今日实时汇率
1 美元(USD)=
7.178 人民币(CNY)
反向汇率:1 CNY = 0.1393 USD 更新时间:2025-07-09 03:00:01
概述
2021年对加密货币⽽⾔真是个热⽕朝天的年份。
根据coinmarketcap.com的数据显示,⽐特币的价格从年初1⽉1⽇的28994.01美元到年尾12 ⽉31 ⽇涨到了46306.45 美元,并在11⽉10⽇创出历史新⾼68789.63美元;以太坊从年初1⽉1⽇的737.71美元到年尾12⽉31⽇涨到了3682.63 美元,并在11⽉16⽇创出历史新⾼4891.7美元。在⽐特币和以太坊的带领下,coinmarketcap.com统计的整个加密货币市场总市值从年初1 ⽉1 ⽇的 7730亿美元到年尾 12⽉ 31⽇涨到了 22560亿美元。
⼀⽅⾯市场⾏情持续⽕爆,另⼀⽅⾯加密货币全⾏业也迎来了爆发式成⻓。层出不穷的创新和应⽤颠覆了我们对技术、商业和⽂化等的理解和认知:我们⻅证了以太坊第⼆层扩展的爆发[1][2],我们从未想到它会来得如此突然;我们⻅证了DeFi2.0 对传统DeFi商业模式的颠覆[3];我们⻅证了NFT⼀跃成为元宇宙⽣态中身份的标识[4][5];我们⻅证了链游⽣态中崛起的play-to-earn模式[6][7]......
就像硬币有两⾯⼀样,对加密货币⾏业⽽⾔,⼀⾯我们看到了其蓬勃发展的⽣态,但另⼀⾯我们也经历了触⽬惊⼼的安全事故。2021年加密货币全⾏业公开报道的安全事故⾄少有189起,⾄少有76亿美元的加密资产在这些安全事故中损失。
这些安全事故不仅给加密资产持有者造成了⃞⃞损失也严⃞影响甚⃞阻碍了整个加密⃞业⃞态的⃞期发展。
Fairyproof 研究团队研究了公开报道的189起典型安全事故,分析了其中的原因并将经验、教训进⾏总结,汇成了本报告,期待与业界同仁及读者交流,共同促进加密⾏业的良性发展,保障加密资产的全⾯安全。
背景知识
在我们深⼊探讨之前,有必要先介绍本报告中会频繁提及的⼀些基本概念及术语。
什么是区块链
区块链是⼀个持续增⻓的数据集链表。这些数据集被称为区块。这些区块通过加密算法前后相互链接[8][9][10][11]。这些区块中除了第⼀个区块(也被称为“创世区块”)以外,每个区块都包含前⼀个区块的哈希值、本区块的时间戳、交易数据等[12]。只要区块链系统持续正常运作,这些区块前后链接就会构成⼀条永远不断增⻓的链式结构。通常已经记录在区块链中的交易和数据是⽆法回滚和篡改的。如果要回滚或篡改某个区块中的交易或数据,则此区块后所有区块的交易和数据都要回滚或篡改,⽽这在技术上和经济上都有相当的难度。
⽐特币是区块链技术的第⼀个应⽤。它为区块链⽣态的发展开辟了全新、⽆限的想象空间。在⽐特币之后,区块链⽣态开始爆发式成⃞,为全⃞类带来了全新的视⃞和⃞象。
⽆许可型区块链VS许可型区块链
基本上所有现有的区块链系统都可以被分为两类:⽆许可型区块链(permissionless blockchain)和许可型区块链(permissionedblockchain)。
⽆许可型区块链有时也被称为公有区块链,它是⼀个开放的⽹络系统,任何⼈都可以作为节点在⽆需授权的情况下参与其共识的达成、参与对数据和区块的验证[13]。这个⽹络中所有的节点相互之间都⽆需预先建⽴信任关系。⽐特币是第⼀个⽆许可型区块链。
许可型区块链是⼀个封闭的⽹络系统,只有经过授权的节点才可以进⼊⽹络参与共识的达成、数据和区块的验证等活动。这些节点通常是某个联盟的成员、某个组织或公司的部⻔等。
由于⽆许可型区块链是个开放的系统,任何⼈都可以参与区块验证、打包等活动并使⽤系统,因此它吸引了全球科技爱好者参与其⽣态系统的构建和开发。
此外,在⽆许可型区块链中,为了维系系统的⾃治和运作,其设计开发者会赋予其⼀种被称为是“挖矿”的机制。这种机制会对成功打包有效区块的节点进⾏奖励,奖励通常以加密货币的形式发放。在这种机制的激励下,来⾃全球的节点会参与系统的维护和运作。
因此,⽆许可型区块链⽣态的成⻓和发展⼗分迅猛。
但与此同时,由于⽆许可型区块链允许任何节点⽆⻔槛地加⼊系统的运作,因此恶意节点也难免加⼊其中,通过作恶甚⾄对系统的攻击获取加密货币的奖励。从这个⻆度审视,⽆许可型区块链更容易受到⿊客的攻击,⿊客既可以作为恶意节点从系统内部攻击也可以以传统⽅式从系统外部攻击。
这些综合因素的叠加使得⽆许可型区块链的安全保障和维护相对于许可型区块链⽽⾔更加复杂、更加困难。
什么是DAPP
DAPP是去中⼼化应⽤程序(decentralizedapplication)的英⽂简称。这是⼀种运⾏在区块链上,由⼀个或多个智能合约组成核⼼,包括前端、后台等构件的应⽤程序[15][16]。如果承载⼀个DAPP运⾏的区块链是⽆许可型区块链,则这个DAPP就能在⽆需中⼼化媒介控制和⼲预的情况下⾃治地运⾏。
这种DAPP通常是开源、透明、公开的,任何⼈都可以⽆需许可地与其交互。这类DAPP的开发者为了吸引尽可能多的⽤户使⽤它并保障DAPP的⻓期开发和维护,会在DAPP中加⼊加密货币的发⾏机制,⽤发⾏的加密货币奖励使⽤DAPP的⽤户和开发团队。这种加密货币发⾏机制通常也会成为⿊客的攻击⽬标。
这些特点也使得DAPP和⽆许可型区块链⼀样很容易被⿊客攻击。
本报告的研究内容
对⽆许可型区块链、DAPP和涉及加密货币业务的中⼼化机构及组织的攻击或其⾃身出现的安全事故⼴泛存在于加密货币领域,并且⽇益严峻,对这些攻击和安全事故的探讨、研究和防范是加密货币领域的焦点,也是我们研究的核⼼。
对于其中的攻击事件⽽⾔,发起攻击的⿊客通常会将攻击获取的加密货币兑换成锚定法币(通常是美元)的稳定币或直接兑换为法币离场。
Fairyproof 研究团队对2021年发⽣、经公开报道的典型安全事故进⾏了系统的统计和总结,在本报告中罗列了相关数据、分析了事故的成因、并列举了防范这些事故的可⾏建议和有效措施。
2021年安全事故的统计数据及分析
我们研究了媒体公开报道的2021年发⽣的189起安全事故,在本章罗列了我们统计的相关数据并分析了这些事故的原因和要点。
基于被攻击对象对安全事故的分类研究
根据被攻击对象的不同,我们将189起安全事故分为两类:区块链类安全事故和DAPP类安全事故。
区块链(blockchain)类安全事故是指区块链系统遭到来⾃内部节点或外部⿊客的攻击或由于区块链客户端软件或节点硬件等事故⽽使区块链系统⽆法正常的⼯作,从⽽使得攻击者从中渔利或使得区块链原⽣加密货币持有者受到损失。
DAPP类安全事故是指DAPP受到攻击或者DAPP因⾃身缺陷⽆法正常⼯作,从⽽使得攻击者从中渔利或者DAPP发⾏的加密货币持有者受到损失。
在总共189起安全事故中,区块链类安全事故数和DAPP类安全事故数各⾃所占的百分⽐如下图所示:
如上图所示,DAPP类安全事故数占⽐超过了95%,共有181起,只有8起为区块链类安全事故。
区块链类安全事故
我们深⼊研究了区块链类安全事故,将其分为三个⼦类:区块链主⽹(blockchainmainnet)、侧链(sidechain)和第⼆层扩展(layer2solution)。
区块链主⽹也被称为lay1,它有⾃⼰独⽴的共识机制、验证节点等。区块链主⽹的节点可以独⽴验证交易、数据,达成共识,使区块链获得最终⼀致性。⽐特币和以太坊就是典型的区块链主⽹。
侧链也是单独的区块链,但它通常伴随⼀条区块链主⽹平⾏运作。侧链也有⾃⼰的⽹络系统、共识机制和验证节点。它和区块链主⽹相连,两者相连的⽅式有多种,常⻅的包括双向锚定(two-way peg)[17]等。
第⼆层扩展是指依赖区块链主⽹的协议或⽹络系统[18]。第⼆层扩展⽆法⾃⼰取得最终的⼀致性和安全性,必须依赖区块链主⽹获得。第⼆层扩展的主要功能和⽬标是解决区块链主⽹的性能扩展问题。第⼆层扩展通常拥有相较于主⽹更加⾼效、更低费⽤的业务处理能⼒。⽬前第⼆层扩展技术发展得最迅速、最有活⼒的是依托于以太坊的第⼆层扩展技术。以太坊的第⼆层扩展技术和⽣态在2021年取得了⻓⾜的进展。
侧链和第⼆层扩展技术都是为了解决区块链主⽹的性能问题。这两者典型的区别在于侧链可以不依赖于区块链主⽹获得安全性和最终⼀致性,⽽第⼆层扩展则必须依赖区块链主⽹。
我们统计的2021年区块链类安全事故总共有8起,下图展示了区块链主⽹、侧链和第⼆层扩展各个类别中发⽣的安全事故数所占比例。
如上图所示,区块链主⽹发⽣的安全事故占整个区块链类安全事故的⽐例为62.5%,总共有5 起,涉及的区块链主⽹有 Solana[19]、ETC[20]、BSV[21]、Verge[22]和Firo[23];侧链发⽣的安全事故总共有2 起,涉及的侧链有Polygon[24]和Liquid Network[25];第⼆层扩展发⽣的安全事故有1起,涉及的第⼆层扩展系统是ArbitrumOne[26].
在5个涉及区块链主⽹的安全事故中,有4起(ETC、BSV、Verge和Firo)都是遭到了51%攻击[27],其根本原因是这些区块链主⽹的算⼒都相对较低,这使得⿊客可以⽐较容易地通过租借算⼒的⽅式发动对主⽹的攻击。剩下的⼀起(Solana)则是因为主⽹受到了DOS攻击[28]。
DAPP类安全事故
我们分析研究了 DAPP 类安全事故,进⼀步将其分为三个⼦类:DAPP 前端事故(front-end)、DAPP 后台事故(server side)、DAPP合约事故(smart contract)。
DAPP前端事故主要是DAPP中涉及传统信息技术的客户端中出现了安全漏洞导致⽤户的账户信息、个⼈信息等被盗从⽽导致⽤户的加密资产被盗或损失。
DAPP后台事故主要是DAPP中涉及传统信息技术的服务器端出现安全漏洞导致DAPP的后台服务与链上交互过程被劫持从⽽导致⽤户的加密资产被盗或损失。
DAPP合约事故主要是DAPP的智能合约出现安全漏洞导致⽤户的加密资产被盗或损失。
在总共181起DAPP类安全事故中,这三类安全事故的案例数占⽐如下图所示:
如上图所示,前端安全事故数占⽐为8.84%、后台安全事故数占⽐为11.05%、合约安全事故数占⽐为80.11%,三者具体的事故数分别为 16 起、20 起和 145 起。我们进⼀步研究了这三类安全事故导致的损失⾦额,得到下⾯的统计图:
我们的统计数据显示前端安全事故造成的损失达2.8亿美元、后台安全事故造成的损失达3.91亿美元、合约安全事故造成的损失达69.3 亿美元;三者的占⽐分别为3.68% 、5.14%和 91.17%。
尽管前端安全事故导致的损失⾦额所占的⽐例并不⾼,但其中有不少个案都涉及较⼤的⾦额,⽐如VulcanForged[29]的事故导致了 1.4亿美元的损失、BadgerDAO[30]的事故导致了 1.2亿美元的损失、FarmerWorld[31]的事故导致了 1570万美元的损失。
显然,合约安全事故是最⼤的隐患。在合约安全事故中,我们进⼀步研究发现出现的典型攻击包括闪电贷(flashloans)[32]、缺少权限验证、通证精度计算错误、数值溢出、⃞⃞攻击、AMM算法漏洞、假通证存储/抵押、双花、治理攻击等。
我们统计分析了不同漏洞导致的合约事故的数量,得到下列统计图:
我们研究了不同原因造成的合约事故所导致的损失⾦额,得到下列统计图:
有趣的是,我们发现尽管由缺少权限验证导致的安全事故在数量上明显少于由闪电贷引发的安全事故,但前者所导致的损失⾦额则⼤⼤⾼于后者,两者所导致的损失⾦额占⽐分别为10.48%和4.45%。
2021年,闪电贷逐渐成为攻击者常⽤的⼯具,⽤来攻击 DeFi类 DAPP。⼀些典型的 DeFi类 DAPP如 Cream Finance[33]、SpartanProtocol[34] 、YFI[35] 、IndexedFinance[36]都遭到了闪电贷攻击。有些甚⾄多次遭遇闪电贷攻击,⽐如AutoShark[37]被攻击三次,Pancake Bunny[38] 、BurgerSwap[39]和 Cream Finance 都被攻击两次。
基于事故原因对安全事故的分类研究
我们基于导致安全事故的发⽣原因将189起安全事故分为了三⼤类:由⿊客攻击导致(attacksfromhackers)、由不当操作导致(improper operations)和由项⽬⽅不当⾏为导致(rug-pulls)。
我们统计分析了这三类原因导致的安全事故数量,得到下列统计图:
如上图所示,由⿊客攻击导致的安全事故数量占⽐最多,⾼达86.24%,其次是由项⽬⽅不当⾏为导致,占⽐为11.11%,最后是由 不当操作导致,占⽐为2.65%。具体到安全事故数量,三者分别为163 起、21起和5起。
我们研究了这些事故原因造成的损失⾦额,得到下列统计图:
如上图所示,由项⽬⽅不当⾏为导致的损失⾦额占⽐最⾼,达66.18%,由⿊客攻击导致的损失⾦额占⽐为32.72%,由不当操作导致的损失⾦额占⽐为1.10%。有趣的是尽管由项⽬⽅不当⾏为导致的安全事故数远⼩于由⿊客攻击导致的安全事故数,但在损失⾦额上,前者远⾼于后者。在总计76亿美元的损失⾦额中,由项⽬⽅不当⾏为导致的损失⾦额、由⿊客攻击导致的损失⾦额和由不当操作导致的损失⾦额分别为50.3亿美元、24.9亿美元和8354万美元。
由⿊客攻击导致的安全事故
我们研究了由⿊客攻击导致的安全事故,分析了其中的漏洞种类,得到下列统计图:
如上图所示,两有个被⿊客利⽤进⾏攻击的漏洞分别是私钥泄露(adminkeybeingcompromised)和缺少权限验证(missingvalidationfor accesscontrol)。这两者所引发的安全事故数量所占的⽐例分别为11.66%和9.20%,整体上所占⽐例并不⾼
但当我们研究了两者所导致的损失⾦额后,发现了有趣的现象,得到的统计图如下所示:
和前⼀幅统计图形成相当⼤反差的是:由私钥泄露所导致的损失⾦额占⽐和由缺少权限验证所导致的⾦额损失占⽐在总⾦额中占⽐不⼩,两者分别是24.93%和29.2%。
在诸多由私钥泄露导致的安全事故中,涉及了⼀些中⼼化加密资产交易所,⽐如BitMEX[40]损失了1.5 亿美元、Liquid[41]损失了9100 万美元、AscendEX[42]损失了 7700万美元、HitBtc[43]损失了 4000万美元、Bilaxy[44]损失了 2170万美元。
要指出的是,在这⼀⼩节我们所讨论的安全事故涉及的被攻击对象包括智能合约、DAPP 前端和DAPP 后台。如果我们仅考虑DAPP前端和后台,则私钥泄露就是最主要的安全隐患。
由项⽬⽅不当⾏为导致的安全事故(Rug-pulls)
在2021年,由项⽬⽅不当⾏为导致的安全事故冲击了⼤量DAPP,包括DeFi类应⽤和中⼼化加密资产交易所。
我们统计的由项⽬⽅不当⾏为导致的安全事故共有21起,其中2起是中⼼化加密资产交易所,19起是DAPP。
我们研究了这些案例,得到下列统计图:
如上图所示,涉及中⼼化加密资产交易所的案例数仅占9.52%,⽽90.48%都是涉及DAPP的案例。
我们进⼀步研究了这两类事故的涉案⾦额,得到下列统计图:
如上图所示,尽管涉及中⼼化交易所的案例数远远⼩于涉及DAPP 的案例数,但前者的涉案⾦额远⾼于后者,前者的涉案⾦额占⽐为97.4%,⽽后者仅占2.6%。
由不当操作导致的安全事故(IMPROPEROPERATIONS)
总共有5起由不当操作导致的安全事故,所有的案例都发⽣在DAPP,更确切地说都是DeFi应⽤,包括了著名的项⽬如Compound[45]、dYdX[46]。 这些安全事故总共造成的损失⾦额达8354万美元。
研究总结
除了常⻅的区块链主链和侧链事故,2021年出现了新⽣的发⽣于第⼆层扩展系统的安全事故。但这类安全事故的数量仍然少于侧链,当然也远少于主链。
我们基于安全事故的涉案受害对象进⾏研究,发现由⿊客攻击导致的事故数量占⽐接近90%,由此可⻅⿊客攻击仍然整个加密领域最⼤的威胁。
DAPP安全事故所涉及的前端、后台和智能合约三类中,⽆论是从案例数量上看还是从涉案⾦额上看,智能合约安全漏洞引发的事故都远超前端和后台漏洞引发的事故。从案例数量上看,智能合约占⽐为80.11%,接着是后台占⽐达 11.05%,最后是前端占⽐达8.84%。从涉案⾦额上看,智能合约占⽐为91.17%,接着是后台占⽐达 5.14%,最后是前端占⽐达 3.68%。
前端安全相对智能合约安全⼀直以来并不受到加密领域安全业者的关注,但它的漏洞在2021年引发了⼏起涉案⾦额较⼤的事故,其中有两起每起的涉案⾦额都超过了1亿美元,分别是Vulcan Forged 和BadgerDAO,损失⾦额分别为1.4亿美元和1.2亿美元。
在由前端和后台漏洞引发的安全事故中,私钥泄露仍然是2021年这两个领域最⼤的安全隐患。
我们研究了与智能合约相关的安全事故后发现:由闪电贷导致的攻击案例数远超任何其它类别,位居第⼀;由缺少权限验证导致的
攻击案例数位居第⼆;但由后者导致的损失⾦额则远⾼于前者,也⾼于任何其它类别。
在所有189起安全事故中,尽管由⿊客攻击导致的安全事故超过任何其它类别,⽐如由项⽬⽅不当⾏为导致的安全事故,但后者造成的损失⾦额则远超前者。
在2021年,由项⽬⽅不当⾏为导致的安全事故涉及DAPP和中⼼化加密资产交易所。其中DAPP的涉案数⽬远超中⼼化加密资产交易所的涉案数,但后者的涉案⾦额却远超前者。由此可⻅,从涉案⾦额来看,中⼼化加密资产交易所仍然是最⼤的安全隐患,这⼀点对加密资产持有者来说要引起⾼度关注。
FAIRYPROOF⽅案示例
基于我们的研究和分析,我们认为安全领域最⼤的挑战来⾃于三个⽅⾯:闪电贷攻击、缺少权限验证和项⽬⽅不当⾏为。这三类事故⼴泛存在于智能合约领域。⽽它们在某种程度上是可以借助⾃动化⼯具鉴别和防范的。
在本章,我们将介绍Fairyproof 针对这三类事故开发的解决⽅案。
漏洞探查系统(VulnerabilityDetectionSystem)
漏洞探查系统的⼯作流程如下:
步骤 1:扫描源代码。
步骤2:检查函数的修饰符及可⻅性,提取函数的⾏为参数。
步骤3:将提取的函数的⾏为参数与Fairyproof标准库中存储的函数的标准⾏为参数进⾏对⽐,检查两者的差异。
步骤4:对每个函数的⾏为参数及其与标准参数的差异,对照漏洞库中的漏洞参数检查可能存在的系统漏洞。对每个典型漏洞,系
统将建⽴⼀个列表,将⾏为参数可疑的函数加⼊对应的列表。
步骤 5:对每⼀个列表中的每⼀个函数项,使⽤ Fairyproof 开发的⾏为曲线拟合算法 (behavior curve-fitting algorithm),运⽤ 机器学习验证其是否为潜在⻛险。
步骤6:如果在第5步中⼀个函数的⾏为被判定为有潜在⻛险,则该函数将被标记并发送给⼯程师进⾏核验。
步骤7:⼯程师将审计核验第6步挑选出的所有函数,判定其是否为⻛险项。
这套⼯具和流程极⼤加快了审计过程的⾃动化,减少了繁复的⼈⼯投⼊,提⾼了审计效率和正确率。
我们使⽤这套⼯具发现了⼀系列典型的⻛险,其中就包括可能引发闪电贷攻击的⻛险和缺少权限验证的⻛险。
下例是我们在审计过程中发现的⼀个可能被闪电贷攻击的案例。在代码截图中,getAmountOut()函数从某个去中⼼化交易所的⼀个交易对中获取reserve值,并⽤其计算UBT的价格。这种计算⽅式就可能遭遇闪电贷攻击。
我们发现此问题后,建议项⽬⽅使⽤更安全的价格获取机制(预⾔机)来计算相关通证的价格。
下列是我们在审计过程中发现的⼀个缺少权限验证的案例。在下例代码中,管理员可以通过调⽤setRate函数任意设置rate,这可能导致通证交易被抢跑。
下列函数可能被抢跑攻击。
利⽤上述⼯具,这个缺少权限验证的问题很快就被发现了,对此我们建议项⽬⽅取消这个函数或对该函数的调⽤设置权限控制。
通证探查系统(TOKENVARIANCEDETECTIONSYSTEM)
为了⾃动化监测⼀个通证合约是否存在潜在⻛险,例如是否遵照以太坊通证标准,我们开发了通证探查系统。该系统的运⾏过程如下:
步骤 1:扫描合约源代码
步骤2:根据合约定义的函数、接⼝、继承关系等特性解构合约,并⽣成m!×n 矩阵A,该矩阵量化此合约的特性。
步骤3:搜索数据库中存储的标准通证模型如ERC-20通证、ERC-721通证、ERC-1155通证。这些模型可量化为n ×m"、n × m# 、...... 、n × m$ 的矩阵B",B#,. . . B$ 。
步骤 4:计算矩阵的点积A ∙ B",A ∙ B#,. .., A∙B$得到m!×m"的矩阵C"、m!×m#的矩阵C#、...、m!×m$的矩阵C!。
步骤5:矩阵中的每个元素都表示⼀个潜在⻛险点的⻛险值,如果该值越⾼则表明该⻛险点的⻛险越⾼。
步骤6:Fairyproof ⼯程师将审核检查这些⻛险点,并得出最终结论。
基于这套⼯具及这个⾃动化流程,我们快速发现了去年⼀些热⻔空投项⽬的显著不同点,⽐如我们发现了MaskDAO通证收取“税费(tax)”的⾮典型特征,如下所示:
这种⾃动化⼯具也帮助我们迅速定位到⼀些空投通证项⽬中特殊的处理⽅式,⽐如 SOS、MASK、GDO、GAS使⽤的链下处理⽅式,如下图所示:
防范安全事故的可⾏⼿段及建议
在本节,我们将基于对2021年安全事故的总结和分析,分别从开发者和⽤户的⻆度罗列⼀些防范安全事故的可⾏⼿段及建议。我们建议开发者和⽤户都参照这些建议在⽇常的开发、维护、运营、交易等⾏为中⼩⼼谨慎,做好安全防范⼯作。
注意:这⾥的开发者既包括区块链客户端应⽤的开发者,也包括DAPP及所有和加密资产相关的应⽤的开发者。这⾥的⽤户指所有参与到加密资产及相关系统运营、操作、交易、持有等活动的参与者。
对开发者的建议
对基于⼯作量证明机制(PoW)的⽆许可型区块链⽽⾔,防范其被攻击最好的⽅式就是发展它的⽣态系统,激励更多的节点参与系统的挖矿,提升系统的整体算⼒。
2021年,在所有扩展区块链主⽹性能的⽅案中,尽管侧链发⽣安全事故的案例数多于第⼆层扩展,但第⼆层扩展技术是新兴的技术,它未来的发展会迅速推进,⽣态也会⽇益繁荣,因此对第⼆层扩展技术安全性的关注不能掉以轻⼼。作为开发者⽽⾔应该未⾬绸缪,积极深⼊地研究相关技术,找到防范安全事故的⽅案和措施。
对于DAPP的整体安全⽽⾔,由智能合约的漏洞引发的安全事故依旧是⾸要值得关注的领域,但前端和后台的安全也必须引起⃞视。尤其在审计⽅⾯,对前端和后台的审计将成为审计的必然选项。
对于存在管理员控制关键操作的DAPP,必须将管理员权限转移到多签钱包或者DAO来管理。
闪电贷和对操作权限的验证是合约开发者时刻要注意的两⼤⻛险点。正确合理地处理这两⼤⻛险点也是开发者在设计和编码智能合约时必须注意的头等事项。
对⽤户的建议
对于持有基于⼯作量证明机制(PoW)的区块链加密货币的⽤户⽽⾔,必须关注该区块链的整体算⼒⽔平。如果该区块链系统的算⼒较低,则可能遭遇51%攻击,从⽽影响所持有加密货币的价值。
侧链技术和第⼆层扩展技术都还处于发展初期,都还不够成熟和健壮,很有可能遭遇安全事故。因此在准备参与或持有相关加密货币之前,⽤户最好仔细审视相关⽅案的安全性,以免持有的加密货币所依赖的相关⽅案因安全性⽋佳导致所持有的加密资产价值受损。
当和DAPP进⾏交互时,⽤户不仅要关注其智能合约的安全,也要关注其前端和后台的安全,尤其要注意不要轻易点击可疑的信息或链接。
强烈建议⽤户在参与加密货币投资及交互之前,仔细审阅相关项⽬是否有审计报告,并仔细阅读相关的审计报告以便知晓第三⽅机构对其安全性的评估。
强烈建议⽤户使⽤冷钱包管理不⽤于频繁交易的加密资产。在使⽤热钱包时注意使⽤时周边的硬件环境和软件环境的安全性。
对开发团队身份匿名的项⽬,⽤户应该提⾼警惕。⼀些从未有过业内声誉的团队开发和运营的项⽬可能存在跑路⻛险。对中⼼化交易所⽤户要关注其运营团队的身份和背景,对声誉较低的团队运营的中⼼化交易所要⼩⼼其跑路⻛险。
参考资料:
[1] ArbitrumPortal,https://portal.arbitrum.one/
[2] Optimism,https://www.optimism.io/
[3] “DeFi 2.0:Abeginner'sguidetothesecondgenerationofDeFiprotocols”.
https://cointelegraph.com/defi- 101/defi2-0-a-beginners-guide-to-the-second-generation-of-defi-protocols.
[4] CryptoPunks. https://www.larvalabs.com/cryptopunks
[5] BAYC.https://boredapeyachtclub.com/
[6] AxieInfinity. https://axieinfinity.com/
[7] “Play-To-EarnGamingIsDrivingNFTAndCryptoGrowth”.
https://www.forbes.com/sites/robertfarrington/2021/12/13/play-to-earn-gaming-is-driving-nft-and-crypto-growth/?sh=7f3afd1dc2dc.December 13,2021[8] Morris,DavidZ. (15May2016). "Leaderless,Blockchain-BasedVentureCapitalFundRaises$100Million,AndCounting".Fortune.Archivedfromtheoriginal on21May2016.Retrieved23May2016.
[9] Popper,Nathan(21May2016). "AVentureFundWithPlentyof Virtual Capital,but NoCapitalist".TheNewYorkTimes.Archivedfromtheoriginalon22May2016.Retrieved23May2016.
[10] "Blockchains:Thegreat chainof beingsureabout things". TheEconomist.31October 2015.Archivedfromtheoriginalon3July2016.Retrieved18June2016. Thetechnologybehindbitcoinletspeoplewhodonot knowortrusteachother buildadependableledger.Thishasimplicationsfar beyondthecryptocurrency.
[11] Narayanan,Arvind;Bonneau,Joseph;Felten,Edward;Miller,Andrew;Goldfeder,Steven(2016).Bitcoinandcryptocurrencytechnologies:acomprehensiveintroduction.Princeton:PrincetonUniversityPress.ISBN978-0-691- 17169-2.
[12] Blockchain. https://en.wikipedia.org/wiki/Blockchain.January4,2022
[13] StifterN,JudmayerA,SchindlerP,et al. What isMeant byPermissionlessBlockchains?[J].IACRCryptol.ePrintArch.,2021,2021:23[14] StifterN,JudmayerA,SchindlerP,et al. What isMeant byPermissionlessBlockchains?[J].IACRCryptol.ePrintArch.,2021,2021:23.
[15] DApp,[1] "CVCMoneyTransmissionServicesProvidedThroughDecentralizedApplications(DApps)" (PDF).FinCEN.Retrieved2019-05-09.[16] dApp,[2] "IEEEDAPPS2020". ieeedapps.net. Archivedfromtheoriginalon2020-04-26.Retrieved2020-08- 15.
[17] Sidechains. https://ethereum.org/en/developers/docs/scaling/sidechains/
[18] Layer-2. https://academy.binance.com/en/glossary/layer-2
[19] Solana.https://solana.com/
[20] ETC. https://ethereumclassic.org/
[21] BSV. https://bitcoinsv.com/
[22] Verge. https://vergecurrency.com/
[23] Firo.https://firo.org/
[24] Polygon. https://polygon.technology/
[25] LiquidNetwork. https://river.com/learn/terms/l/liquid-network/
[26] ArbitrumOne.https://portal.arbitrum.one/
[27] “What Isa51%Attack?”. https://www.coindesk.com/learn/what-is-a-51-attack/.October 12,2021
[28] Denial-of-serviceattack. https://en.wikipedia.org/wiki/Denial-of-service_attack.January,2022
[29] VulcanForged.https://vulcanforged.com/
[30] Badger DAO.https://app.badger.com/
[31] FarmersWorld.https://farmersworld.io/
[32] Flash-loans. https://aave.com/flash-loans/
[33] CreamFinance. https://app.cream.finance/
[34] SpartanProtocol.https://spartanprotocol.org/
[35] YearnFinance. https://yearn.finance/#/home
[36] IndexedFinance. https://indexed.finance/
[37] AutoShark.https://autoshark.finance/
[38] PancakeBunny. https://pancakebunny.finance/
[39] BurgerSwap.https://burgerswap.org/
[40] BitMEX.https://www.bitmex.com/
[41] Liquid.https://www.liquid.com/
[42] AscendEX.https://ascendex.com/
[43] HitBTC. https://hitbtc.com/zh_CN
[44] Bilaxy. https://bilaxy.com/
[45] CompoundFinance. https://compound.finance/
[46] dYdX. https://dydx.exchange/