一文看懂區塊鏈安全 6 大分類 3 大問題_OIN:COI

文章來源：阿爾法公社

一、導語

2018年8月6日，騰訊安全發布《2018上半年區塊鏈安全報告》，報告顯示，目前在全球范圍內，已出現了1600余種加密數字貨幣，2018年上半年，區塊鏈領域因安全問題損失超27億美元，而且因區塊鏈安全事件損失的金額還在不斷攀升。從IOTA「郵件門事件」、USDT「假充值漏洞」、EOS「彩虹攻擊」，到BEC與SMT「整數溢出攻擊漏洞」、BTG「51%算力攻擊」等等，這一系列的事件引發了大家的廣泛關注與思考。

區塊鏈安全威脅主要有哪些？為什么智能合約的安全問題如此重要，會引起這么多人關注？智能合約的安全類型有多少種？現在主流的安全監測方法有哪些？最有效的方法又是什么？大家如何能獲得安全無漏洞的智能合約代碼？針對這一系列問題，我們對安比實驗室創始人郭宇進行了采訪，為大家系統介紹區塊鏈行業安全問題及主流解決方案。

二、區塊鏈安全六大類型

從安全角度來看，區塊鏈技術可分為五層，相應安全問題則為六大類。

區塊鏈2.0版本技術架構

第一層，密碼學。密碼學是區塊鏈最底層的支撐技術，包含了哈希算法、數字簽名、隨機數等，如果這些密碼學技術存在問題或者漏洞，那么基于此的整個區塊鏈構建的信任將會坍塌。

標記為JustinSun的地址從Balancer提取1.1萬USDD、1.13萬FRAX和7600USDC:金色財經報道，據PeckShieldAlert監測，標記為JustinSun的地址已從Balancer中提取1.1萬USDD、1.13萬FRAX和7600USDC。[2023/8/23 18:17:24]

雖然目前密碼學技術已經頗為成熟，存在巨大漏洞的可能性比較小，但是仍然不排除一些項目存在問題。2017年7月15日，具有「物聯網世界第一幣」之稱IOTA收到了麻省理工學院附屬的學術研究組DCI的郵件，提醒IOTA團隊，IOTA的哈希算法Curl-P存在弱點，DCI可以對該系統進行成功的攻擊,竊取用戶資金。雖然IOTA隨后對DCI的郵件進行了質疑和反駁，到目前為止，也沒有用戶因為此漏洞而發生資金被盜的情況，但這一事件引起了大家對IOTA和其他項目在密碼學技術安全上的關注。

第二層，用戶私鑰的生成、使用與保護。用戶參與區塊鏈的憑證是一對公私鑰，每個人通過區塊鏈產生交互行為的前提就是他擁有安全的私鑰、并且能保管好自己的私鑰，因此私鑰的生成、試用與保護問題就非常重要。

今年7月，EOS就因私鑰生成工具存在安全隱患，創建的私鑰被黑客發現漏洞，并實施「彩虹」攻擊，導致賬戶數字資產被盜，造成上千萬數字資產損失。

Coinbase CEO：Coinbase的質押服務不是證券，必要情況下愿意在法庭為其辯護:2月13日消息，Coinbase首席執行官Brian Armstrong推特發文稱，“Coinbase的質押服務不是證券。如有需要，我們很樂意在法庭上為其辯護”。此前，Armstrong也發文稱“堅持為經濟自由而戰，保護客戶免受政府過度干預”。他表示，質押是加密貨幣領域一個非常重要的創新，質押不屬于證券。新技術應被鼓勵在美國發展，而不是因缺乏明確的規則而被扼殺。

金色財經此前報道，美國證券交易委員會(SEC)周四宣布，加密交易所Kraken將“立即”終止向美國客戶提供加密質押服務，并將向SEC支付3000萬美元罰款，以解決其提供未注冊證券的指控。[2023/2/13 12:02:55]

第三層，節點系統安全漏洞。這一問題歸屬于傳統安全范疇，比如區塊鏈節點不能存在緩沖區溢出等傳統的安全漏洞。另外區塊鏈節點的實現要能忠實地正確實現區塊鏈的共識協議；節點不能暴露不該暴露的API接口，導致黑客可以無障礙的獲取一些節點關鍵信息。無論是以太坊還是EOS都曾經被爆出過比較嚴重的安全漏洞。這一部分安全也是至關重要的。

第四層，底層共識協議。目前市場上主流的區塊鏈共識協議有以下幾種，POW、POS、DPOS、PBFT。底層共識協議決定了區塊鏈整個架構是否可信，能不能真正做到形成一個具有共識的區塊鏈。現在真正被證明安全的共識協議并不多，因為共識協議本身無論從理論、還是從技術實現上都不簡單。而經過長時間驗證的共識協議是比較安全的，比如像比特幣的POW。共識協議有一個不可能實現的三角關系：安全、去中心化和效率，這三者只能同時實現兩樣。如果追求效率，要么犧牲去中心化，要么犧牲安全。

高盛將Coinbase價格目標下調至41美元:金色財經報道，高盛周五表示，總部位于美國的加密貨幣交易所Coinbase(COIN)完全不受FTX崩盤的影響。高盛對Coinbase的股票持看跌立場，將其目標價從49美元下調至41美元，并維持其“賣出評級”。這家華爾街巨頭還認為FTX的倒閉對交易和投資應用Robinhood的影響有限，因為與加密貨幣相關的收入僅占該平臺總收入的9%高盛分析師將Robinhood股票(HOOD)的12個月目標價從13美元上調至12.50美元。高盛的股票研究團隊在周五發給客戶的一份報告中表示，Coinbase的高流動性資產負債表和缺乏自營交易活動使這家在納斯達克上市的交易所免受FTX情況的影響。該團隊預計，FTX引發的市場波動和投資者對監管較少的交易所的不安在短期內對Coinbase來說是個好兆頭。[2022/11/14 13:03:28]

一個區塊鏈系統的共識協議是不是安全這個問題至關重要。

理論上，基于底層共識協議創建的所有數字貨幣都是存在51%算力攻擊風險。今年上半年，就有至少4種數字貨幣分別受到了51%算力攻擊，分別是Monacoin、BitcoinGold、Verge和Electroneum，給用戶造成數千萬美元損失。

第五層，智能合約。智能合約是一套以數字形式定義的承諾(promises)，包括合約參與方可以在上面執行這些承諾的協議。任何參與方都能在應用層創建合約，也就是所謂的DAPP。這也是目前出現安全問題最多的地方。

Valkyrie失去最新一輪融資中最大投資方支持:10月20日消息，在宣布已完成1115萬美元融資的幾個月后，加密資產管理公司Valkyrie Investments表示本輪融資的最大投資方CSA Evolution VC Fund將不再提供500萬美元的支持，他們目前正在尋找其他投資者介入。一位Valkyrie公司發言人稱，該公司正在與一些感興趣的潛在投資者進行高級談判，并“希望在未來幾周內有積極的消息”。[2022/10/20 16:31:24]

智能合約安全隱患包含了三個方面：第一，有沒有漏洞。合約代碼中是否有常見的安全漏洞。第二，是否可信。沒有漏洞的智能合約，未必就安全，合約要保證公平可信。第三，符合一定規范和流程。由于合約的創建要求以數字形式來進行定義承諾，所以如果合約的創建過程不夠規范，就容易留下巨大的隱患。

目前市場上很多智能合約均存在安全漏洞問題，比如，6月3日，安比實驗室發現Ethereum上出現81個合約帶有相同錯誤，ERC20Token合約中的transferFrom函數存在巨大隱患，一旦部署后出現問題，將造成不可挽回的損失；6月6日，安比實驗室發現ERC20代幣合約FXE由于業務邏輯實現漏洞，任何人都可以隨意轉出他人賬戶中的Token，Token隨時面臨徹底歸零風險。

作為區塊鏈行業從業者、智能合約使用者或是加密貨幣擁有者，應該學習相應的密碼學和智能合約編程知識，切不可隨意復制使用涉及資金安全的合約和公私鑰等的代碼。如果惡意攻擊者，將帶有嚴重漏洞的代碼公開在網絡上進行傳播，誘導技術開發能力欠缺的組織使用，將會給使用者造成毀滅性打擊和不可挽回的損失。

NFT元宇宙游戲FTTS宣布完成450萬美元種子輪融資:據官方消息，NFT元宇宙游戲FTTS宣布完成450萬美元種子輪融資，FstSwap，Shima Capital領投，Polygon、Big Brain、Anti Fund、Cryptology、Master Ventures. Breeder DAO MetaVest.Andromeda vc、Pulse Ventures和Gumi Ventures等參投。

據官方介紹，FistSmartTool正在開發一款DeFi+NFT+GaMeFI領域游戲，玩家可以在其中獲得“黃金”并兌換其原生TokenFIST。此外，FistSmartTool還在開發一款競技場對戰P2E游戲，其中將引入 FDOG NFT和FBOX Token。[2022/7/6 1:55:01]

第六層，激勵機制設計。智能合約要完成協作，通常是要設計相應的經濟激勵機制。經濟激勵是區塊鏈技術里面非常有突破性的一個概念。一個真正健康有活力的區塊鏈生態，需要一個很好的激勵機制。但是經濟激勵設計得不夠安全，可能生態就無法建設起來，比如典型的類龐氏游戲，這一點大家要警惕。

三、智能合約三大問題

前面介紹的六層區塊鏈安全問題，都是依托相應的技術層級來劃分的，越底層的技術越穩定，比如密碼學從一開始選定之后，就不會輕易改動。

智能合約由于比較靈活，任何人都可以創建，所以相對容易出安全問題。

任何用戶都能創建一個有共識基礎的合約，就好像是每個老百姓都可以基于某部法律寫一份合同，這個法律是一種共識機制，這個合同也是有內在的約束條款，使用DAPP就像簽訂合同，所有行為都要按照這個合同條款執行。因此，智能合約的安全隱患，直接關系到用戶的財產損失。

到目前為止，安比實驗室發現了市場上智能合約的三大問題：

第一，以整數溢出為代表的安全漏洞。安全漏洞通常是被寫代碼的人不小心引入的，它可能引起合約某些功能部件失效，最嚴重的情況，可能導致黑客攻擊、用戶丟幣、甚至黑客憑空造出來很多的幣。比如BEC、SMT、EDU，曾經就因整數溢出安全漏洞，被黑客攻擊從而導致幣值歸零。

第二，智能合約權限控制。一般智能合約里會設置一個管理員，管理員一般擁有超級權限，這類合約的安全隱患比較大，因為一旦管理員的私鑰被盜用，很容易造成巨大損失。據安比實驗室不完全統計，排名前570名的Token合約中，有342個合約存在只有管理員能調用的功能，不少合約更存在管理員任意鑄幣、燒幣、凍結賬戶、關停轉賬等過高權限。

今年7月10日，加密貨幣交易平臺Bancor稱遭到攻擊，丟失了當時折算法幣金額為1250萬美金的以太坊、1000萬美金的Bancor代幣和100萬美金的Pundix代幣。經過我們分析發現，這次Bancor平臺被盜事件就是與BancorConverter合約有關，攻擊者通過獲取了管理員賬戶的私鑰，借用管理員身份盜走用戶的Token，給用戶造成巨大損失。

第三，規范性問題。現在很多智能合約的實現并沒有統一的規范。智能合約是以交互的方式多人協作，如果合約不規范，容易導致不同人對合約的行為產生誤解，從而出現大量的安全問題。

比如，今年陸續爆出的「假充值」事件，包括以太坊代幣、USDT等，根據一家機構進行的不完全統計顯示，市場上的單代幣合約有3619份存在「假充值」漏洞風險，其中不乏知名代幣。

正常情況下，充值過程中轉賬不成功，賬戶將無法充值，賬戶余額仍然是0。但如果合約存在「假充值」漏洞，在轉賬不成功的時候，系統并不會顯示充值失敗，交易所就會誤判結果為充值成功。如果有黑客發現這一漏洞，就會一直進行「假」充值，之后再把這筆錢提出，給交易所帶來直接損失。

四、形式化驗證的重要性

目前，市場上針對智能合約安全問題的檢驗方式主要有三種，第一是測試，第二是審計，第三是形式化驗證。測試需要程序自動跑，通過各種可能性的輸入，檢測是否存在整數溢出漏洞等問題。但這個測試通常不可能百分之百覆蓋，一定會有遺漏存在。審計就是靠專家的專業知識去審核，但再專業的專家也可能會有疏漏。前兩種傳統的方式，并不能保證合約中沒有漏洞，但形式化驗證能做到這一點。

形式化驗證可以解決三類問題，第一類是安全無漏洞：通過數學推理的方法，捕捉、覆蓋合約的所有行為，覆蓋所有可能性，從而保證合約沒有漏洞。第二類是可信：公開透明。合約的創建者不僅要說明白干了什么事，還要向大家證明代碼確實是這么干的。這個也是目前只能用形式化驗證才能做得到。第三類是規范性問題。前面提到的假充值漏洞，就是因為以太坊的ERC20規范，寫得非常模糊、不完整。那怎么樣能寫完整呢？這就要求合約的規范就不能用自然語言，或文字描述，而是應該引入形式化規范，用一種數學邏輯語言來嚴格定義。

形式化驗證在工業界、尤其是安全系統相關領域，已經有了大量應用案例，比如航空航天、高鐵、核電等行業，都有專門的團隊提供形式化驗證服務，其作用與效果早就得到了安全行業專家的認可。

目前，形式化驗證包括模型檢驗和演繹推理兩種。安比實驗室在演繹推理方面積累了十幾年的科研成果和工程經驗，技術在全球比較領先。

相對權威和安全的公司，比如Zeppelin和以太坊官網都曾經公布過有問題的智能合約代碼。如果能有一個更可信，不依賴權威的智能合約代碼庫，開放給所有人使用，將能很好地解決這個問題。在這方面，安比實驗室已經做了大量工作，并且目前建立全球第一家可信的開源智能合約代碼庫，方便大家免費使用。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

阿爾法公社

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626991.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

下一篇：

智能合約史上最大規模攻擊手法曝光，盤點黑客團伙作案細節

Tags：區塊鏈OINCOICOIN國內區塊鏈公司前十排名FRZSSCOIN幣coinw官網正規嗎languagecoin

幣贏交易所