概述
2021?年对加密货币??真是个热?朝天的年份。
根据?coinmarketcap.com?的数据显示,?特币的价格从年初?1???1??的?28994.01?美元到年尾?12??31?涨到了?46306.45美元,?并在?11???10??创出历史新??68789.63?美元;以太坊从年初?1???1??的?737.71?美元到年尾?12???31??涨到了?3682.63美元,并?在?11???16??创出历史新??4891.7?美元。在?特币和以太坊的带领下,??coinmarketcap.com?统计的整个加密货币市场总市值从年?初?1??1?的7730?亿美元到年尾12??31??涨到了22560?亿美元。
???市场?情持续?爆,??另???加密货币全?业也迎来了爆发式成?。层出不穷的创新和应?颠覆了我们对技术、商业和?化?等的理解和认知:??我们?证了以太坊第?层扩展的爆发,我们从未想到它会来得如此突然;我们?证了?DeFi?2.0对传统?DeFi?商业模式的颠覆;我们?证了?NFT??跃成为元宇宙?态中身份的标识;我们?证了链游?态中崛起的?play-to-earn?模式?......
就像硬币有两??样,?对加密货币?业??,???我们看到了其蓬勃发展的?态,?但另??我们也经历了触?惊?的安全事故。?2021?年加密货币全?业公开报道的安全事故?少有?189?起,?少有?76?亿美元的加密资产在这些安全事故中损失。
这些安全事故不仅给加密资产持有者造成了??损失也严?影响甚?阻碍了整个加密?业?态的?期发展。
Fairyproof研究团队研究了公开报道的189?起典型安全事故,??分析了其中的原因并将经验、教训进?总结,??汇成了本报告,??期待与?业界同仁及读者交流,共同促进加密?业的良性发展,保障加密资产的全?安全。
背景知识
在我们深?探讨之前,有必要先介绍本报告中会频繁提及的?些基本概念及术语。
什么是区块链
区块链是?个持续增?的数据集链表。这些数据集被称为区块。这些区块通过加密算法前后相互链接。这些区块中除?了第?个区块??以外,??每个区块都包含前?个区块的哈希值、本区块的时间戳、交易数据等。只要区块?链系统持续正常运作,??这些区块前后链接就会构成?条永远不断增?的链式结构。通常已经记录在区块链中的交易和数据是?法回?滚和篡改的。如果要回滚或篡改某个区块中的交易或数据,??则此区块后所有区块的交易和数据都要回滚或篡改,???这在技术上和经?济上都有相当的难度。
?特币是区块链技术的第?个应?。它为区块链?态的发展开辟了全新、?限的想象空间。在?特币之后,??区块链?态开始爆发式?成?,为全?类带来了全新的视?和?象。
?许可型区块链?VS?许可型区块链
基本上所有现有的区块链系统都可以被分为两类:???许可型区块链和许可型区块链。
?许可型区块链有时也被称为公有区块链,??它是?个开放的?络系统,??任何?都可以作为节点在?需授权的情况下参与其共识的达?成、参与对数据和区块的验证。这个?络中所有的节点相互之间都?需预先建?信任关系。?特币是第?个?许可型区块链。
许可型区块链是?个封闭的?络系统,??只有经过授权的节点才可以进??络参与共识的达成、数据和区块的验证等活动。这些节点?通常是某个联盟的成员、某个组织或公司的部?等。
由于?许可型区块链是个开放的系统,??任何?都可以参与区块验证、打包等活动并使?系统,??因此它吸引了全球科技爱好者参与其??态系统的构建和开发。
此外,??在?许可型区块链中,??为了维系系统的?治和运作,??其设计开发者会赋予其?种被称为是“挖矿”的机制。这种机制会对成功?打包有效区块的节点进?奖励,?奖励通常以加密货币的形式发放。在这种机制的激励下,?来?全球的节点会参与系统的维护和运作。
因此,?许可型区块链?态的成?和发展?分迅猛。
但与此同时,????由于?许可型区块链允许任何节点??槛地加?系统的运作,因此恶意节点也难免加?其中,通过作恶甚?对系统?的攻击获取加密货币的奖励。从这个?度审视,???许可型区块链更容易受到?客的攻击,???客既可以作为恶意节点从系统内部攻击?也可以以传统?式从系统外部攻击。
这些综合因素的叠加使得?许可型区块链的安全保障和维护相对于许可型区块链??更加复杂、更加困难。
什么是?DAPP
DAPP?是去中?化应?程序????的英?简称。这是?种运?在区块链上,由?个或多个智能合约组成核??,包括前端、后台等构件的应?程序?。??如果承载?个?DAPP?运?的区块链是?许可型区块链,则这个?DAPP?就能在?需?中?化媒介控制和?预的情况下?治地运?。
这种?DAPP?通常是开源、透明、公开的,任何?都可以?需许可地与其交互。这类?DAPP?的开发者为了吸引尽可能多的?户使??它并保障?DAPP?的?期开发和维护,会在?DAPP?中加?加密货币的发?机制,?发?的加密货币奖励使??DAPP?的?户和开发团?队。这种加密货币发?机制通常也会成为?客的攻击?标。
金色财经合约行情分析 | 市场行情低迷,日K多条均线粘合:据火币BTC永续合约行情显示,截至今日19:00(GMT+8),BTC价格暂报9240美元(+0.47%),20:00(GMT+8)结算资金费率为0.010000%。昨日晚8点BTC出现短时下探9100美元的小波动,后迅速拉升走高,目前在9200美元-9300美元间震荡。根据火币交割合约数据,BTC当季合约成交额下降,持仓量窄幅下跌,精英多头占比略增,当季合约窄幅溢价较稳定。市场行情低迷,日k多条均线粘合。USDT于火币全球站OTC的报价为6.94元,溢价率为-0.71%。[2020/7/15]
这些特点也使得?DAPP?和?许可型区块链?样很容易被?客攻击。
本报告的研究内容
对?许可型区块链、??DAPP?和涉及加密货币业务的中?化机构及组织的攻击或其?身出现的安全事故?泛存在于加密货币领域,??并?且?益严峻,对这些攻击和安全事故的探讨、研究和防范是加密货币领域的焦点,也是我们研究的核?。
对于其中的攻击事件??,??发起攻击的?客通常会将攻击获取的加密货币兑换成锚定法币??的稳定币或直接兑换为法?币离场。
Fairyproof研究团队对?2021?年发?、经公开报道的典型安全事故进?了系统的统计和总结,在本报告中罗列了相关数据、分析了?事故的成因、并列举了防范这些事故的可?建议和有效措施。
2021?年安全事故的统计数据及分析
我们研究了媒体公开报道的?2021?年发?的?189?起安全事故,在本章罗列了我们统计的相关数据并分析了这些事故的原因和要点。
基于被攻击对象对安全事故的分类研究
根据被攻击对象的不同,我们将?189?起安全事故分为两类:区块链类安全事故和?DAPP?类安全事故。
区块链类安全事故是指区块链系统遭到来?内部节点或外部?客的攻击或由于区块链客户端软件或节点硬件等事故??使区块链系统?法正常的?作,从?使得攻击者从中渔利或使得区块链原?加密货币持有者受到损失。
DAPP?类安全事故是指?DAPP?受到攻击或者?DAPP?因?身缺陷?法正常?作,从?使得攻击者从中渔利或者?DAPP?发?的加密货?币持有者受到损失。
在总共?189?起安全事故中,区块链类安全事故数和?DAPP?类安全事故数各?所占的百分?如下图所示:
如上图所示,??DAPP?类安全事故数占?超过了?95%,共有?181?起,只有?8?起为区块链类安全事故。
区块链类安全事故
我们深?研究了区块链类安全事故,将其分为三个?类:区块链主?、侧链和第?层扩展?。
区块链主?也被称为??lay?1,??它有??独?的共识机制、验证节点等。区块链主?的节点可以独?验证交易、数据,达成共识,使?区块链获得最终?致性。?特币和以太坊就是典型的区块链主?。
侧链也是单独的区块链,??但它通常伴随?条区块链主?平?运作。侧链也有??的?络系统、共识机制和验证节点。它和区块链主??相连,两者相连的?式有多种,常?的包括双向锚定??等。
第?层扩展是指依赖区块链主?的协议或?络系统。第?层扩展?法??取得最终的?致性和安全性,必须依赖区块链主?获?得。第?层扩展的主要功能和?标是解决区块链主?的性能扩展问题。第?层扩展通常拥有相较于主?更加?效、更低费?的业务?处理能?。?前第?层扩展技术发展得最迅速、最有活?的是依托于以太坊的第?层扩展技术。以太坊的第?层扩展技术和?态在?2021?年取得了??的进展。
侧链和第?层扩展技术都是为了解决区块链主?的性能问题。这两者典型的区别在于侧链可以不依赖于区块链主?获得安全性和最?终?致性,?第?层扩展则必须依赖区块链主?。
我们统计的?2021?年区块链类安全事故总共有?8?起,??下图展示了区块链主?、侧链和第?层扩展各个类别中发?的安全事故数所占比例。
如上图所示,?区块链主?发?的安全事故占整个区块链类安全事故的?例为?62.5%??,总共有?5起,涉及的区块链主?有Solana、?ETC、BSV、Verge和?Firo;侧链发?的安全事故总共有?2起,?涉及的侧链有?Polygon和?LiquidNetwork;??第?层扩展发?的安全事故有?1?起,涉及的第?层扩展系统是?Arbitrum?One.
金色热搜榜:BTT居于榜首:根据金色财经排行榜数据显示,过去24小时内,BTT搜索量高居榜首。具体前五名单如下:BTT、ELA、ANT、SHE、XLM。[2020/7/13]
在?5?个涉及区块链主?的安全事故中,??有?4?起??都是遭到了?51%攻击,??其根本原因是这些区块链?主?的算?都相对较低,??这使得?客可以?较容易地通过租借算?的?式发动对主?的攻击。剩下的?起??则是因为主??受到了?DOS?攻击。
DAPP?类安全事故
我们分析研究了DAPP类安全事故,??进?步将其分为三个?类:??DAPP前端事故、??DAPP后台事故、?DAPP?合约事故。
DAPP?前端事故主要是?DAPP?中涉及传统信息技术的客户端中出现了安全漏洞导致?户的账户信息、个?信息等被盗从?导致?户?的加密资产被盗或损失。
DAPP?后台事故主要是?DAPP?中涉及传统信息技术的服务器端出现安全漏洞导致?DAPP?的后台服务与链上交互过程被劫持从?导致??户的加密资产被盗或损失。
DAPP?合约事故主要是?DAPP?的智能合约出现安全漏洞导致?户的加密资产被盗或损失。
?在总共?181?起?DAPP?类安全事故中,这三类安全事故的案例数占?如下图所示:
如上图所示,前端安全事故数占?为?8.84%、后台安全事故数占?为??11.05%、合约安全事故数占?为??80.11%,??三者具体的事故?数分别为16起、??20起和145起。我们进?步研究了这三类安全事故导致的损失?额,得到下?的统计图:
我们的统计数据显示前端安全事故造成的损失达?2.8?亿美元、后台安全事故造成的损失达?3.91?亿美元、合约安全事故造成的损失?达?69.3亿美元;三者的占?分别为?3.68%、??5.14%和91.17%。
尽管前端安全事故导致的损失?额所占的?例并不?,??但其中有不少个案都涉及较?的?额,???如?Vulcan?Forged的事故导致?了1.4?亿美元的损失、??BadgerDAO的事故导致了1.2?亿美元的损失、??Farmer?World的事故导致了1570?万美元的损失。
显然,??合约安全事故是最?的隐患。在合约安全事故中,??我们进?步研究发现出现的典型攻击包括闪电贷?????、缺?少权限验证、通证精度计算错误、数值溢出、??攻击、??AMM?算法漏洞、假通证存储/抵押、双花、治理攻击等。
我们统计分析了不同漏洞导致的合约事故的数量,得到下列统计图:
我们研究了不同原因造成的合约事故所导致的损失?额,得到下列统计图:
有趣的是,??我们发现尽管由缺少权限验证导致的安全事故在数量上明显少于由闪电贷引发的安全事故,??但前者所导致的损失?额则????于后者,两者所导致的损失?额占?分别为10.48%和?4.45%。
2021?年,闪电贷逐渐成为攻击者常?的?具,??来攻击DeFi?类DAPP。?些典型的DeFi?类DAPP?如CreamFinance、Spartan?Protocol、YFI、??Indexed??Finance都遭到了闪电贷攻击。有些甚?多次遭遇闪电贷攻击,?如?AutoShark被攻击?三次,??PancakeBunny、??BurgerSwap和CreamFinance都被攻击两次。
基于事故原因对安全事故的分类研究
我们基于导致安全事故的发?原因将?189?起安全事故分为了三?类:??由?客攻击导致、由不当操作导致?和由项??不当?为导致。
金色财经现场报道 咔咔买房首席执行官谭博超:区块链使得建立低成本高安全性网络成为可能:金色财经前方记者实时报道,4月12日举办的第二届全球金融科技与区块链中国峰会2018上,咔咔买房首席执行官谭博超表示,区块链提供了两个机会,第一个是建立低成本高安全性网络机会、第二个是Tokensales机制对于初创企业而言能够解决资金问题。[2018/4/12]
我们统计分析了这三类原因导致的安全事故数量,得到下列统计图:
如上图所示,??由?客攻击导致的安全事故数量占?最多,???达?86.24%,??其次是由项??不当?为导致,???占?为?11.11%,最后是由不当操作导致,占?为?2.65%。具体到安全事故数量,三者分别为163起、??21?起和?5?起。
我们研究了这些事故原因造成的损失?额,得到下列统计图:
如上图所示,由项??不当?为导致的损失?额占?最?,达?66.18%,???由?客攻击导致的损失?额占?为?32.72%,由不当操作?导致的损失?额占?为?1.10%。有趣的是尽管由项??不当?为导致的安全事故数远?于由?客攻击导致的安全事故数,但在损失??额上,前者远?于后者。在总计?76?亿美元的损失?额中,由项??不当?为导致的损失?额、由?客攻击导致的损失?额和由?不当操作导致的损失?额分别为?50.3?亿美元、??24.9?亿美元和8354?万美元。
由?客攻击导致的安全事故
我们研究了由?客攻击导致的安全事故,分析了其中的漏洞种类,得到下列统计图:
如上图所示,两有个被?客利?进?攻击的漏洞分别是私钥泄露和缺少权限验证。这两者所引发的安全事故数量所占的?例分别为?11.66%和?9.20%?,整体上所占?例并不?
但当我们研究了两者所导致的损失?额后,?发现了有趣的现象,?得到的统计图如下所示:
和前?幅统计图形成相当?反差的是:?由私钥泄露所导致的损失?额占?和由缺少权限验证所导致的?额损失占?在总?额中占??不?,两者分别是?24.93%和?29.2%。
在诸多由私钥泄露导致的安全事故中,??涉及了?些中?化加密资产交易所,???如?BitMEX损失了?1.5亿美元、??Liquid损失了?9100万美元、??AscendEX损失了7700?万美元、??HitBtc损失了4000?万美元、??Bilaxy损失了2170?万美元。
要指出的是,?在这??节我们所讨论的安全事故涉及的被攻击对象包括智能合约、?DAPP前端和?DAPP后台。如果我们仅考虑?DAPP?前端和后台,则私钥泄露就是最主要的安全隐患。
由项??不当?为导致的安全事故
在?2021?年,由项??不当?为导致的安全事故冲击了?量?DAPP?,包括?DeFi?类应?和中?化加密资产交易所。
我们统计的由项??不当?为导致的安全事故共有?21?起,其中?2?起是中?化加密资产交易所,??19?起是?DAPP。
我们研究了这些案例,得到下列统计图:
如上图所示,涉及中?化加密资产交易所的案例数仅占?9.52%,????90.48%都是涉及?DAPP?的案例。
我们进?步研究了这两类事故的涉案?额,得到下列统计图:
金色财经独家分析 以太坊创始人Vitalik反对通过分叉方式抵制ASICs:在周五举行的开发者大会上,针对用分叉解决ASIC矿机的讨论,以太坊创始人Vitalik表示,“在这一点上,我个人倾向于不采取任何行动。”金色财经独家分析,据比特大陆官方消息,Antminer E3矿机将于7月开放销售。该款矿机将改变以太坊的挖矿算法。以太坊的开采历史上一直被GPUs所主导,这一改变将导致以太坊的挖掘中心化。另一方面,ASICs提高了进入的门槛,可能会排挤较小型的矿主。之前以太坊主要开发人员讨论是否要对区块链进行硬分叉,以抵制比特大陆ASIC矿机对算法的改变。在3月29日,以太坊开发者Piper Merriam提出了以太坊改进提案(EIP) #958,该方案寻求社区对区块链是否应该分叉以及它如何“抵抗ASIC”的建议。此次在开发者大会上,Vitalik反对通过分叉方式抵制ASICs,这似乎预示着以太坊不会针对ASIC矿机进行硬分叉。[2018/4/9]
如上图所示,??尽管涉及中?化交易所的案例数远远?于涉及?DAPP的案例数,??但前者的涉案?额远?于后者,??前者的涉案?额占??为?97.4%,???后者仅占?2.6%。
由不当操作导致的安全事故
总共有??5??起由不当操作导致的安全事故,所有的案例都发?在??DAPP?,更确切地说都是??DeFi??应?,包括了著名的项?如?Compound?、??dYdX?。?这些安全事故总共造成的损失?额达?8354?万美元。
研究总结
除了常?的区块链主链和侧链事故,??2021?年出现了新?的发?于第?层扩展系统的安全事故。但这类安全事故的数量仍然少于侧?链,当然也远少于主链。
我们基于安全事故的涉案受害对象进?研究,发现由?客攻击导致的事故数量占?接近??90%,由此可??客攻击仍然整个加密领?域最?的威胁。
DAPP?安全事故所涉及的前端、后台和智能合约三类中,???论是从案例数量上看还是从涉案?额上看,??智能合约安全漏洞引发的事?故都远超前端和后台漏洞引发的事故。从案例数量上看,??智能合约占?为?80.11%,??接着是后台占?达11.05%,??最后是前端占?达?8.84%?。??从涉案?额上看,智能合约占?为?91.17%,??接着是后台占?达5.14%,??最后是前端占?达3.68%。
前端安全相对智能合约安全?直以来并不受到加密领域安全业者的关注,但它的漏洞在??2021?年引发了?起涉案?额较?的事故,?其中有两起每起的涉案?额都超过了?1?亿美元,?分别是?VulcanForged和?BadgerDAO,损失?额分别为?1.4?亿美元和?1.2?亿美元。
在由前端和后台漏洞引发的安全事故中,私钥泄露仍然是?2021?年这两个领域最?的安全隐患。
我们研究了与智能合约相关的安全事故后发现:??由闪电贷导致的攻击案例数远超任何其它类别,??位居第?;??由缺少权限验证导致的
攻击案例数位居第?;但由后者导致的损失?额则远?于前者,也?于任何其它类别。
在所有?189?起安全事故中,??尽管由?客攻击导致的安全事故超过任何其它类别,???如由项??不当?为导致的安全事故,??但后者造?成的损失?额则远超前者。
在?2021?年,??由项??不当?为导致的安全事故涉及?DAPP?和中?化加密资产交易所。其中?DAPP?的涉案数?远超中?化加密资产?交易所的涉案数,??但后者的涉案?额却远超前者。由此可?,??从涉案?额来看,??中?化加密资产交易所仍然是最?的安全隐患,??这??点对加密资产持有者来说要引起?度关注。
FAIRYPROOF??案示例
基于我们的研究和分析,??我们认为安全领域最?的挑战来?于三个??:??闪电贷攻击、缺少权限验证和项??不当?为。这三类事?故?泛存在于智能合约领域。?它们在某种程度上是可以借助?动化?具鉴别和防范的。
在本章,我们将介绍?Fairyproof针对这三类事故开发的解决?案。
漏洞探查系统
漏洞探查系统的?作流程如下:
步骤1:??扫描源代码。
步骤??2:??检查函数的修饰符及可?性,提取函数的?为参数。
步骤??3:??将提取的函数的?为参数与?Fairyproof?标准库中存储的函数的标准?为参数进?对?,检查两者的差异。
步骤?4:??对每个函数的?为参数及其与标准参数的差异,??对照漏洞库中的漏洞参数检查可能存在的系统漏洞。对每个典型漏洞,??系
金色财经独家消息 猎豹移动高级副总裁认为猎豹进军区块链行业是一项重要举措:金色财经独家消息,猎豹移动高级副总裁孙明焱针对此次海外官方宣布推出数字资产钱包SafeWallet的事件发表声明称:“进军区块链行业和AI战略一样,是猎豹移动的一项重要举措,具有重大意义。猎豹移动会致力于始终保持在新技术发展的前沿位置,相信我们会在移动资产安全领域发挥重要作用。”[2018/1/31]
统将建??个列表,将?为参数可疑的函数加?对应的列表。
步骤?5:??对每?个列表中的每?个函数项,??使?Fairyproof开发的?为曲线拟合算法?,??运?机器学习验证其是否为潜在?险。
步骤??6:??如果在第?5?步中?个函数的?为被判定为有潜在?险,则该函数将被标记并发送给?程师进?核验。
步骤?7:???程师将审计核验第?6?步挑选出的所有函数,判定其是否为?险项。
这套?具和流程极?加快了审计过程的?动化,减少了繁复的??投?,提?了审计效率和正确率。
我们使?这套?具发现了?系列典型的?险,其中就包括可能引发闪电贷攻击的?险和缺少权限验证的?险。
下例是我们在审计过程中发现的?个可能被闪电贷攻击的案例。在代码截图中,??getAmountOut()函数从某个去中?化交易所的??个交易对中获取?reserve?值,并?其计算UBT?的价格。这种计算?式就可能遭遇闪电贷攻击。
我们发现此问题后,建议项??使?更安全的价格获取机制来计算相关通证的价格。
下列是我们在审计过程中发现的?个缺少权限验证的案例。在下例代码中,??管理员可以通过调??setRate?函数任意设置?rate,??这可?能导致通证交易被抢跑。
下列函数可能被抢跑攻击。
利?上述?具,这个缺少权限验证的问题很快就被发现了,对此我们建议项??取消这个函数或对该函数的调?设置权限控制。
通证探查系统
为了?动化监测?个通证合约是否存在潜在?险,??例如是否遵照以太坊通证标准,??我们开发了通证探查系统。该系统的运?过程如?下:
步骤1:??扫描合约源代码
步骤??2:??根据合约定义的函数、接?、继承关系等特性解构合约,并?成m!???×??n?矩阵?A,??该矩阵量化此合约的特性。
步骤??3:??搜索数据库中存储的标准通证模型如??ERC-20??通证、??ERC-721??通证?、??ERC-1155??通证。这些模型可量化为n?×??m"?、?n?×?m#、??......、??n?×?m$???的矩阵B",?B#,?...B$???。
步骤4:??计算矩阵的点积A?B",?A?B#,?..?.?,A???B$?得到?m!???×??m"?的矩阵C"?、??m!???×??m#?的矩阵C#?、??...??、??m!???×??m$?的矩阵C!?。
步骤??5:??矩阵中的每个元素都表示?个潜在?险点的?险值,如果该值越?则表明该?险点的?险越?。
步骤??6:??Fairyproof?程师将审核检查这些?险点,并得出最终结论。
基于这套?具及这个?动化流程,我们快速发现了去年?些热?空投项?的显著不同点,?如我们发现了?MaskDAO?通证收取“税?费”的?典型特征,如下所示:
这种?动化?具也帮助我们迅速定位到?些空投通证项?中特殊的处理?式,?如SOS?、??MASK?、??GDO?、??GAS?使?的链下处理??式,如下图所示:
防范安全事故的可??段及建议
在本节,我们将基于对?2021?年安全事故的总结和分析,分别从开发者和?户的?度罗列?些防范安全事故的可??段及建议。我?们建议开发者和?户都参照这些建议在?常的开发、维护、运营、交易等?为中??谨慎,做好安全防范?作。
注意:??这?的开发者既包括区块链客户端应?的开发者,??也包括?DAPP?及所有和加密资产相关的应?的开发者。这?的?户指所有?参与到加密资产及相关系统运营、操作、交易、持有等活动的参与者。
对开发者的建议
对基于?作量证明机制的?许可型区块链??,防范其被攻击最好的?式就是发展它的?态系统,激励更多的节点参与系?统的挖矿,提升系统的整体算?。
2021?年,在所有扩展区块链主?性能的?案中,尽管侧链发?安全事故的案例数多于第?层扩展,但第?层扩展技术是新兴的技?术,??它未来的发展会迅速推进,???态也会?益繁荣,??因此对第?层扩展技术安全性的关注不能掉以轻?。作为开发者??应该未??绸缪,积极深?地研究相关技术,找到防范安全事故的?案和措施。
对于?DAPP?的整体安全??,?由智能合约的漏洞引发的安全事故依旧是?要值得关注的领域,?但前端和后台的安全也必须引起?视。?尤其在审计??,对前端和后台的审计将成为审计的必然选项。
对于存在管理员控制关键操作的?DAPP?,必须将管理员权限转移到多签钱包或者?DAO?来管理。
闪电贷和对操作权限的验证是合约开发者时刻要注意的两??险点。正确合理地处理这两??险点也是开发者在设计和编码智能合?约时必须注意的头等事项。
对?户的建议
对于持有基于?作量证明机制的区块链加密货币的?户??,必须关注该区块链的整体算??平。如果该区块链系统的算??较低,则可能遭遇?51%攻击,从?影响所持有加密货币的价值。
侧链技术和第?层扩展技术都还处于发展初期,??都还不够成熟和健壮,??很有可能遭遇安全事故。因此在准备参与或持有相关加密货?币之前,???户最好仔细审视相关?案的安全性,??以免持有的加密货币所依赖的相关?案因安全性?佳导致所持有的加密资产价值受?损。
当和?DAPP?进?交互时,???户不仅要关注其智能合约的安全,??也要关注其前端和后台的安全,??尤其要注意不要轻易点击可疑的信息?或链接。
强烈建议?户在参与加密货币投资及交互之前,??仔细审阅相关项?是否有审计报告,??并仔细阅读相关的审计报告以便知晓第三?机?构对其安全性的评估。
强烈建议?户使?冷钱包管理不?于频繁交易的加密资产。在使?热钱包时注意使?时周边的硬件环境和软件环境的安全性。
对开发团队身份匿名的项?,???户应该提?警惕。?些从未有过业内声誉的团队开发和运营的项?可能存在跑路?险。对中?化交?易所?户要关注其运营团队的身份和背景,对声誉较低的团队运营的中?化交易所要??其跑路?险。
参考资料:
Arbitrum?Portal,?https://portal.arbitrum.one/
Optimism,?https://www.optimism.io/
“DeFi2.0:?A?beginner's?guide?to?the?second?generation?of?DeFi?protocols”.
https://cointelegraph.com/defi-101/defi2-0-a-beginners-guide-to-the-second-generation-of-defi-protocols.
CryptoPunks.https://www.larvalabs.com/cryptopunks
BAYC.?https://boredapeyachtclub.com/
Axie?Infinity.https://axieinfinity.com/
“Play-To-Earn?Gaming?Is?Driving?NFT?And?Crypto?Growth”.?
https://www.forbes.com/sites/robertfarrington/2021/12/13/play-to-earn-gaming-is-driving-nft-and-crypto-growth/?sh=7f3afd1dc2dc?.?December13,?2021???Morris,?David?Z.(15?May?2016)."Leaderless,?Blockchain-Based?Venture?Capital?Fund?Raises?$100?Million,?And?Counting".?Fortune.?Archived?from?the?originalon?21?May?2016.?Retrieved?23?May?2016.
Popper,?Nathan?(21?May?2016)."A?Venture?Fund?With?Plenty?ofVirtualCapital,?butNo?Capitalist".?The?New?York?Times.?Archived?from?the?original?on?22?May?2016.?Retrieved?23?May?2016.
"Blockchains:?The?greatchain?ofbeing?sure?aboutthings".The?Economist.?31?October2015.?Archived?from?the?original?on?3?July?2016.?Retrieved?18?June?2016.The?technology?behind?bitcoin?lets?people?who?do?notknow?or?trust?each?otherbuild?a?dependable?ledger.?This?has?implications?farbeyond?the?crypto?????currency.
Narayanan,?Arvind;?Bonneau,?Joseph;?Felten,?Edward;?Miller,?Andrew;?Goldfeder,?Steven?(2016).?Bitcoin?and?cryptocurrency?technologies:?a?comprehensive?introduction.?Princeton:?Princeton?University?Press.?ISBN?978-0-691-17169-2.
Blockchain.https://en.wikipedia.org/wiki/Blockchain.?January?4,?2022
Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23?Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23.
DApp,"CVC?Money?Transmission?Services?Provided?Through?Decentralized?Applications?(DApps)"(PDF).?FinCEN.?Retrieved?2019-05-09.?dApp,"IEEE?DAPPS?2020".ieeedapps.net.Archived?from?the?original?on?2020-04-26.?Retrieved?2020-08-15.
Sidechains.https://ethereum.org/en/developers/docs/scaling/sidechains/
Layer-2.https://academy.binance.com/en/glossary/layer-2
Solana.?https://solana.com/
ETC.https://ethereumclassic.org/
BSV.https://bitcoinsv.com/
Verge.https://vergecurrency.com/
Firo.?https://firo.org/
Polygon.https://polygon.technology/
Liquid?Network.https://river.com/learn/terms/l/liquid-network/
Arbitrum?One.?https://portal.arbitrum.one/
“WhatIs?a?51%?Attack?”.https://www.coindesk.com/learn/what-is-a-51-attack/?.?October12,?2021
Denial-of-service?attack.https://en.wikipedia.org/wiki/Denial-of-service_attack?.?January,?2022
Vulcan?Forged.?https://vulcanforged.com/
BadgerDAO.?https://app.badger.com/
Farmers?World.?https://farmersworld.io/
Flash-loans.https://aave.com/flash-loans/
Cream?Finance.https://app.cream.finance/
Spartan?Protocol.?https://spartanprotocol.org/
Yearn?Finance.https://yearn.finance/#/home
Indexed?Finance.https://indexed.finance/
AutoShark.?https://autoshark.finance/
Pancake?Bunny.https://pancakebunny.finance/
BurgerSwap.?https://burgerswap.org/
BitMEX.?https://www.bitmex.com/
Liquid.?https://www.liquid.com/
AscendEX.?https://ascendex.com/
HitBTC.https://hitbtc.com/zh_CN
Bilaxy.https://bilaxy.com/
Compound?Finance.https://compound.finance/
dYdX.https://dydx.exchange/
这篇文章内容涵盖Kintsugi事件的全面总结、它的后果,还有在主网合并前的具体行动计划。 概要 合并测试网Kintsugi在几个客户端上发生了问题.
1900/1/1 0:00:002021年11月,去中心化域名项目ENS发行其项目Token并向社区空投,空投覆盖近13.8万地址,早期贡献者最多可收获近4.6个ENSToke,当时价值约552万美金,成为2021年项目空投的神话.
1900/1/1 0:00:001月24日,DeFiLlama数据显示,Fantom链上锁仓加密资产价值高达120亿美元,已超越知名公链Solana(TVL为77亿美元)和雪崩协议(TVL为79亿美元),冲进公链TVL排名的前四名.
1900/1/1 0:00:00近日惊爆加密货币圈的大新闻就是美国司法部成功追踪并逮捕了2016年盗取bitfinex近12万枚比特币的黑客HeatherMorgan和IIyaLichtenstein.
1900/1/1 0:00:002月11日,YouTube已公布2022年区块链、元宇宙发展计划,这家流媒体巨头认为,数字艺术市场正在膨胀,新兴技术有助于打击欺诈,能为视频游戏内容提供更加社交化的体验.
1900/1/1 0:00:00头条 ▌2021年元宇宙房地产销售突破5亿美元2月2日消息,根据元宇宙数据和分析公司MetaMetricSolutions的数据,2021年四大元宇宙平台上的虚拟房地产销售额达到5.01亿美元.
1900/1/1 0:00:00