加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

金色薦讀 | 2021區塊鏈生態安全報告_區塊鏈:DAP

Author:

Time:1900/1/1 0:00:00

概述

2021?年對加密貨幣??真是個熱?朝天的年份。

根據?coinmarketcap.com?的數據顯示,?特幣的價格從年初?1???1??的?28994.01?美元到年尾?12??31?漲到了?46306.45美元,?并在?11???10??創出歷史新??68789.63?美元;以太坊從年初?1???1??的?737.71?美元到年尾?12???31??漲到了?3682.63美元,并?在?11???16??創出歷史新??4891.7?美元。在?特幣和以太坊的帶領下,??coinmarketcap.com?統計的整個加密貨幣市場總市值從年?初?1??1?的7730?億美元到年尾12??31??漲到了22560?億美元。

???市場?情持續?爆,??另???加密貨幣全?業也迎來了爆發式成?。層出不窮的創新和應?顛覆了我們對技術、商業和?化?等的理解和認知:??我們?證了以太坊第?層擴展的爆發,我們從未想到它會來得如此突然;我們?證了?DeFi?2.0對傳統?DeFi?商業模式的顛覆;我們?證了?NFT??躍成為元宇宙?態中身份的標識;我們?證了鏈游?態中崛起的?play-to-earn?模式?......

就像硬幣有兩??樣,?對加密貨幣?業??,???我們看到了其蓬勃發展的?態,?但另??我們也經歷了觸?驚?的安全事故。?2021?年加密貨幣全?業公開報道的安全事故?少有?189?起,?少有?76?億美元的加密資產在這些安全事故中損失。

這些安全事故不僅給加密資產持有者造成了??損失也嚴?影響甚?阻礙了整個加密?業?態的?期發展。

Fairyproof研究團隊研究了公開報道的189?起典型安全事故,??分析了其中的原因并將經驗、教訓進?總結,??匯成了本報告,??期待與?業界同仁及讀者交流,共同促進加密?業的良性發展,保障加密資產的全?安全。

背景知識

在我們深?探討之前,有必要先介紹本報告中會頻繁提及的?些基本概念及術語。

什么是區塊鏈

區塊鏈是?個持續增?的數據集鏈表。這些數據集被稱為區塊。這些區塊通過加密算法前后相互鏈接。這些區塊中除?了第?個區塊??以外,??每個區塊都包含前?個區塊的哈希值、本區塊的時間戳、交易數據等。只要區塊?鏈系統持續正常運作,??這些區塊前后鏈接就會構成?條永遠不斷增?的鏈式結構。通常已經記錄在區塊鏈中的交易和數據是?法回?滾和篡改的。如果要回滾或篡改某個區塊中的交易或數據,??則此區塊后所有區塊的交易和數據都要回滾或篡改,???這在技術上和經?濟上都有相當的難度。

?特幣是區塊鏈技術的第?個應?。它為區塊鏈?態的發展開辟了全新、?限的想象空間。在?特幣之后,??區塊鏈?態開始爆發式?成?,為全?類帶來了全新的視?和?象。

?許可型區塊鏈?VS?許可型區塊鏈

基本上所有現有的區塊鏈系統都可以被分為兩類:???許可型區塊鏈和許可型區塊鏈。

?許可型區塊鏈有時也被稱為公有區塊鏈,??它是?個開放的?絡系統,??任何?都可以作為節點在?需授權的情況下參與其共識的達?成、參與對數據和區塊的驗證。這個?絡中所有的節點相互之間都?需預先建?信任關系。?特幣是第?個?許可型區塊鏈。

許可型區塊鏈是?個封閉的?絡系統,??只有經過授權的節點才可以進??絡參與共識的達成、數據和區塊的驗證等活動。這些節點?通常是某個聯盟的成員、某個組織或公司的部?等。

由于?許可型區塊鏈是個開放的系統,??任何?都可以參與區塊驗證、打包等活動并使?系統,??因此它吸引了全球科技愛好者參與其??態系統的構建和開發。

此外,??在?許可型區塊鏈中,??為了維系系統的?治和運作,??其設計開發者會賦予其?種被稱為是“挖礦”的機制。這種機制會對成功?打包有效區塊的節點進?獎勵,?獎勵通常以加密貨幣的形式發放。在這種機制的激勵下,?來?全球的節點會參與系統的維護和運作。

因此,?許可型區塊鏈?態的成?和發展?分迅猛。

但與此同時,????由于?許可型區塊鏈允許任何節點??檻地加?系統的運作,因此惡意節點也難免加?其中,通過作惡甚?對系統?的攻擊獲取加密貨幣的獎勵。從這個?度審視,???許可型區塊鏈更容易受到?客的攻擊,???客既可以作為惡意節點從系統內部攻擊?也可以以傳統?式從系統外部攻擊。

這些綜合因素的疊加使得?許可型區塊鏈的安全保障和維護相對于許可型區塊鏈??更加復雜、更加困難。

什么是?DAPP

DAPP?是去中?化應?程序????的英?簡稱。這是?種運?在區塊鏈上,由?個或多個智能合約組成核??,包括前端、后臺等構件的應?程序?。??如果承載?個?DAPP?運?的區塊鏈是?許可型區塊鏈,則這個?DAPP?就能在?需?中?化媒介控制和?預的情況下?治地運?。

金色晨訊 | 11月28日隔夜重要動態一覽:21:00-7:00關鍵詞:PlusToken、灰度、以太坊2.0、公信寶

1. PlusToken 傳銷案所扣押數字貨幣或已依法出售;

2. 灰度資產管理總規模降至108億美元;

3. 以太坊2.0存款合約地址余額突破80萬枚ETH;

4. 烏克蘭數字轉型部發布加密貨幣教育網絡節目;

5. 媒體:公信寶主體運營公司此前被查封或因黃敏強開設賭場罪;

6. 歐洲央行董事會成員:大型科技公司和穩定幣可能會擾亂歐洲金融體系;

7. 俄羅斯銀行業對數字盧布提議感到擔憂。[2020/11/28 22:24:35]

這種?DAPP?通常是開源、透明、公開的,任何?都可以?需許可地與其交互。這類?DAPP?的開發者為了吸引盡可能多的?戶使??它并保障?DAPP?的?期開發和維護,會在?DAPP?中加?加密貨幣的發?機制,?發?的加密貨幣獎勵使??DAPP?的?戶和開發團?隊。這種加密貨幣發?機制通常也會成為?客的攻擊?標。

這些特點也使得?DAPP?和?許可型區塊鏈?樣很容易被?客攻擊。

本報告的研究內容

對?許可型區塊鏈、??DAPP?和涉及加密貨幣業務的中?化機構及組織的攻擊或其?身出現的安全事故?泛存在于加密貨幣領域,??并?且?益嚴峻,對這些攻擊和安全事故的探討、研究和防范是加密貨幣領域的焦點,也是我們研究的核?。

對于其中的攻擊事件??,??發起攻擊的?客通常會將攻擊獲取的加密貨幣兌換成錨定法幣??的穩定幣或直接兌換為法?幣離場。

Fairyproof研究團隊對?2021?年發?、經公開報道的典型安全事故進?了系統的統計和總結,在本報告中羅列了相關數據、分析了?事故的成因、并列舉了防范這些事故的可?建議和有效措施。

2021?年安全事故的統計數據及分析

我們研究了媒體公開報道的?2021?年發?的?189?起安全事故,在本章羅列了我們統計的相關數據并分析了這些事故的原因和要點。

基于被攻擊對象對安全事故的分類研究

根據被攻擊對象的不同,我們將?189?起安全事故分為兩類:區塊鏈類安全事故和?DAPP?類安全事故。

區塊鏈類安全事故是指區塊鏈系統遭到來?內部節點或外部?客的攻擊或由于區塊鏈客戶端軟件或節點硬件等事故??使區塊鏈系統?法正常的?作,從?使得攻擊者從中漁利或使得區塊鏈原?加密貨幣持有者受到損失。

DAPP?類安全事故是指?DAPP?受到攻擊或者?DAPP?因?身缺陷?法正常?作,從?使得攻擊者從中漁利或者?DAPP?發?的加密貨?幣持有者受到損失。

在總共?189?起安全事故中,區塊鏈類安全事故數和?DAPP?類安全事故數各?所占的百分?如下圖所示:

如上圖所示,??DAPP?類安全事故數占?超過了?95%,共有?181?起,只有?8?起為區塊鏈類安全事故。

區塊鏈類安全事故

我們深?研究了區塊鏈類安全事故,將其分為三個?類:區塊鏈主?、側鏈和第?層擴展?。

區塊鏈主?也被稱為??lay?1,??它有??獨?的共識機制、驗證節點等。區塊鏈主?的節點可以獨?驗證交易、數據,達成共識,使?區塊鏈獲得最終?致性。?特幣和以太坊就是典型的區塊鏈主?。

側鏈也是單獨的區塊鏈,??但它通常伴隨?條區塊鏈主?平?運作。側鏈也有??的?絡系統、共識機制和驗證節點。它和區塊鏈主??相連,兩者相連的?式有多種,常?的包括雙向錨定??等。

第?層擴展是指依賴區塊鏈主?的協議或?絡系統。第?層擴展?法??取得最終的?致性和安全性,必須依賴區塊鏈主?獲?得。第?層擴展的主要功能和?標是解決區塊鏈主?的性能擴展問題。第?層擴展通常擁有相較于主?更加?效、更低費?的業務?處理能?。?前第?層擴展技術發展得最迅速、最有活?的是依托于以太坊的第?層擴展技術。以太坊的第?層擴展技術和?態在?2021?年取得了??的進展。

側鏈和第?層擴展技術都是為了解決區塊鏈主?的性能問題。這兩者典型的區別在于側鏈可以不依賴于區塊鏈主?獲得安全性和最?終?致性,?第?層擴展則必須依賴區塊鏈主?。

我們統計的?2021?年區塊鏈類安全事故總共有?8?起,??下圖展示了區塊鏈主?、側鏈和第?層擴展各個類別中發?的安全事故數所占比例。

金色相對論 | Amber:目前Filecoin激勵機制的收益不確定:在今日舉行的金色相對論之Filecoin系列特輯終集的直播中,針對“加密貨幣投資者對Filecoin的認可度如何”的問題,達瓴智庫創始人Amber表示,目前從項目進度上講,激勵機制的算法還沒定型,收益不確定。同時,從礦機預售角度上看,投資者買了礦機,到時候沒有預期的投資回報率,也會有維權和鬧事的風險。目前,幣沒有產生,已經有期貨上線交易所,買賣的都是預期,這雖然是一個發展中的市場現象,也是加密明星項目發展過程中的市場經歷。對FIL的激勵也是其經濟模型的一部分,還是看后續官方對經濟模型的定義,如果比較合理,網絡運作風險較小。不過Filecoin網絡運作的安全,有一些值得注意的方面。我看到目前測試網的大多數節點都來自國內,官方用來和社區交流的幾個平臺,中國人最多,甚至很多人在上面直接就是用的中文來交流。如果主網上線,算力很有可能就會向國內集中,甚至集中在某些大礦工,不僅對項目整體的發展不利,還容易導致 51% 攻擊的出現。[2020/5/21]

如上圖所示,?區塊鏈主?發?的安全事故占整個區塊鏈類安全事故的?例為?62.5%??,總共有?5起,涉及的區塊鏈主?有Solana、?ETC、BSV、Verge和?Firo;側鏈發?的安全事故總共有?2起,?涉及的側鏈有?Polygon和?LiquidNetwork;??第?層擴展發?的安全事故有?1?起,涉及的第?層擴展系統是?Arbitrum?One.

在?5?個涉及區塊鏈主?的安全事故中,??有?4?起??都是遭到了?51%攻擊,??其根本原因是這些區塊鏈?主?的算?都相對較低,??這使得?客可以?較容易地通過租借算?的?式發動對主?的攻擊。剩下的?起??則是因為主??受到了?DOS?攻擊。

DAPP?類安全事故

我們分析研究了DAPP類安全事故,??進?步將其分為三個?類:??DAPP前端事故、??DAPP后臺事故、?DAPP?合約事故。

DAPP?前端事故主要是?DAPP?中涉及傳統信息技術的客戶端中出現了安全漏洞導致?戶的賬戶信息、個?信息等被盜從?導致?戶?的加密資產被盜或損失。

DAPP?后臺事故主要是?DAPP?中涉及傳統信息技術的服務器端出現安全漏洞導致?DAPP?的后臺服務與鏈上交互過程被劫持從?導致??戶的加密資產被盜或損失。

DAPP?合約事故主要是?DAPP?的智能合約出現安全漏洞導致?戶的加密資產被盜或損失。

?在總共?181?起?DAPP?類安全事故中,這三類安全事故的案例數占?如下圖所示:

如上圖所示,前端安全事故數占?為?8.84%、后臺安全事故數占?為??11.05%、合約安全事故數占?為??80.11%,??三者具體的事故?數分別為16起、??20起和145起。我們進?步研究了這三類安全事故導致的損失?額,得到下?的統計圖:

我們的統計數據顯示前端安全事故造成的損失達?2.8?億美元、后臺安全事故造成的損失達?3.91?億美元、合約安全事故造成的損失?達?69.3億美元;三者的占?分別為?3.68%、??5.14%和91.17%。

盡管前端安全事故導致的損失?額所占的?例并不?,??但其中有不少個案都涉及較?的?額,???如?Vulcan?Forged的事故導致?了1.4?億美元的損失、??BadgerDAO的事故導致了1.2?億美元的損失、??Farmer?World的事故導致了1570?萬美元的損失。

顯然,??合約安全事故是最?的隱患。在合約安全事故中,??我們進?步研究發現出現的典型攻擊包括閃電貸?????、缺?少權限驗證、通證精度計算錯誤、數值溢出、??攻擊、??AMM?算法漏洞、假通證存儲/抵押、雙花、治理攻擊等。

我們統計分析了不同漏洞導致的合約事故的數量,得到下列統計圖:

我們研究了不同原因造成的合約事故所導致的損失?額,得到下列統計圖:

金色財經挖礦數據播報 | BSV今日全網算力下降4.65%:金色財經報道,據蜘蛛礦池數據顯示:

ETH全網算力183.422TH/s,挖礦難度2267.60T,目前區塊高度10074285,理論收益0.00820107/100MH/天。

BTC全網算力110.332EH/s,挖礦難度16.10T,目前區塊高度630535,理論收益0.00000780/T/天。

BSV全網算力1.886EH/s,挖礦難度0.28T,目前區塊高度635097,理論收益0.00047729/T/天。

BCH全網算力2.522EH/s,挖礦難度0.36T,目前區塊高度635306,理論收益0.00035688/T/天。[2020/5/16]

有趣的是,??我們發現盡管由缺少權限驗證導致的安全事故在數量上明顯少于由閃電貸引發的安全事故,??但前者所導致的損失?額則????于后者,兩者所導致的損失?額占?分別為10.48%和?4.45%。

2021?年,閃電貸逐漸成為攻擊者常?的?具,??來攻擊DeFi?類DAPP。?些典型的DeFi?類DAPP?如CreamFinance、Spartan?Protocol、YFI、??Indexed??Finance都遭到了閃電貸攻擊。有些甚?多次遭遇閃電貸攻擊,?如?AutoShark被攻擊?三次,??PancakeBunny、??BurgerSwap和CreamFinance都被攻擊兩次。

基于事故原因對安全事故的分類研究

我們基于導致安全事故的發?原因將?189?起安全事故分為了三?類:??由?客攻擊導致、由不當操作導致?和由項??不當?為導致。

我們統計分析了這三類原因導致的安全事故數量,得到下列統計圖:

如上圖所示,??由?客攻擊導致的安全事故數量占?最多,???達?86.24%,??其次是由項??不當?為導致,???占?為?11.11%,最后是由不當操作導致,占?為?2.65%。具體到安全事故數量,三者分別為163起、??21?起和?5?起。

我們研究了這些事故原因造成的損失?額,得到下列統計圖:

如上圖所示,由項??不當?為導致的損失?額占?最?,達?66.18%,???由?客攻擊導致的損失?額占?為?32.72%,由不當操作?導致的損失?額占?為?1.10%。有趣的是盡管由項??不當?為導致的安全事故數遠?于由?客攻擊導致的安全事故數,但在損失??額上,前者遠?于后者。在總計?76?億美元的損失?額中,由項??不當?為導致的損失?額、由?客攻擊導致的損失?額和由?不當操作導致的損失?額分別為?50.3?億美元、??24.9?億美元和8354?萬美元。

由?客攻擊導致的安全事故

我們研究了由?客攻擊導致的安全事故,分析了其中的漏洞種類,得到下列統計圖:

如上圖所示,兩有個被?客利?進?攻擊的漏洞分別是私鑰泄露和缺少權限驗證。這兩者所引發的安全事故數量所占的?例分別為?11.66%和?9.20%?,整體上所占?例并不?

但當我們研究了兩者所導致的損失?額后,?發現了有趣的現象,?得到的統計圖如下所示:

和前?幅統計圖形成相當?反差的是:?由私鑰泄露所導致的損失?額占?和由缺少權限驗證所導致的?額損失占?在總?額中占??不?,兩者分別是?24.93%和?29.2%。

在諸多由私鑰泄露導致的安全事故中,??涉及了?些中?化加密資產交易所,???如?BitMEX損失了?1.5億美元、??Liquid損失了?9100萬美元、??AscendEX損失了7700?萬美元、??HitBtc損失了4000?萬美元、??Bilaxy損失了2170?萬美元。

要指出的是,?在這??節我們所討論的安全事故涉及的被攻擊對象包括智能合約、?DAPP前端和?DAPP后臺。如果我們僅考慮?DAPP?前端和后臺,則私鑰泄露就是最主要的安全隱患。

由項??不當?為導致的安全事故

在?2021?年,由項??不當?為導致的安全事故沖擊了?量?DAPP?,包括?DeFi?類應?和中?化加密資產交易所。

金色晨訊 | 5月2日隔夜重要動態一覽:21:00-7:00關鍵詞:CBDC、新品礦機、李禮輝、BSV

1. 李禮輝:應有必要進一步完善我國法定數字貨幣的實現路徑。

2. R3報告:全球央行推行的CBDC項目都旨在創建批發CBDC系統

3. BTC在約1小時內共產生16個區塊。

4. Riot Blockchain將購買1000臺比特大陸新品礦機S19 Pro

5. 比特幣開發人員Matt Corallo發現潛在閃電網絡漏洞。

6. 推廣BSV的比特幣協會成為瑞士非盈利協會組織。[2020/5/2]

我們統計的由項??不當?為導致的安全事故共有?21?起,其中?2?起是中?化加密資產交易所,??19?起是?DAPP。

我們研究了這些案例,得到下列統計圖:

如上圖所示,涉及中?化加密資產交易所的案例數僅占?9.52%,????90.48%都是涉及?DAPP?的案例。

我們進?步研究了這兩類事故的涉案?額,得到下列統計圖:

如上圖所示,??盡管涉及中?化交易所的案例數遠遠?于涉及?DAPP的案例數,??但前者的涉案?額遠?于后者,??前者的涉案?額占??為?97.4%,???后者僅占?2.6%。

由不當操作導致的安全事故

總共有??5??起由不當操作導致的安全事故,所有的案例都發?在??DAPP?,更確切地說都是??DeFi??應?,包括了著名的項?如?Compound?、??dYdX?。?這些安全事故總共造成的損失?額達?8354?萬美元。

研究總結

除了常?的區塊鏈主鏈和側鏈事故,??2021?年出現了新?的發?于第?層擴展系統的安全事故。但這類安全事故的數量仍然少于側?鏈,當然也遠少于主鏈。

我們基于安全事故的涉案受害對象進?研究,發現由?客攻擊導致的事故數量占?接近??90%,由此可??客攻擊仍然整個加密領?域最?的威脅。

DAPP?安全事故所涉及的前端、后臺和智能合約三類中,???論是從案例數量上看還是從涉案?額上看,??智能合約安全漏洞引發的事?故都遠超前端和后臺漏洞引發的事故。從案例數量上看,??智能合約占?為?80.11%,??接著是后臺占?達11.05%,??最后是前端占?達?8.84%?。??從涉案?額上看,智能合約占?為?91.17%,??接著是后臺占?達5.14%,??最后是前端占?達3.68%。

前端安全相對智能合約安全?直以來并不受到加密領域安全業者的關注,但它的漏洞在??2021?年引發了?起涉案?額較?的事故,?其中有兩起每起的涉案?額都超過了?1?億美元,?分別是?VulcanForged和?BadgerDAO,損失?額分別為?1.4?億美元和?1.2?億美元。

在由前端和后臺漏洞引發的安全事故中,私鑰泄露仍然是?2021?年這兩個領域最?的安全隱患。

我們研究了與智能合約相關的安全事故后發現:??由閃電貸導致的攻擊案例數遠超任何其它類別,??位居第?;??由缺少權限驗證導致的

攻擊案例數位居第?;但由后者導致的損失?額則遠?于前者,也?于任何其它類別。

在所有?189?起安全事故中,??盡管由?客攻擊導致的安全事故超過任何其它類別,???如由項??不當?為導致的安全事故,??但后者造?成的損失?額則遠超前者。

在?2021?年,??由項??不當?為導致的安全事故涉及?DAPP?和中?化加密資產交易所。其中?DAPP?的涉案數?遠超中?化加密資產?交易所的涉案數,??但后者的涉案?額卻遠超前者。由此可?,??從涉案?額來看,??中?化加密資產交易所仍然是最?的安全隱患,??這??點對加密資產持有者來說要引起?度關注。

FAIRYPROOF??案示例

基于我們的研究和分析,??我們認為安全領域最?的挑戰來?于三個??:??閃電貸攻擊、缺少權限驗證和項??不當?為。這三類事?故?泛存在于智能合約領域。?它們在某種程度上是可以借助?動化?具鑒別和防范的。

在本章,我們將介紹?Fairyproof針對這三類事故開發的解決?案。

漏洞探查系統

漏洞探查系統的?作流程如下:

金色財經數據播報 美元、USDT的比特幣交易貨幣占比較一個月前相比均出現下跌現象:據cryptocompare數據顯示,在比特幣的交易貨幣占比中,美元交易占比目前為18.19%,交易額為4.27億美元,與一個月前的6.98億美元相比,交易額下跌了2.71億美元;USDT目前的交易占比為17.23%,交易額為4.02億美元,與一個月前的4.87億美元相比,交易額下跌了0.85億美元。[2018/5/21]

步驟1:??掃描源代碼。

步驟??2:??檢查函數的修飾符及可?性,提取函數的?為參數。

步驟??3:??將提取的函數的?為參數與?Fairyproof?標準庫中存儲的函數的標準?為參數進?對?,檢查兩者的差異。

步驟?4:??對每個函數的?為參數及其與標準參數的差異,??對照漏洞庫中的漏洞參數檢查可能存在的系統漏洞。對每個典型漏洞,??系

統將建??個列表,將?為參數可疑的函數加?對應的列表。

步驟?5:??對每?個列表中的每?個函數項,??使?Fairyproof開發的?為曲線擬合算法?,??運?機器學習驗證其是否為潛在?險。

步驟??6:??如果在第?5?步中?個函數的?為被判定為有潛在?險,則該函數將被標記并發送給?程師進?核驗。

步驟?7:???程師將審計核驗第?6?步挑選出的所有函數,判定其是否為?險項。

這套?具和流程極?加快了審計過程的?動化,減少了繁復的??投?,提?了審計效率和正確率。

我們使?這套?具發現了?系列典型的?險,其中就包括可能引發閃電貸攻擊的?險和缺少權限驗證的?險。

下例是我們在審計過程中發現的?個可能被閃電貸攻擊的案例。在代碼截圖中,??getAmountOut()函數從某個去中?化交易所的??個交易對中獲取?reserve?值,并?其計算UBT?的價格。這種計算?式就可能遭遇閃電貸攻擊。

我們發現此問題后,建議項??使?更安全的價格獲取機制來計算相關通證的價格。

下列是我們在審計過程中發現的?個缺少權限驗證的案例。在下例代碼中,??管理員可以通過調??setRate?函數任意設置?rate,??這可?能導致通證交易被搶跑。

下列函數可能被搶跑攻擊。

利?上述?具,這個缺少權限驗證的問題很快就被發現了,對此我們建議項??取消這個函數或對該函數的調?設置權限控制。

通證探查系統

為了?動化監測?個通證合約是否存在潛在?險,??例如是否遵照以太坊通證標準,??我們開發了通證探查系統。該系統的運?過程如?下:

步驟1:??掃描合約源代碼

步驟??2:??根據合約定義的函數、接?、繼承關系等特性解構合約,并?成m!???×??n?矩陣?A,??該矩陣量化此合約的特性。

步驟??3:??搜索數據庫中存儲的標準通證模型如??ERC-20??通證、??ERC-721??通證?、??ERC-1155??通證。這些模型可量化為n?×??m"?、?n?×?m#、??......、??n?×?m$???的矩陣B",?B#,?...B$???。

步驟4:??計算矩陣的點積A?B",?A?B#,?..?.?,A???B$?得到?m!???×??m"?的矩陣C"?、??m!???×??m#?的矩陣C#?、??...??、??m!???×??m$?的矩陣C!?。

步驟??5:??矩陣中的每個元素都表示?個潛在?險點的?險值,如果該值越?則表明該?險點的?險越?。

步驟??6:??Fairyproof?程師將審核檢查這些?險點,并得出最終結論。

基于這套?具及這個?動化流程,我們快速發現了去年?些熱?空投項?的顯著不同點,?如我們發現了?MaskDAO?通證收取“稅?費”的?典型特征,如下所示:

這種?動化?具也幫助我們迅速定位到?些空投通證項?中特殊的處理?式,?如SOS?、??MASK?、??GDO?、??GAS?使?的鏈下處理??式,如下圖所示:

防范安全事故的可??段及建議

在本節,我們將基于對?2021?年安全事故的總結和分析,分別從開發者和?戶的?度羅列?些防范安全事故的可??段及建議。我?們建議開發者和?戶都參照這些建議在?常的開發、維護、運營、交易等?為中??謹慎,做好安全防范?作。

注意:??這?的開發者既包括區塊鏈客戶端應?的開發者,??也包括?DAPP?及所有和加密資產相關的應?的開發者。這?的?戶指所有?參與到加密資產及相關系統運營、操作、交易、持有等活動的參與者。

對開發者的建議

對基于?作量證明機制的?許可型區塊鏈??,防范其被攻擊最好的?式就是發展它的?態系統,激勵更多的節點參與系?統的挖礦,提升系統的整體算?。

2021?年,在所有擴展區塊鏈主?性能的?案中,盡管側鏈發?安全事故的案例數多于第?層擴展,但第?層擴展技術是新興的技?術,??它未來的發展會迅速推進,???態也會?益繁榮,??因此對第?層擴展技術安全性的關注不能掉以輕?。作為開發者??應該未??綢繆,積極深?地研究相關技術,找到防范安全事故的?案和措施。

對于?DAPP?的整體安全??,?由智能合約的漏洞引發的安全事故依舊是?要值得關注的領域,?但前端和后臺的安全也必須引起?視。?尤其在審計??,對前端和后臺的審計將成為審計的必然選項。

對于存在管理員控制關鍵操作的?DAPP?,必須將管理員權限轉移到多簽錢包或者?DAO?來管理。

閃電貸和對操作權限的驗證是合約開發者時刻要注意的兩??險點。正確合理地處理這兩??險點也是開發者在設計和編碼智能合?約時必須注意的頭等事項。

對?戶的建議

對于持有基于?作量證明機制的區塊鏈加密貨幣的?戶??,必須關注該區塊鏈的整體算??平。如果該區塊鏈系統的算??較低,則可能遭遇?51%攻擊,從?影響所持有加密貨幣的價值。

側鏈技術和第?層擴展技術都還處于發展初期,??都還不夠成熟和健壯,??很有可能遭遇安全事故。因此在準備參與或持有相關加密貨?幣之前,???戶最好仔細審視相關?案的安全性,??以免持有的加密貨幣所依賴的相關?案因安全性?佳導致所持有的加密資產價值受?損。

當和?DAPP?進?交互時,???戶不僅要關注其智能合約的安全,??也要關注其前端和后臺的安全,??尤其要注意不要輕易點擊可疑的信息?或鏈接。

強烈建議?戶在參與加密貨幣投資及交互之前,??仔細審閱相關項?是否有審計報告,??并仔細閱讀相關的審計報告以便知曉第三?機?構對其安全性的評估。

強烈建議?戶使?冷錢包管理不?于頻繁交易的加密資產。在使?熱錢包時注意使?時周邊的硬件環境和軟件環境的安全性。

對開發團隊身份匿名的項?,???戶應該提?警惕。?些從未有過業內聲譽的團隊開發和運營的項?可能存在跑路?險。對中?化交?易所?戶要關注其運營團隊的身份和背景,對聲譽較低的團隊運營的中?化交易所要??其跑路?險。

參考資料:

Arbitrum?Portal,?https://portal.arbitrum.one/

Optimism,?https://www.optimism.io/

“DeFi2.0:?A?beginner's?guide?to?the?second?generation?of?DeFi?protocols”.

https://cointelegraph.com/defi-101/defi2-0-a-beginners-guide-to-the-second-generation-of-defi-protocols.

CryptoPunks.https://www.larvalabs.com/cryptopunks

BAYC.?https://boredapeyachtclub.com/

Axie?Infinity.https://axieinfinity.com/

“Play-To-Earn?Gaming?Is?Driving?NFT?And?Crypto?Growth”.?

https://www.forbes.com/sites/robertfarrington/2021/12/13/play-to-earn-gaming-is-driving-nft-and-crypto-growth/?sh=7f3afd1dc2dc?.?December13,?2021???Morris,?David?Z.(15?May?2016)."Leaderless,?Blockchain-Based?Venture?Capital?Fund?Raises?$100?Million,?And?Counting".?Fortune.?Archived?from?the?originalon?21?May?2016.?Retrieved?23?May?2016.

Popper,?Nathan?(21?May?2016)."A?Venture?Fund?With?Plenty?ofVirtualCapital,?butNo?Capitalist".?The?New?York?Times.?Archived?from?the?original?on?22?May?2016.?Retrieved?23?May?2016.

"Blockchains:?The?greatchain?ofbeing?sure?aboutthings".The?Economist.?31?October2015.?Archived?from?the?original?on?3?July?2016.?Retrieved?18?June?2016.The?technology?behind?bitcoin?lets?people?who?do?notknow?or?trust?each?otherbuild?a?dependable?ledger.?This?has?implications?farbeyond?the?crypto?????currency.

Narayanan,?Arvind;?Bonneau,?Joseph;?Felten,?Edward;?Miller,?Andrew;?Goldfeder,?Steven?(2016).?Bitcoin?and?cryptocurrency?technologies:?a?comprehensive?introduction.?Princeton:?Princeton?University?Press.?ISBN?978-0-691-17169-2.

Blockchain.https://en.wikipedia.org/wiki/Blockchain.?January?4,?2022

Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23?Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23.

DApp,"CVC?Money?Transmission?Services?Provided?Through?Decentralized?Applications?(DApps)"(PDF).?FinCEN.?Retrieved?2019-05-09.?dApp,"IEEE?DAPPS?2020".ieeedapps.net.Archived?from?the?original?on?2020-04-26.?Retrieved?2020-08-15.

Sidechains.https://ethereum.org/en/developers/docs/scaling/sidechains/

Layer-2.https://academy.binance.com/en/glossary/layer-2

Solana.?https://solana.com/

ETC.https://ethereumclassic.org/

BSV.https://bitcoinsv.com/

Verge.https://vergecurrency.com/

Firo.?https://firo.org/

Polygon.https://polygon.technology/

Liquid?Network.https://river.com/learn/terms/l/liquid-network/

Arbitrum?One.?https://portal.arbitrum.one/

“WhatIs?a?51%?Attack?”.https://www.coindesk.com/learn/what-is-a-51-attack/?.?October12,?2021

Denial-of-service?attack.https://en.wikipedia.org/wiki/Denial-of-service_attack?.?January,?2022

Vulcan?Forged.?https://vulcanforged.com/

BadgerDAO.?https://app.badger.com/

Farmers?World.?https://farmersworld.io/

Flash-loans.https://aave.com/flash-loans/

Cream?Finance.https://app.cream.finance/

Spartan?Protocol.?https://spartanprotocol.org/

Yearn?Finance.https://yearn.finance/#/home

Indexed?Finance.https://indexed.finance/

AutoShark.?https://autoshark.finance/

Pancake?Bunny.https://pancakebunny.finance/

BurgerSwap.?https://burgerswap.org/

BitMEX.?https://www.bitmex.com/

Liquid.?https://www.liquid.com/

AscendEX.?https://ascendex.com/

HitBTC.https://hitbtc.com/zh_CN

Bilaxy.https://bilaxy.com/

Compound?Finance.https://compound.finance/

dYdX.https://dydx.exchange/

Tags:區塊鏈APPDAPDAPP區塊鏈幣種類coinbase交易所app下載世界幣worldapp下載dAppstore

火必交易所
NFT頹勢已現:肝不起了 卷不動了_NFT:treasurechaintst

白名單制度是時候變革了。前幾天,一位朋友問我:幾個月沒關注NFT了,你們怎么還在搶PFP?我也反駁了一番:現在有很多圈外流量涌入,巨頭紛紛進場,應用遍地開花……不過仔細想了想,對于一個參與NFT.

1900/1/1 0:00:00
OpenSea遭遇釣魚攻擊 波及資產超170萬美元_OPEN:OpenSea

NFT安全問題再受矚目 昨晚,有報道稱NFT收集者一直在從錢包中丟失NFT和以太坊,OpenSea疑似遭到網絡釣魚攻擊瞬間成為大眾密切關注的話題.

1900/1/1 0:00:00
身在Crypto卻對美聯儲加息一頭霧水?_比特幣:FOM

接《比特幣未來走向的指標框架》,筆者繼續從宏觀環境的角度出發,結合當前幣圈關注的美聯儲加息話題進行分析.

1900/1/1 0:00:00
推動區塊鏈應用落地 上海快速挺進“下一代互聯網”_區塊鏈:元宇宙數字虛擬人是什么

200多套徐匯區社會租賃房信息近日正式“上鏈”,開啟了全球區塊鏈賦能民生的“第一單”;全國3504家法院用上基于區塊鏈技術的移動執行平臺.

1900/1/1 0:00:00
元宇宙 真的來了?_元宇宙:metamask錢包被盜

去年12月10日,無錫市2021年梁溪大講堂第十講開講,北京航空航天大學法學院教授翟志勇以“元宇宙前傳關于數字空間和數字社會的思考”為主題,為宜興市廣大干群上了生動一課.

1900/1/1 0:00:00
NFT在韓國的地位_NFT:snft幣最新進展

不可替代代幣(NFT)在韓國越來越受歡迎。該國的高科技產業,加上其在K-pop和視頻游戲等流行文化產品方面的實力,使其成為NFT業務的沃土.

1900/1/1 0:00:00
ads