歐易程序員1024獻禮：鏈上安全手冊_okex

安全功能組成，例如密碼學、軟件中介合同和身份控制。該技術通過啟用分布式方式來驗證訪問、驗證交易記錄和維護隱私，從而提供顯著水平的數據保護和完整性。

然而，盡管有這些安全性增強，區塊鏈市場仍然充斥著安全問題。基于區塊鏈的攻擊來自外部參與者以及內部人員。其中許多黑客使用了常見的策略，例如網絡釣魚、社會工程、攻擊傳輸中的數據或針對編碼錯誤。新技術伴隨著新的開發工具和方法，區塊鏈也不例外。一種新的網絡威脅正在出現，涉及區塊鏈網絡獨有的策略。其中包括：51%的攻擊、加密劫持、閃電貸攻擊、rugpull等

人為風險

人為風險是除技術外的一類因素，端點漏洞也是惡意行為者的入口點，例如設備、應用程序、錢包或第三方供應商級別的漏洞。員工和供應商人員也是目標。并非所有的區塊鏈都是平等的，在市場討論中經常被忽視的是，區塊鏈架構存在很大差異，尤其是在涉及不同結構和組件如何引入安全權衡時。隨著區塊鏈的組件、算法和用途不斷發展，攻擊策略和威脅緩解技術也將不斷發展。

缺乏監管

缺乏監管，智能合約不能替代合規性——它們不具有法律約束力。從洗錢到假冒，從隱私到詐騙，不明確的監管環境會減緩采用速度，并使網絡犯罪分子猖獗。

邏輯漏洞

邏輯漏洞是指由于程序邏輯不嚴導致一些邏輯分支處理錯誤造成的漏洞。

在實際開發中，因為開發者水平不一沒有安全意識，而且業務發展迅速內部測試沒有及時到位，所以常常會出現類似的漏洞。

代碼漏洞

歐易OKX NFT市場：NFT市場未來將是算法驅動的類電商平臺:8月11日消息，歐易OKX NFT一級市場負責人Kyle在IEEE P3220 NFT國際標準參編會上發言表示：歐易OKX NFT市場是集創作、發行、交易功能于一身的多鏈聚合NFT平臺。支持7條公鏈，聚合4家主流NFT交易平臺以及CryptoPunks官方流動性。堅持0交易手續費政策，不炒作NFT項目，也不發行平臺代幣。

歐易NFT市場將堅持通過技術沉淀，搭建技術壁壘，為用戶提供集移動端、網頁為一體的NFT交易體驗。[2022/8/11 12:18:04]

這是指代碼中的一個缺陷，它會產生損害安全性的潛在風險。此漏洞將允許黑客通過附加端點來提取數據、篡改合約或更糟的是擦除所有內容，從而利用代碼。

風險分級

致命：存在致命風險及隱患，需要立即解決

高風險：存在高危風險及隱患，將引發相同問題，必須解決

中風險：存在中度風險及隱患，可能導致潛在風險，最終仍然需要解決

低風險：存在低風險及隱患，指各類處理不當或會引發警告信息的細節，這類問題可暫時擱置

建議：存在可優化的部分，這類問題可以擱置，但建議最終解決

分級標準

定級主要依據漏洞的危害程度、利用難度，輔以其他因素綜合判定，其中：危害程度主要根據機密性影響(C)、完整性影響(I)、可用性影響(A)三個維度定義；利用難度主要根據攻擊向量(AV)、攻擊復雜度(AC)、認證(Au)三個維度定義。

歐易OKEx已開放SHIB交易，日內漲幅15.38%:5月8日，歐易OKEx官方公告宣布上線Shiba Inu (SHIB)，13：40開啟SHIB/USDT市場交易，并且將于5月10日18:00開放提現。 據歐易OKEx行情顯示，SHIB日內漲幅15.68%，現報價0.000006USDT

據悉，歐易OKEx聯合SHIB與DOGE社區發起“SHIB PK DOGE，犬王爭霸賽活動”。在5月8日-5月15日活動期間，平臺用戶充值或交易SHIB、DOGE來參與競猜投票，就有機會抽取稀缺卡牌，瓜分1枚BTC并贏取10部iPhone12。

公開資料顯示，Shiba Inu是去中心化自發社區建設的實驗，也是第一個在去中心化交易所ShibaSwap上線并作為激勵的代幣。[2021/5/8 21:37:39]

風險種類個數

重入攻擊

注入攻擊

權限繞過

Mempool搶跑

回滾

條件競爭

循環耗盡gas費

閃電貸高影響

經濟模型不合理

可預見的隨機數

投票權管理混亂

數據隱私泄露

鏈上時間使用不當

fallback函數編碼不當

鑒權不當

opcode使用不當

內聯匯編使用不當

構造函數不規范

歐易OKEx上線DAO Maker:4月14日，歐易OKEx官方公告宣布上線DAO Maker (DAO)，現已開放充值，DAO/USDT市場將于今日18:00開放交易，并于4月15日18:00開放提現。

據悉，歐易OKEx啟動答題挑戰以及充值交易活動來慶祝DAO項目上線，在4月14日-4月21日期間舉行活動，詳情見官網公告。

公開資料顯示，DAO Make是一個由 B2B 和 B2B2C 產品和服務組成的平臺，包括合規融資、資產管理、可插拔 DAO 創建和鏈上分析。[2021/4/14 20:18:48]

返回值不規范

event不規范

關鍵字使用不規范

未遵循ERC標準

條件判斷不規范

流動性枯竭風險

中心化風險

邏輯變更風險

整數溢出

函數可見性不當

變量初始化不當

合約間調用不當

變量不規范

重放攻擊

隨機存儲位置寫入

蜜罐邏輯

哈希碰撞

使用不推薦的方法

未遵循基本編碼原則

第三方依賴風險

領獎邏輯不當

編碼不規范

應急機制缺失

代碼邏輯問題

歐易OKEx上線STX鎖倉挖礦賺取BTC:4月14日消息，歐易OKEx已于當日上線Stacks(STX)鎖倉挖礦服務，用戶可在賺幣頁面，通過一鍵鎖倉STX來每日獲得BTC獎勵，鎖倉挖礦共進行12輪，每輪大約持續14天，用戶可選擇參與1輪質押或12輪全部參加，根據規則，下輪鎖倉挖礦將于4月25日開啟，用戶需提前兩天進行鎖倉以參與當前輪次挖礦。[2021/4/14 20:17:52]

計算精度丟失

無意義的合約

已棄用的合約

精度不匹配

代理使用不規范

資產安全

外部函數調用不當

多次初始化風險

未判斷返回值

賬戶缺少簽名者檢查

缺少賬戶可寫檢查

程序邏輯缺陷

Hash算法使用不當

WriteFile權限過高

業務邏輯存在為題

過時的外部依賴

循環耗盡gas

條件判斷不規范

中心化風險

未遵循基本的編碼原則

業務邏輯存在問題

每個種類風險的描述

循環耗盡gas：在以太坊區塊鏈中，不能將交易設置為永久運行。交易可以運行直到達到gas限制。一旦發生這種情況，交易將出錯，并且將返回“outofgas”錯誤。

歐易OKEx將于今日18:00開放AUCTION/USDT交易:官方消息，根據Bounce.finance官方計劃，BOT已經按照1:100的比例置換為AUCTION，后續安排如下：4月7日17:00開放AUCTION充值，4月7日18:00開放AUCTION/USDT的市場交易。[2021/4/7 19:54:46]

條件判斷不規范：智能合約代碼中進行條件判斷不規范，缺失必要檢查。

中心化風險：智能合約部分函數接口權限由單一私鑰控制，具有中心化風險。

未遵循基本的編碼原則：沒有遵循基本的編碼原則，如變量命名錯誤等。

業務邏輯存在的問題：業務邏輯考慮不完善，比如退款情況考慮不周。

案例1

北京時間2022年8月2日凌晨，NomadBridge遭受攻擊，導致價值約1.9億美元的損失。

OKLink鏈上衛士追蹤顯示，NomadBridge攻擊事件共涉及1251個ETH地址，涉及14個幣種，涉案金額約1.9億美金；其中包含12個ENS地址，ENS地址涉案金額超6980萬美金，約占總金額的38%；在利用漏洞獲利后，直接進行交易的地址數達739個，占比近60%。但值得注意的是并不是所有地址都是惡意攻擊，已知已有白帽駭客公開表態愿意歸還資金，OKLink已對剩余的地址進行了監控，后期若發生異動，會通過微博、推特向用戶同步。

案例分析

對Replica合約的process函數進行分析，在require(acceptableRoot(messages),“!proven”);這個判斷條件中，messages的值需要經過acceptableRoot函數的邏輯檢驗，返回值為true才能繼續往下執行。

注意到acceptableRoot函數中，傳入的_root參數，在confirmAt大于0且小于等于block.timestamp的情況下，就會返回true。

那么該漏洞的核心就在對confirmAt這個mapping賦值的過程。從initialize函數輸入參數可以看到，_committedRoot使用了0x00。一般情況使用0值做初始化參數沒有問題，但是在Nomad的這個場景下，就導致了任意message都能通過檢測的安全漏洞。

鏈上衛士分析師建議在initialize函數中也進行嚴格的安全檢查和判斷。

BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB，價值約5.66億美元。

案例分析

BSCTokenHub是BNB信標鏈和BNB鏈之間的跨鏈橋。BNB鏈使用預編譯合約0x65驗證BNB信標鏈提交的IAVL的Proof，但BNB鏈對提交的Proof邊界情況處理不足，它僅考慮了Proof只有一個Leaf的場景，對多個Leaves的處理邏輯不夠嚴謹。黑客構造了一個包含多Leaves的Proof數據，繞過BNBChain上的校驗，從而在BNB鏈造成了BNB增發。

貨幣或區塊鏈交互的智能合約代碼的綜合過程。執行此過程是為了發現代碼中的錯誤、問題和安全漏洞，以便糾正和修復它們。它可以保護代碼免受未來潛在錯誤的影響。

OKLinkAudit采用靜態掃碼和人工驗證相結合的審計方式，從根源處檢查項目，確保項目安全。審計團隊還擁有嚴格的漏洞評級標準，對每個漏洞設置三個級別的評分，分別是基礎評分、時間評分和環境評分，確保審計結果的準確、專業。當然，專家團隊也會提供針對性的修改建議，提升項目的安全性、隱私性及可用性。目前參與審計的項目涵蓋公鏈、DeFi、L2、穩定幣、錢包、NFT等多個板塊。

2021年，因黑客攻擊、漏洞利用和欺詐造成的損失達到13億美元。

2022年第一季度，攻擊型安全事件造成的損失高達約12億美元，比去年同期的1.3億美元增長了約9倍。它也高于2021年任何一個季度的損失金額。

在被攻擊的項目中，70%由第三方審計機構審計。然而，在剩下的30%未經審計的項目中，因攻擊而遭受的損失占總損失額的60%以上。

Slither

Slither是第一個開源的針對Solidity語言的靜態分析框架。Slither速度非常快，準確性也非常高，它能夠在不需要用戶交互的情況下，在幾秒鐘之內找到真正的漏洞。該工具高度可配置，并且提供了多種API來幫助研究人員審計和分析Solidity代碼。

Slither在檢測智能合約漏洞時，其功能優于其他靜態分析工具，在速度、檢測準確性方面都有著先天優勢。Slither包含了一整套針對Solidity的專用靜態分析工具，它可以用來檢測可重用性、構造函數和方法訪問等編碼中的常見錯誤。

Mythril

Mythril是以太坊的官方合約漏洞檢測工具，可以檢測大量的智能合約安全問題，如整數溢出，任意地址寫入，時間戳依賴等14種漏洞檢測工具。可以發現常規漏洞，但是無法發現一個合約的業務邏輯問題，主要思想是利用符號執行去探索所有可能的不安全的路徑。

Mythril集成了符號執行、控制流檢查、污點分析等技術，并支持自定義漏洞檢測邏輯來對智能合約進行分析，同時，Mythril由于可以通過多次符號執行來模擬現實區塊鏈和智能合約被多次調用的情況，但是對于某些漏洞如重入、拒絕服務攻擊的誤報率比較高，也無法檢測出一些常規邏輯錯誤。并且由于Mythril由于存在著多次符號執行，要探索的路徑數量更多，也帶來了較大的時間和空間開銷。

風險判斷及檢測工具

1.TokenScanner

TokenScanner是OKLinkAudit第一個對外推出的產品，目前有B端API產品，以及C端頁面產品，也在和一些區塊鏈錢包團隊接洽幫助進行進行整套安全加固方案的建設。

目前API產品里面支持了9條EVM鏈的風險代幣檢測能力：POLY,OP,ARB,FTM,AVAX,OKC,TRON，頁面上支持了ETH和BSC，其他鏈正在開發中，年底之前頁面上會支持全部9條鏈的風險檢測項，通過代幣檢測能力，我們檢測了3,534,306代幣，通過我們的風險掃描，確定了106,474個風險代幣。

2.ArgusEye

結合OKLink的底層大數據能力與標簽能力，針對這些數據信息我們對風險事件中的事發地址和上下游地址進行破解與規律性總結，搭建了一套可疑地址和風險交易的實時發現、跟蹤分析及響應處置的機制。也會針對可能的安全事件做安全播報

DEX中的流動性，以及鏈上代幣持有者信息，我們擁有4部分檢測能力。

2.基于OKLink大數據能力，我們自研一套代幣打分規則對代幣進行打分，10分以下是極高風險代幣包括有貔貅盤代幣和rugpull代幣，是高危預警建議用戶不要購買，10-40是高風險，建議用戶也不要持有該代幣，40-80是中風險，80-100是低風險，用戶可以自行斟酌購買。

3.代幣分類器，對于特殊實現標準的代幣通過分類器進行展示，類似于ERC677和777與某些DEX協議不兼容，可能會導致用戶無法正常買入賣出，以及有rebase機制的代幣，代幣流通量會跟隨幣價動態變化，也就可能會導致用戶發現自己錢包里面的代幣突然減少了或是增多了。我們從用戶視角出發設置的代幣分類器幫助小白用戶快速理解代幣潛在風險。

Tags：區塊鏈NFTokexSHI區塊鏈域名價格排行NFTSOL求okex交易手續費明細SHIBAY價格

瑞波幣