本文由 Dilation Effect 與吳說區塊鏈共同發布。
主流交易所和機構在網絡安全防護上無疑都投入了大量資金和人力,Dilation Effect 無法得知這些機構內部的安全水平和實施細節,但出于好奇,我們想嘗試通過公開信息來對這些機構錢包地址做簡單分析,見微知著,從普通用戶角度來考量這些地址是否存在潛在安全風險,以及潛在風險敞口有多大。
本次快閃點評的數據全部來源于 Etherscan 、Debank 等公開服務。
1、分析對象選擇
查看 Etherscan 的 Top 1000 Accounts,挑出其中打了標簽的機構地址。
2、分析維度選取
由于不了解這些交易所和機構生成和管理錢包的技術細節,該如何對地址的安全性做分析?Dilation Effect 這次選取的維度是分析這些地址的合約授權情況。
因為地址被惡意合約騙取授權或者授權過的合約存在漏洞而導致被盜幣是很常見的攻擊。限制授權額度、定期清理授權已經成為最佳安全實踐。那么這些大型交易所的地址做的如何呢,我們隨機挑選幾個地址來做分析。
ConsenSys為其智能合約審計服務ConsenSys Diligence推出TURN Token,將于8月15日發售:7月20日消息,以太坊基礎設施開發商ConsenSys宣布為其智能合約審計服務ConsenSys Diligence推出TURN Token,該Token為安全審計的買賣雙方創建了一個新的開放市場,將于北京時間2022年8月15日20:00至8月19日20:00在turnplatform.bid限時發售。
TURN是用于Token化服務的NFT,每個TURN都是與ERC721兼容的Token,代表可以提供40小時的審計時間。TURN Token將直接授予客戶或在鑄幣時出售,可以在需要審計服務的客戶之間進行二次交易,因此可以優化服務參與和調度流程的價格發現。它們每個都代表智能合約審計員的時間片段,并且允許自由市場對其進行定價。[2022/7/20 2:24:59]
案例一
地址:
Binance 8 (0xF977814e90dA44bFA03b6295A0616a897441aceC)
這是 Binance 余額最大的錢包地址,ETH鏈為100億美金,其他鏈加起來一共161億美金。部分資產截圖如下:
Parity 與MediLedger達成合作以提高生命科學供應鏈的完整性:金色財經報道,MediLedger Network背后的科技公司Chronicled與Parity Technologies (Polkadot和Substrate的開發商)達成了合作關系。兩者將共同利用現代點對點通信和區塊鏈技術,以提高生命科學供應鏈的完整性和效率。據悉,MediLedger Network是使用Parity的區塊鏈框架Substrate開發的區塊鏈系統,目標是追蹤處方藥的供應鏈,更好地制止假藥流通。(PRNewswire)[2022/1/23 9:07:13]
查看此地址在 ETH 鏈的合約授權情況,發現提示 32 億美金存在風險。當然這里并不是說一定存在確定性安全風險,這只是一種潛在風險敞口的可能性描述。
YFI創始人:DILL、Cream v2和Cover v1.1等4個項目正在接受審計:YFI創始人Andre Cronje發推表示:目前共有4個新項目正在接受審計,明確提到3個:分別是DILL代幣、Cream v2借貸協議、Cover1.1 perps。第四個新項目并沒有說明,引發眾多推特用戶猜測。
同時Andre Cronje“吐槽”一把審計過程:等待反饋的循環很痛苦,感覺就像“浪費掉”的時間,你不能開始新的工作,也不能發布項目。[2020/12/7 14:27:10]
那么我們具體來看看此地址是如何做授權的,比如什么幣種授權給了什么合約,授權額度如何。以下摘錄部分查詢結果。
這時我們會發現一個奇怪的現象,就是這個地址上有的幣種限制了授權額度,有的幣種卻直接無限制,授權額度規則看起來并不統一。我們特別關注到 BUSD、Matic、SHIB、SAND 這幾個余額較大的幣種,地址余額分別為 19 億美金、4.6 億美金、2.6 億美金、1.4 億美金,相關授權記錄如下:
Dillon Chen:Edgeware可能成為波卡網絡第一個智能合約平臺:BiKi交易平臺與Polkadot(波卡)生態聯合舉辦的主題為“探究Polkadot生態的奧秘”AMA于2020年3月20日20點舉行,參與此次AMA的分別為波卡生態內五個項目,分別為Edgeware、Phala Network、LamianrChain、ChainX、Darwinia。
Edgeware聯合創始人及CEO Dillon Chen在此次AMA中表示:Edgeware很可能會成為波卡網絡上第一個智能合約平臺,我們的競爭優勢在于波卡區塊鏈互操作性、安全性、以及我們的WASM合約運行。[2020/3/20]
這里存在幾個明顯的問題:
一是對合約的授權沒有定期清理。比如針對 BUSD 的合約授權,兩年多過去了都沒做過清理,要么沒關注到要么覺得沒必要。這說明 Binance 在內部安全管理上缺少對這塊的系統覆蓋。也許有人會說,已經分析過相關授權合約發現這些合約能做的操作有限,相對安全。但我們想說的是,這里首先并不是單純的技術問題,而更多是安全管理的問題。即 Binance 在這里該如何全面系統的去管理第三方合約帶來的風險,我們認為可以做的更嚴格深入。其實如果仔細看,你會發現 Aave: Lending Pool V2 是個可升級的代理合約,假如(我是說假如)Aave 合約被攻擊,這里就是 19 億美金的損失。
動態 | 輝瑞制藥加入區塊鏈項目MediLedger,以改善退款問題:據RTT News消息,制藥巨頭輝瑞公司(Pfizer Inc.)和McKesson Corp等三家生命科學和醫療保健公司加入Chronicled的MediLedger項目,為制藥行業建立一個區塊鏈網絡,以改善退款問題,并降低病人護理的成本。據悉,MediLedger協議設計工作正在進行中,計劃在今年第三季度開始測試該協議。[2019/5/6]
二是大量的幣種授權額度無限制。一旦發生相應合約被攻擊的極端情況,如果限制了授權額度會相應的降低風險。這同樣暴露出 Binance 在內部安全管理上缺少對這塊的系統覆蓋。當然你會說這都是極端情況,但是對 Crypto 行業來說很多小概率事情歷史上就發生了。我們需要提高風險敏感度,對風險要保持極度的厭惡是非常必要的。
三是幣種授權規則不統一,有些幣種限制了額度,有些完全沒限制額度,動作不統一。這說明 Binance 內部安全管理操作不明確,或者內部團隊沒有做好分工配合。
另外我們也很好奇,資產余額規模如此巨大的地址,為何要頻繁參與 Defi合約的操作呢?Binance 是否可以做出更細粒度的地址規劃和隔離設計呢?
案例二
Kucoin 6 (0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)
這是 Kucoin 交易所的地址,其 ETH 鏈上有17億美金,其他鏈加起來19億美金。此地址資產截圖如下:
查看此地址在 ETH 鏈的合約授權情況,發現提示 11 億美金存在風險。同樣的,這并不是指一定存在安全風險,而只是一種潛在風險敞口的可能性描述。
那么具體來看看 Kucoin 這個地址的授權情況。
哇!我們又發現了一些有意思的東西。
1、此地址的 APE 幣種在 2022-04-02 授權給了 Multichain 的跨鏈 Router 合約,大家應該知道前幾天 Multichain 出現了不可抗力因素的事件,但 Kucoin 并沒有在第一時間取消對 Multichain 合約的授權。這體現出 Kucoin 在風險應急響應上還存在改進空間。
2、此地址的大金額幣種 USDT(5億美金)、USDC(2.9億美金)、KCS(4.8億美金) 等全部都授權給了名為 Bridge 的合約,且授權額度完全無限制。簡單分析后發現 Bridge 是 KuCoin 社區鏈 KCC 的跨鏈橋合約,但在 KCC 的官網上查看搜索,并沒有發現相關的安全審計報告,這不禁又讓人心一慌。大家還記得 BNB Chain 的 200萬枚BNB 攻擊事件嗎?
案例三
Jump Trading (0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)
這是機構 Jump Trading 的地址,其 ETH 鏈上有 1.4 億美金,其他鏈加起來 1.5 億美金。此地址資產截圖如下:
查看此地址在 ETH 鏈的合約授權情況,發現提示 2500 萬美金存在風險。同樣的,這并不是指一定存在安全風險,而只是一種潛在風險敞口的可能性描述。
那么具體來看看 Jump Trading 這個地址的授權情況。
可以發現此地址上幣種的授權不多,而且絕大部分的授權都做了額度限制,總體上管理得還不錯。
但是 USDC 幣種在 2021-02-04 授權給了 Curve 合約,未設置限額,且一直未取消。這一點需要做出提醒,如果不需要對應的合約操作,建議立即取消對此合約的授權。
總結
這次的快閃點評到這里就結束了。Dilation Effect 隨機抽取了幾個交易所和機構地址做分析,從結果來看,這些機構在合約授權方面做得并不是很完美,希望我們的分析能給相關機構提供參考。沒有抽取到地址的交易所和機構,也可以參考上文中的分析過程來檢查是否存在類似問題。
區塊律動BlockBeats
Foresight News
曼昆區塊鏈法律
GWEI Research
西柚yoga
ETH中文
金色早8點
金色財經 子木
ABCDE
0xAyA
原標題:FXS——Coiled Spring作者:Ouroboros Capital;翻譯:金色財經cryptonaitive本報告詳細介紹了我們對Frax Finance(FXS)的投資主題.
1900/1/1 0:00:00作者:Nancy,PANewsNFT市場正進入至暗時刻。一方面,伴隨著整體市場行情步入低迷期,NFT還迎來“停運潮”,數個NFT項目接連宣布關停.
1900/1/1 0:00:00作者:Sami Kassab,Messari分析師;翻譯:金色財經0xxz去中心化物理基礎設施網絡(DePIN)的關注度越來越高,這類網絡通過代幣獎勵來激勵硬件網絡和現實世界任務的部署.
1900/1/1 0:00:00作者:金色財經,lklbar6月1日《適用于虛擬資產交易平臺營運者的指引》正式生效。香港證監會表示,歡迎已準備好遵守證監會標準的虛擬資產交易平臺營運者申領牌照.
1900/1/1 0:00:00什么是零知識證明 零知識證明(Zero-Knowledge Proof,ZKP)是現代密碼學的重要組成部分。它指的是證明者在不向驗證者提供任何有用信息的情況下,說服驗證者某個假設是正確的能力.
1900/1/1 0:00:00作者:cookies,風投分析師;翻譯:金色財經xiaozouKakarot zkEVM是什么?為什么它能得到V神和StarkWare的支持?Kakarot把EVM帶到Starknet之上.
1900/1/1 0:00:00