞吐量和延遲問題。
據此前報道,今年8月,Sei Labs完成500萬美元種子輪融資,Multicoin Capital領投,Coinbase Ventures、GSR、Flow Traders、Hudson River Trading、Delphi Digital、Tangent等參投。[2022/10/28 11:51:55]
理論上,基于底層共識協議創建的所有數字貨幣都是存在51%算力攻擊風險。今年上半年,就有至少4種數字貨幣分別受到了51%算力攻擊,分別是Monacoin、BitcoinGold、Verge和Electroneum,給用戶造成數千萬美元損失。
第五層,智能合約。智能合約是一套以數字形式定義的承諾(promises),包括合約參與方可以在上面執行這些承諾的協議。任何參與方都能在應用層創建合約,也就是所謂的DAPP。這也是目前出現安全問題最多的地方。
V神:以太坊不需要為Layer 1使用單一的ZK-EVM實現進行標準化:金色財經報道,以太坊創始人Vitalik Buterin發文解釋了“不同類型的ZK-EVM和類似ZK-EVM的項目,以及它們之間的權衡”。V神例舉了描述了多個EVM等價的不同“類型”的分類,以及嘗試實現每種類型的好處和成本。
V神總結稱,就我個人而言,我希望隨著時間的推移,通過ZK-EVM的改進和以太坊本身的改進相結合,使其對ZK-SNARK更加友好,一切都將成為Type1。在這樣的未來,我們將有多個ZK-EVM實現,它們既可以用于ZK匯總,也可以用于驗證以太坊鏈本身。
從理論上講,以太坊不需要為Layer1使用單一的ZK-EVM實現進行標準化;不同的客戶可以使用不同的證明,因此我們繼續從代碼冗余中受益。但是,要實現這樣的未來,還需要相當長的時間。與此同時,我們將在擴展以太坊和基于以太坊的ZK-rollup的不同路徑中看到許多創新。[2022/8/4 12:02:16]
智能合約安全隱患包含了三個方面:第一,有沒有漏洞。合約代碼中是否有常見的安全漏洞。第二,是否可信。沒有漏洞的智能合約,未必就安全,合約要保證公平可信。第三,符合一定規范和流程。由于合約的創建要求以數字形式來進行定義承諾,所以如果合約的創建過程不夠規范,就容易留下巨大的隱患。
目前市場上很多智能合約均存在安全漏洞問題,比如,6月3日,安比實驗室發現Ethereum上出現81個合約帶有相同錯誤,ERC20Token合約中的transferFrom函數存在巨大隱患,一旦部署后出現問題,將造成不可挽回的損失;6月6日,安比實驗室發現ERC20代幣合約FXE由于業務邏輯實現漏洞,任何人都可以隨意轉出他人賬戶中的Token,Token隨時面臨徹底歸零風險。
作為區塊鏈行業從業者、智能合約使用者或是加密貨幣擁有者,應該學習相應的密碼學和智能合約編程知識,切不可隨意復制使用涉及資金安全的合約和公私鑰等的代碼。如果惡意攻擊者,將帶有嚴重漏洞的代碼公開在網絡上進行傳播,誘導技術開發能力欠缺的組織使用,將會給使用者造成毀滅性打擊和不可挽回的損失。
第六層,激勵機制設計。智能合約要完成協作,通常是要設計相應的經濟激勵機制。經濟激勵是區塊鏈技術里面非常有突破性的一個概念。一個真正健康有活力的區塊鏈生態,需要一個很好的激勵機制。但是經濟激勵設計得不夠安全,可能生態就無法建設起來,比如典型的類龐氏游戲,這一點大家要警惕。
三、智能合約三大問題
前面介紹的六層區塊鏈安全問題,都是依托相應的技術層級來劃分的,越底層的技術越穩定,比如密碼學從一開始選定之后,就不會輕易改動。
智能合約由于比較靈活,任何人都可以創建,所以相對容易出安全問題。
任何用戶都能創建一個有共識基礎的合約,就好像是每個老百姓都可以基于某部法律寫一份合同,這個法律是一種共識機制,這個合同也是有內在的約束條款,使用DAPP就像簽訂合同,所有行為都要按照這個合同條款執行。因此,智能合約的安全隱患,直接關系到用戶的財產損失。
到目前為止,安比實驗室發現了市場上智能合約的三大問題:
第一,以整數溢出為代表的安全漏洞。安全漏洞通常是被寫代碼的人不小心引入的,它可能引起合約某些功能部件失效,最嚴重的情況,可能導致黑客攻擊、用戶丟幣、甚至黑客憑空造出來很多的幣。比如BEC、SMT、EDU,曾經就因整數溢出安全漏洞,被黑客攻擊從而導致幣值歸零。
第二,智能合約權限控制。一般智能合約里會設置一個管理員,管理員一般擁有超級權限,這類合約的安全隱患比較大,因為一旦管理員的私鑰被盜用,很容易造成巨大損失。據安比實驗室不完全統計,排名前570名的Token合約中,有342個合約存在只有管理員能調用的功能,不少合約更存在管理員任意鑄幣、燒幣、凍結賬戶、關停轉賬等過高權限。
今年7月10日,加密貨幣交易平臺Bancor稱遭到攻擊,丟失了當時折算法幣金額為1250萬美金的以太坊、1000萬美金的Bancor代幣和100萬美金的Pundix代幣。經過我們分析發現,這次Bancor平臺被盜事件就是與BancorConverter合約有關,攻擊者通過獲取了管理員賬戶的私鑰,借用管理員身份盜走用戶的Token,給用戶造成巨大損失。
第三,規范性問題。現在很多智能合約的實現并沒有統一的規范。智能合約是以交互的方式多人協作,如果合約不規范,容易導致不同人對合約的行為產生誤解,從而出現大量的安全問題。
比如,今年陸續爆出的「假充值」事件,包括以太坊代幣、USDT等,根據一家機構進行的不完全統計顯示,市場上的單代幣合約有3619份存在「假充值」漏洞風險,其中不乏知名代幣。
正常情況下,充值過程中轉賬不成功,賬戶將無法充值,賬戶余額仍然是0。但如果合約存在「假充值」漏洞,在轉賬不成功的時候,系統并不會顯示充值失敗,交易所就會誤判結果為充值成功。如果有黑客發現這一漏洞,就會一直進行「假」充值,之后再把這筆錢提出,給交易所帶來直接損失。
四、形式化驗證的重要性
目前,市場上針對智能合約安全問題的檢驗方式主要有三種,第一是測試,第二是審計,第三是形式化驗證。測試需要程序自動跑,通過各種可能性的輸入,檢測是否存在整數溢出漏洞等問題。但這個測試通常不可能百分之百覆蓋,一定會有遺漏存在。審計就是靠專家的專業知識去審核,但再專業的專家也可能會有疏漏。前兩種傳統的方式,并不能保證合約中沒有漏洞,但形式化驗證能做到這一點。
形式化驗證可以解決三類問題,第一類是安全無漏洞:通過數學推理的方法,捕捉、覆蓋合約的所有行為,覆蓋所有可能性,從而保證合約沒有漏洞。第二類是可信:公開透明。合約的創建者不僅要說明白干了什么事,還要向大家證明代碼確實是這么干的。這個也是目前只能用形式化驗證才能做得到。第三類是規范性問題。前面提到的假充值漏洞,就是因為以太坊的ERC20規范,寫得非常模糊、不完整。那怎么樣能寫完整呢?這就要求合約的規范就不能用自然語言,或文字描述,而是應該引入形式化規范,用一種數學邏輯語言來嚴格定義。
形式化驗證在工業界、尤其是安全系統相關領域,已經有了大量應用案例,比如航空航天、高鐵、核電等行業,都有專門的團隊提供形式化驗證服務,其作用與效果早就得到了安全行業專家的認可。
目前,形式化驗證包括模型檢驗和演繹推理兩種。安比實驗室在演繹推理方面積累了十幾年的科研成果和工程經驗,技術在全球比較領先。
相對權威和安全的公司,比如Zeppelin和以太坊官網都曾經公布過有問題的智能合約代碼。如果能有一個更可信,不依賴權威的智能合約代碼庫,開放給所有人使用,將能很好地解決這個問題。在這方面,安比實驗室已經做了大量工作,并且目前建立全球第一家可信的開源智能合約代碼庫,方便大家免費使用。
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
阿爾法公社
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626991.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
智能合約史上最大規模攻擊手法曝光,盤點黑客團伙作案細節
Tags:區塊鏈以太坊OINCOI區塊鏈技術發展現狀和趨勢以太坊官網錢包下載教程cointiger交易所排名KWHCoin
宇宙就是一座黑暗森林,每個文明都是帶槍的獵人,像幽靈般潛行于林間,輕輕撥開擋路的樹枝,竭力不讓腳步發出一點兒聲音,連呼吸都必須小心翼翼,他必須小心,因為林中到處都有與他一樣潛行的獵人.
1900/1/1 0:00:00在數字資產行業,安全是永恒的話題。從智能合約到交易所,再到數字錢包,安全事件往往給人們帶來慘痛的代價和痛苦的回憶。然而,大多數沒有經歷過安全事件的人,卻依舊存在僥幸心理.
1900/1/1 0:00:00人在家中坐,禍從天外來。這話用來形容Zcash的近日運勢或許正合適。在上周一個區塊鏈峰會上,德勤、安永的專家在評價Zcash時可謂不留情面.
1900/1/1 0:00:005月22日火幣Prime第三期IEO將上線穩定幣項目ReserveProtocol。作為一個穩定幣項目,Reserve采取了先中心化、再去中心化的模式,前期推出由美元擔保由信托公司持有的穩定幣,
1900/1/1 0:00:00作者:共享財經Neo 近日,BSV對7月份升級2G區塊的代碼進行了更新。 更新概括如下: 1、最大可接受的區塊到達10G,但默認還是128M.
1900/1/1 0:00:002018中國計算機大會于10月25-27日在杭州國際博覽中心舉辦,Google中日韓文搜索算法的主要設計者、豐元創投創始合伙人吳軍發表了《超級智能時代》的主題演講.
1900/1/1 0:00:00