来自okex程序员的献礼（okex是什么软件）

安全可靠机能组成，比如信息论、应用软件中介机构合约和身分控制。该控制技术透过投入采用分布式系统方式来校正出访、校正交易历史记录和保护个人隐私，进而提供显着水平的统计网络管理和准确性。

然而，尽管有这些安全可靠性增强，区块链市场仍然充斥着安全可靠难题。基于区块链的反击源自外部参与者以及内部消息。当中许多骇客采用了常见的思路，比如互联网钓鱼、社会工程、反击传输中的统计数据或针对标识符错误。新控制技术伴随着捷伊应用软件和方法，区块链也不例外。一种捷伊互联网严重威胁正在出现，牵涉区块链互联网独有的思路。当中包括：51% 的反击、加密劫持、流星贷反击、rugpull等

数人信用风险

数人信用风险是除控制技术外的一类因素，西北侧安全可靠漏洞也是恶意行为者的入口点，比如设备、应用程序、钱包或服务器端分销商级别的安全可靠漏洞。员工和分销商人员也是目标。并非所有的区块链都是平等的，在市场讨论中经常被忽视的是，区块链架构存有很大差异，尤其是在牵涉不同结构和模块如何引入安全可靠权衡时。随着区块链的模块、算法和用途不断发展，反击思路和严重威胁缓解控制技术也将不断发展。

缺少市场监管

缺少市场监管，智能合约不能替代合规——它们不具有法律约束力。从洗钱到假冒，从个人隐私到诈骗，不明确的市场监管环境会减缓采用速度，并使互联网犯罪分子猖獗。

方法论安全可靠漏洞

方法论安全可靠漏洞是指由于程序方法论不严导致一些方法论分支奈镇造成的安全可靠漏洞。

在实际开发中，因为开发人员水平不一没有安全可靠意识，而且业务发展迅速内测没有及时到位，所以常常会出现类似的安全可靠漏洞。

标识符安全可靠漏洞

这是指标识符中的一个缺陷，它会产生损害安全可靠性的潜在性信用风险。此安全可靠漏洞将允许骇客透过附加西北侧来提取统计数据、篡改合约或更糟的是抹除所有内容，进而借助标识符。

信用风险分级（毁灭性、高信用风险、中信用风险、低信用风险、提议）

毁灭性：存有毁灭性信用风险及安全可靠隐患，需要立即化解

高信用风险：存有高危信用风险及安全可靠隐患，将引起相同难题，必须化解

中信用风险：存有中度信用风险及安全可靠隐患，可能导致潜在性信用风险，最终仍然需要化解

低信用风险：存有低信用风险及安全可靠隐患，指各类处理失当或会引起警告信息的细节，这类难题可暂时一拖再拖

提议：存有可优化的部分，这类难题可以一拖再拖，但提议最终化解

PG国际标准（OKLink Audit）

综合评价主要依据安全可靠漏洞的危害性程度、借助技术难度，辅以其他因素综合判定，当中： 危害性程度主要根据保密性负面影响(C)、准确性负面影响(I)、易用性负面影响(A) 三个层次表述； 借助技术难度主要根据反击向量(AV)、反击维数(AC)、认证(Au) 三个层次表述。

信用风险种类个数（50 ）

重入反击

注入反击

权限绕过

Mempool博尔希夫卡

格式化

条件竞争

循环耗尽gas费

流星贷高负面影响

微积分学不合理

可预见的随机数

投票权会计报告

统计数据个人隐私泄露

链上时间采用失当

fallback表达式标识符失当

身份验证失当

opcode采用失当

H55N汇编采用失当

构造表达式不规范化

返回值不规范化

event不规范化

关键字采用不规范化

未遵从ERC国际标准

条件判断不规范化

流动性枯竭信用风险

虚拟化信用风险

方法论变更信用风险

整数溢出

表达式可见性失当

表达式初始化失当

合约间调用失当

表达式不规范化

A2P84PA反击

随机存储位置写入

Veronica方法论

基元碰撞

采用不推荐的方法

未遵从基本标识符原则

服务器端依赖信用风险

领奖方法论失当

标识符不规范化

应急机制缺失

标识符方法论难题

计算精度丢失

无意义的合约

已弃用的合约

精度不匹配

代理采用不规范化

资产安全可靠

外部表达式调用失当

多次初始化信用风险

未判断返回值

账户缺少签名者检查

缺少账户可写检查

程序方法论缺陷

Hash算法采用失当

WriteFile权限过高

业务方法论存有为题

过时的外部依赖

循环耗尽gas    

条件判断不规范化  

虚拟化信用风险  

未遵从基本的标识符原则  

业务方法论存有难题

每个种类信用风险的描述

循环耗尽gas：在以太坊区块链中，不能将交易设置为永久运行。交易可以运行直到达到gas限制。一旦发生这种情况，交易将出错，并且将返回“out of gas”错误。

条件判断不规范化：智能合约标识符中进行条件判断不规范化，缺失必要检查。

虚拟化信用风险：智能合约部分表达式接口权限由单一私钥控制，具有虚拟化信用风险。

未遵从基本的标识符原则：没有遵从基本的标识符原则，如表达式命名错误等。

业务方法论存有的难题：业务方法论考虑不完善，比如退款情况考虑不周。

案例1

北京时间 2022 年 8 月 2 日凌晨，Nomad Bridge 遭受反击，导致价值约 1.9 亿美元的损失。

OKLink 链上卫士追踪显示，Nomad Bridge 反击事件共牵涉 1251个 ETH 地址，牵涉 14 个币种，涉案金额约 1.9 亿美金；当中包含 12个 ENS 地址，ENS 地址涉案金额超 6980 万美金，约占总金额的38%；在借助安全可靠漏洞获利后，直接进行交易的地址数达 739 个，占比近60%。但值得注意的是并不是所有地址都是恶意反击，已知已有白帽骇客公开表态愿意归还资金，OKLink 已对剩余的地址进行了监控，后期若发生异动，会透过微博、推特向用户同步。

案例分析（OKLink Audit）

对 Replica 合约的 process 表达式进行分析，在require(acceptableRoot(messages[_messageHash]), “!proven”);这个判断条件中，messages[_messageHash]的值需要经过 acceptableRoot 表达式的方法论检验，返回值为 true 才能继续往下执行。

注意到 acceptableRoot 表达式中，传入的 _root 参数，在confirmAt[_root] 大于 0 且小于等于block.timestamp的情况下，就会返回 true。

那么该安全可靠漏洞的核心就在对confirmAt这个 mapping 赋值的过程。从initialize表达式输入参数可以看到，_committedRoot采用了0x00。一般情况采用0值做初始化参数没有难题，但是在Nomad的这个场景下，就导致了任意message都能透过检测的安全可靠安全可靠漏洞。

链上卫士分析师提议在initialize表达式中也进行严格的安全可靠检查和判断。

BNB  Chian跨链桥BSC Token Hub遭遇反击。骇客借助跨链桥安全可靠漏洞分两次共获取200万枚BNB，价值约5.66亿美元。

案例分析

BSCTokenHub是BNB信标链（BEP2）和BNB链（BEP20 或 BSC）之间的跨链桥。BNB链采用预编译合约0x65校正BNB信标链提交的IAVL的Proof，但BNB链对提交的Proof边界情况处理不足，它仅考虑了Proof只有一个Leaf的场景，对多个Leaves的处理方法论不够严谨。骇客构造了一个包含多Leaves的Proof统计数据，绕过BNBChain上的校验，进而在BNB链造成了BNB增发。

货币或区块链交互的智能合约标识符的综合过程。执行此过程是为了发现标识符中的错误、难题和安全可靠安全可靠漏洞，以便纠正和修复它们。它可以保护标识符免受未来潜在性错误的负面影响。

OKLink Audit采用静态扫码和人工校正相结合的审计方式，从根源处检查项目，确保项目安全可靠。审计团队还拥有严格的安全可靠漏洞评级国际标准，对每个安全可靠漏洞设置三个级别的评分，分别是基础评分、时间评分和环境评分，确保审计结果的准确、专业。当然，专家团队也会提供针对性的修改提议，提升项目的安全可靠性、个人隐私性及易用性。目前参与审计的项目涵盖公链、DeFi、L2、稳定币、钱包、NFT等多个板块。

2021 年，因骇客反击、安全可靠漏洞借助和欺诈造成的损失达到 13 亿美元。

2022 年第一季度，反击型安全可靠事件造成的损失高达约 12 亿美元，比去年同期（2021 年第一季度）的 1.3 亿美元增长了约 9 倍。它也高于 2021 年任何一个季度的损失金额。

在被反击的项目中，70% 由服务器端审计机构审计。然而，在剩下的 30% 未经审计的项目中，因反击而遭受的损失占总损失额的 60% 以上。

Slither

Slither是第一个开源的针对Solidity语言的静态分析框架。Slither速度非常快，准确性也非常高，它能够在不需要用户交互的情况下，在几秒钟之内找到真正的安全可靠漏洞。该工具高度可配置，并且提供了多种API来帮助研究人员审计和分析Solidity标识符。

Slither在检测智能合约安全可靠漏洞时，其机能优于其他静态分析工具，在速度、检测准确性方面都有着先天优势。Slither包含了一整套针对Solidity（以太坊智能合约脚本语言）的专用静态分析工具，它可以用来检测可重用性、构造表达式和方法出访等标识符中的常见错误。

Mythril

Mythril是以太坊的官方合约安全可靠漏洞检测工具，可以检测大量的智能合约安全可靠难题，如整数溢出，任意地址写入，时间戳依赖等14种安全可靠漏洞检测工具。可以发现常规安全可靠漏洞，但是无法发现一个合约的业务方法论难题，主要思想是借助符号执行去探索所有可能的不安全可靠的路径。

Mythril集成了符号执行、控制流检查、污点分析等控制技术，并支持自表述安全可靠漏洞检测方法论来对智能合约进行分析，同时，Mythril由于可以透过多次符号执行来模拟现实区块链和智能合约被多次调用的情况，但是对于某些安全可靠漏洞如重入、拒绝服务反击的误报率比较高，也无法检测出一些常规方法论错误。并且由于Mythril由于存有着多次符号执行，要探索的路径数量更多，也带来了较大的时间和空间开销。

信用风险判断及检测工具（OKLink Audit）

1. TokenScanner

TokenScanner是OKLink Audit第一个对外推出的产品，目前有B端API产品，以及C端页面产品，也在和一些区块链钱包团队接洽帮助进行进行整套安全可靠加固方案的建设。

目前API产品里面支持了9条EVM链的信用风险代币检测能力：POLY,OP,ARB,FTM,AVAX,OKC,TRON，页面上支持了ETH和BSC，其他链正在开发中，年底之前页面上会支持全部9条链的信用风险检测项，透过代币检测能力，我们检测了3,534,306 代币，透过我们的信用风险扫描，确定了106,474 个信用风险代币。

2. ArgusEye

结合OKLink的底层大统计数据能力与标签能力，针对这些统计数据信息我们对信用风险事件中的事发地址和上下游地址进行破解与规律性总结，搭建了一套可疑地址和信用风险交易的实时发现、跟踪分析及响应处置的机制。也会针对可能的安全可靠事件做安全可靠播报

DEX中的流动性，以及链上代币持有者信息，我们拥有4部分检测能力。

2.基于OKLink大统计数据能力，我们自研一套代币打分规则对代币进行打分，10分以下是极高信用风险代币包括有貔貅盘代币和rug pull代币，是高危预警提议用户不要购买，10-40是高信用风险，提议用户也不要持有该代币，40-80是中信用风险，80-100是低信用风险，用户可以自行斟酌购买。

3.代币分类器，对于特殊实现国际标准的代币透过分类器进行展示，类似于ERC677和777与某些DEX协议不兼容，可能会导致用户无法正常买入卖出，以及有rebase机制的代币，代币流通量会跟随币价动态变化，也就可能会导致用户发现自己钱包里面的代币突然减少了或是增多了。我们从用户视角出发设置的代币分类器帮助小白用户快速理解代币潜在性信用风险。