金色薦讀 | 2021區塊鏈生態安全報告_APP

概述

2021?年對加密貨幣??真是個熱?朝天的年份。

根據?coinmarketcap.com?的數據顯示，?特幣的價格從年初?1???1??的?28994.01?美元到年尾?12??31?漲到了?46306.45美元，?并在?11???10??創出歷史新??68789.63?美元；以太坊從年初?1???1??的?737.71?美元到年尾?12???31??漲到了?3682.63美元，并?在?11???16??創出歷史新??4891.7?美元。在?特幣和以太坊的帶領下，??coinmarketcap.com?統計的整個加密貨幣市場總市值從年?初?1??1?的7730?億美元到年尾12??31??漲到了22560?億美元。

???市場?情持續?爆，??另???加密貨幣全?業也迎來了爆發式成?。層出不窮的創新和應?顛覆了我們對技術、商業和?化?等的理解和認知：??我們?證了以太坊第?層擴展的爆發，我們從未想到它會來得如此突然；我們?證了?DeFi?2.0對傳統?DeFi?商業模式的顛覆；我們?證了?NFT??躍成為元宇宙?態中身份的標識；我們?證了鏈游?態中崛起的?play-to-earn?模式?......

就像硬幣有兩??樣，?對加密貨幣?業??，???我們看到了其蓬勃發展的?態，?但另??我們也經歷了觸?驚?的安全事故。?2021?年加密貨幣全?業公開報道的安全事故?少有?189?起，?少有?76?億美元的加密資產在這些安全事故中損失。

這些安全事故不僅給加密資產持有者造成了??損失也嚴?影響甚?阻礙了整個加密?業?態的?期發展。

Fairyproof研究團隊研究了公開報道的189?起典型安全事故，??分析了其中的原因并將經驗、教訓進?總結，??匯成了本報告，??期待與?業界同仁及讀者交流，共同促進加密?業的良性發展，保障加密資產的全?安全。

背景知識

在我們深?探討之前，有必要先介紹本報告中會頻繁提及的?些基本概念及術語。

什么是區塊鏈

區塊鏈是?個持續增?的數據集鏈表。這些數據集被稱為區塊。這些區塊通過加密算法前后相互鏈接。這些區塊中除?了第?個區塊??以外，??每個區塊都包含前?個區塊的哈希值、本區塊的時間戳、交易數據等。只要區塊?鏈系統持續正常運作，??這些區塊前后鏈接就會構成?條永遠不斷增?的鏈式結構。通常已經記錄在區塊鏈中的交易和數據是?法回?滾和篡改的。如果要回滾或篡改某個區塊中的交易或數據，??則此區塊后所有區塊的交易和數據都要回滾或篡改，???這在技術上和經?濟上都有相當的難度。

?特幣是區塊鏈技術的第?個應?。它為區塊鏈?態的發展開辟了全新、?限的想象空間。在?特幣之后，??區塊鏈?態開始爆發式?成?，為全?類帶來了全新的視?和?象。

?許可型區塊鏈?VS?許可型區塊鏈

基本上所有現有的區塊鏈系統都可以被分為兩類：???許可型區塊鏈和許可型區塊鏈。

?許可型區塊鏈有時也被稱為公有區塊鏈，??它是?個開放的?絡系統，??任何?都可以作為節點在?需授權的情況下參與其共識的達?成、參與對數據和區塊的驗證。這個?絡中所有的節點相互之間都?需預先建?信任關系。?特幣是第?個?許可型區塊鏈。

許可型區塊鏈是?個封閉的?絡系統，??只有經過授權的節點才可以進??絡參與共識的達成、數據和區塊的驗證等活動。這些節點?通常是某個聯盟的成員、某個組織或公司的部?等。

由于?許可型區塊鏈是個開放的系統，??任何?都可以參與區塊驗證、打包等活動并使?系統，??因此它吸引了全球科技愛好者參與其??態系統的構建和開發。

此外，??在?許可型區塊鏈中，??為了維系系統的?治和運作，??其設計開發者會賦予其?種被稱為是“挖礦”的機制。這種機制會對成功?打包有效區塊的節點進?獎勵，?獎勵通常以加密貨幣的形式發放。在這種機制的激勵下，?來?全球的節點會參與系統的維護和運作。

因此，?許可型區塊鏈?態的成?和發展?分迅猛。

但與此同時，????由于?許可型區塊鏈允許任何節點??檻地加?系統的運作，因此惡意節點也難免加?其中，通過作惡甚?對系統?的攻擊獲取加密貨幣的獎勵。從這個?度審視，???許可型區塊鏈更容易受到?客的攻擊，???客既可以作為惡意節點從系統內部攻擊?也可以以傳統?式從系統外部攻擊。

這些綜合因素的疊加使得?許可型區塊鏈的安全保障和維護相對于許可型區塊鏈??更加復雜、更加困難。

什么是?DAPP

DAPP?是去中?化應?程序????的英?簡稱。這是?種運?在區塊鏈上，由?個或多個智能合約組成核??，包括前端、后臺等構件的應?程序?。??如果承載?個?DAPP?運?的區塊鏈是?許可型區塊鏈，則這個?DAPP?就能在?需?中?化媒介控制和?預的情況下?治地運?。

金色午報 | 10月24日午間重要動態一覽:7:00-12:00關鍵詞：中央企業、摩根大通、SP500、舟山

1. 中央企業區塊鏈合作創新平臺正式成立；

2. 摩根大通：BTC作為替代貨幣與黃金競爭，長期而言有相當大的上漲空間；

3. 《區塊鏈的真正商機》新書發布 火幣大學校長于佳寧撰寫推薦序；

4. 數據：比特幣與SP500指數關聯度自5月份以來首次降至0；

5. 舟山市委常委：利用區塊鏈技術推進舟山江海聯運公共信息平臺與長三角港口群信息交互共享；

6. 肖颯：若《人民銀行法》新法順利通過，ICO將不僅是違法行為還構成犯罪；

7. 上海市浦東新區徐瑾倫：區塊鏈建設是智慧城市新的技術應用；

8. 京東數科發布《京東區塊鏈技術實踐白皮書2020》；

9. BTC現報12969.43美元，當前加密貨幣總市值為3926億美元。[2020/10/24]

這種?DAPP?通常是開源、透明、公開的，任何?都可以?需許可地與其交互。這類?DAPP?的開發者為了吸引盡可能多的?戶使??它并保障?DAPP?的?期開發和維護，會在?DAPP?中加?加密貨幣的發?機制，?發?的加密貨幣獎勵使??DAPP?的?戶和開發團?隊。這種加密貨幣發?機制通常也會成為?客的攻擊?標。

這些特點也使得?DAPP?和?許可型區塊鏈?樣很容易被?客攻擊。

本報告的研究內容

對?許可型區塊鏈、??DAPP?和涉及加密貨幣業務的中?化機構及組織的攻擊或其?身出現的安全事故?泛存在于加密貨幣領域，??并?且?益嚴峻，對這些攻擊和安全事故的探討、研究和防范是加密貨幣領域的焦點，也是我們研究的核?。

對于其中的攻擊事件??，??發起攻擊的?客通常會將攻擊獲取的加密貨幣兌換成錨定法幣??的穩定幣或直接兌換為法?幣離場。

Fairyproof研究團隊對?2021?年發?、經公開報道的典型安全事故進?了系統的統計和總結，在本報告中羅列了相關數據、分析了?事故的成因、并列舉了防范這些事故的可?建議和有效措施。

2021?年安全事故的統計數據及分析

我們研究了媒體公開報道的?2021?年發?的?189?起安全事故，在本章羅列了我們統計的相關數據并分析了這些事故的原因和要點。

基于被攻擊對象對安全事故的分類研究

根據被攻擊對象的不同，我們將?189?起安全事故分為兩類：區塊鏈類安全事故和?DAPP?類安全事故。

區塊鏈類安全事故是指區塊鏈系統遭到來?內部節點或外部?客的攻擊或由于區塊鏈客戶端軟件或節點硬件等事故??使區塊鏈系統?法正常的?作，從?使得攻擊者從中漁利或使得區塊鏈原?加密貨幣持有者受到損失。

DAPP?類安全事故是指?DAPP?受到攻擊或者?DAPP?因?身缺陷?法正常?作，從?使得攻擊者從中漁利或者?DAPP?發?的加密貨?幣持有者受到損失。

在總共?189?起安全事故中，區塊鏈類安全事故數和?DAPP?類安全事故數各?所占的百分?如下圖所示：

如上圖所示，??DAPP?類安全事故數占?超過了?95%，共有?181?起，只有?8?起為區塊鏈類安全事故。

區塊鏈類安全事故

我們深?研究了區塊鏈類安全事故，將其分為三個?類：區塊鏈主?、側鏈和第?層擴展?。

區塊鏈主?也被稱為??lay?1，??它有??獨?的共識機制、驗證節點等。區塊鏈主?的節點可以獨?驗證交易、數據，達成共識，使?區塊鏈獲得最終?致性。?特幣和以太坊就是典型的區塊鏈主?。

側鏈也是單獨的區塊鏈，??但它通常伴隨?條區塊鏈主?平?運作。側鏈也有??的?絡系統、共識機制和驗證節點。它和區塊鏈主??相連，兩者相連的?式有多種，常?的包括雙向錨定??等。

第?層擴展是指依賴區塊鏈主?的協議或?絡系統。第?層擴展?法??取得最終的?致性和安全性，必須依賴區塊鏈主?獲?得。第?層擴展的主要功能和?標是解決區塊鏈主?的性能擴展問題。第?層擴展通常擁有相較于主?更加?效、更低費?的業務?處理能?。?前第?層擴展技術發展得最迅速、最有活?的是依托于以太坊的第?層擴展技術。以太坊的第?層擴展技術和?態在?2021?年取得了??的進展。

側鏈和第?層擴展技術都是為了解決區塊鏈主?的性能問題。這兩者典型的區別在于側鏈可以不依賴于區塊鏈主?獲得安全性和最?終?致性，?第?層擴展則必須依賴區塊鏈主?。

我們統計的?2021?年區塊鏈類安全事故總共有?8?起，??下圖展示了區塊鏈主?、側鏈和第?層擴展各個類別中發?的安全事故數所占比例。

金色熱搜榜：XLM居于榜首:根據金色財經排行榜數據顯示，過去24小時內，XLM搜索量高居榜首。具體前五名單如下：XLM、BHD、MANA、HC、REN。[2020/10/18]

如上圖所示，?區塊鏈主?發?的安全事故占整個區塊鏈類安全事故的?例為?62.5%??，總共有?5起，涉及的區塊鏈主?有Solana、?ETC、BSV、Verge和?Firo；側鏈發?的安全事故總共有?2起，?涉及的側鏈有?Polygon和?LiquidNetwork；??第?層擴展發?的安全事故有?1?起，涉及的第?層擴展系統是?Arbitrum?One.

在?5?個涉及區塊鏈主?的安全事故中，??有?4?起??都是遭到了?51%攻擊，??其根本原因是這些區塊鏈?主?的算?都相對較低，??這使得?客可以?較容易地通過租借算?的?式發動對主?的攻擊。剩下的?起??則是因為主??受到了?DOS?攻擊。

DAPP?類安全事故

我們分析研究了DAPP類安全事故，??進?步將其分為三個?類：??DAPP前端事故、??DAPP后臺事故、?DAPP?合約事故。

DAPP?前端事故主要是?DAPP?中涉及傳統信息技術的客戶端中出現了安全漏洞導致?戶的賬戶信息、個?信息等被盜從?導致?戶?的加密資產被盜或損失。

DAPP?后臺事故主要是?DAPP?中涉及傳統信息技術的服務器端出現安全漏洞導致?DAPP?的后臺服務與鏈上交互過程被劫持從?導致??戶的加密資產被盜或損失。

DAPP?合約事故主要是?DAPP?的智能合約出現安全漏洞導致?戶的加密資產被盜或損失。

?在總共?181?起?DAPP?類安全事故中，這三類安全事故的案例數占?如下圖所示：

如上圖所示，前端安全事故數占?為?8.84%、后臺安全事故數占?為??11.05%、合約安全事故數占?為??80.11%，??三者具體的事故?數分別為16起、??20起和145起。我們進?步研究了這三類安全事故導致的損失?額，得到下?的統計圖：

我們的統計數據顯示前端安全事故造成的損失達?2.8?億美元、后臺安全事故造成的損失達?3.91?億美元、合約安全事故造成的損失?達?69.3億美元；三者的占?分別為?3.68%、??5.14%和91.17%。

盡管前端安全事故導致的損失?額所占的?例并不?，??但其中有不少個案都涉及較?的?額，???如?Vulcan?Forged的事故導致?了1.4?億美元的損失、??BadgerDAO的事故導致了1.2?億美元的損失、??Farmer?World的事故導致了1570?萬美元的損失。

顯然，??合約安全事故是最?的隱患。在合約安全事故中，??我們進?步研究發現出現的典型攻擊包括閃電貸?????、缺?少權限驗證、通證精度計算錯誤、數值溢出、??攻擊、??AMM?算法漏洞、假通證存儲/抵押、雙花、治理攻擊等。

我們統計分析了不同漏洞導致的合約事故的數量，得到下列統計圖：

我們研究了不同原因造成的合約事故所導致的損失?額，得到下列統計圖：

有趣的是，??我們發現盡管由缺少權限驗證導致的安全事故在數量上明顯少于由閃電貸引發的安全事故，??但前者所導致的損失?額則????于后者，兩者所導致的損失?額占?分別為10.48%和?4.45%。

2021?年，閃電貸逐漸成為攻擊者常?的?具，??來攻擊DeFi?類DAPP。?些典型的DeFi?類DAPP?如CreamFinance、Spartan?Protocol、YFI、??Indexed??Finance都遭到了閃電貸攻擊。有些甚?多次遭遇閃電貸攻擊，?如?AutoShark被攻擊?三次，??PancakeBunny、??BurgerSwap和CreamFinance都被攻擊兩次。

金色晨訊 | 12月20日隔夜重要動態一覽:21:00-7:00關鍵詞：Libra、泰國、伊朗、淘寶、釜山

1. 韓國最大電信公司將為釜山發行基于區塊鏈的貨幣；

2. Libra發布第二版路線圖；

3. 泰國計劃將區塊鏈應用于電子簽證系統；

4. 浙江億邦和云南億邦遭北京朝陽分局立案偵查；

5. 光明日報：警惕以虛擬幣為噱頭的新式詐騙；

6. 因雙花攻擊視頻廣泛傳播，TravelByBit或將不再支持BTC和BCH；

7. 孫宇晨：330億TRX代幣解鎖后沒有出售計劃；

8. Coinbase CEO獲得發明專利 允許用戶通過電子郵件發送比特幣；

9. 伊朗總統提議為穆斯林國家創建加密貨幣以替代美元；

10. 淘寶商家“區塊鏈技術產品”類目半年前已上線。[2019/12/20]

基于事故原因對安全事故的分類研究

我們基于導致安全事故的發?原因將?189?起安全事故分為了三?類：??由?客攻擊導致、由不當操作導致?和由項??不當?為導致。

我們統計分析了這三類原因導致的安全事故數量，得到下列統計圖：

如上圖所示，??由?客攻擊導致的安全事故數量占?最多，???達?86.24%，??其次是由項??不當?為導致，???占?為?11.11%，最后是由不當操作導致，占?為?2.65%。具體到安全事故數量，三者分別為163起、??21?起和?5?起。

我們研究了這些事故原因造成的損失?額，得到下列統計圖：

如上圖所示，由項??不當?為導致的損失?額占?最?，達?66.18%，???由?客攻擊導致的損失?額占?為?32.72%，由不當操作?導致的損失?額占?為?1.10%。有趣的是盡管由項??不當?為導致的安全事故數遠?于由?客攻擊導致的安全事故數，但在損失??額上，前者遠?于后者。在總計?76?億美元的損失?額中，由項??不當?為導致的損失?額、由?客攻擊導致的損失?額和由?不當操作導致的損失?額分別為?50.3?億美元、??24.9?億美元和8354?萬美元。

由?客攻擊導致的安全事故

我們研究了由?客攻擊導致的安全事故，分析了其中的漏洞種類，得到下列統計圖：

如上圖所示，兩有個被?客利?進?攻擊的漏洞分別是私鑰泄露和缺少權限驗證。這兩者所引發的安全事故數量所占的?例分別為?11.66%和?9.20%?，整體上所占?例并不?

但當我們研究了兩者所導致的損失?額后，?發現了有趣的現象，?得到的統計圖如下所示：

和前?幅統計圖形成相當?反差的是：?由私鑰泄露所導致的損失?額占?和由缺少權限驗證所導致的?額損失占?在總?額中占??不?，兩者分別是?24.93%和?29.2%。

在諸多由私鑰泄露導致的安全事故中，??涉及了?些中?化加密資產交易所，???如?BitMEX損失了?1.5億美元、??Liquid損失了?9100萬美元、??AscendEX損失了7700?萬美元、??HitBtc損失了4000?萬美元、??Bilaxy損失了2170?萬美元。

要指出的是，?在這??節我們所討論的安全事故涉及的被攻擊對象包括智能合約、?DAPP前端和?DAPP后臺。如果我們僅考慮?DAPP?前端和后臺，則私鑰泄露就是最主要的安全隱患。

由項??不當?為導致的安全事故

在?2021?年，由項??不當?為導致的安全事故沖擊了?量?DAPP?，包括?DeFi?類應?和中?化加密資產交易所。

我們統計的由項??不當?為導致的安全事故共有?21?起，其中?2?起是中?化加密資產交易所，??19?起是?DAPP。

我們研究了這些案例，得到下列統計圖：

如上圖所示，涉及中?化加密資產交易所的案例數僅占?9.52%，????90.48%都是涉及?DAPP?的案例。

金色晨訊 | 桐成控股委任李林為執董、董事會主席及首席執行官:1.?BSV算力市場份額已觸及歷史最低點

2.Tezos基金會將向支持其生態系統的項目發放14項撥款

3.BTC跌破10000美元

4.Breez支持使用信用卡購買基于閃電網絡的比特幣

5.印度國會議員：加密貨幣在發展早期階段比互聯網更復雜

6.美國財政部副部長：Libra將接受美國反洗錢審查

7.LocalBitcoins：使用Tor瀏覽器會增加比特幣被盜風險

8.桐成控股委任李林為執董、董事會主席及首席執行官

9.央行數字貨幣研究所迎來新掌門后旗下金融科技公司密集招聘[2019/9/11]

我們進?步研究了這兩類事故的涉案?額，得到下列統計圖：

如上圖所示，??盡管涉及中?化交易所的案例數遠遠?于涉及?DAPP的案例數，??但前者的涉案?額遠?于后者，??前者的涉案?額占??為?97.4%，???后者僅占?2.6%。

由不當操作導致的安全事故

總共有??5??起由不當操作導致的安全事故，所有的案例都發?在??DAPP?，更確切地說都是??DeFi??應?，包括了著名的項?如?Compound?、??dYdX?。?這些安全事故總共造成的損失?額達?8354?萬美元。

研究總結

除了常?的區塊鏈主鏈和側鏈事故，??2021?年出現了新?的發?于第?層擴展系統的安全事故。但這類安全事故的數量仍然少于側?鏈，當然也遠少于主鏈。

我們基于安全事故的涉案受害對象進?研究，發現由?客攻擊導致的事故數量占?接近??90%，由此可??客攻擊仍然整個加密領?域最?的威脅。

DAPP?安全事故所涉及的前端、后臺和智能合約三類中，???論是從案例數量上看還是從涉案?額上看，??智能合約安全漏洞引發的事?故都遠超前端和后臺漏洞引發的事故。從案例數量上看，??智能合約占?為?80.11%，??接著是后臺占?達11.05%，??最后是前端占?達?8.84%?。??從涉案?額上看，智能合約占?為?91.17%，??接著是后臺占?達5.14%，??最后是前端占?達3.68%。

前端安全相對智能合約安全?直以來并不受到加密領域安全業者的關注，但它的漏洞在??2021?年引發了?起涉案?額較?的事故，?其中有兩起每起的涉案?額都超過了?1?億美元，?分別是?VulcanForged和?BadgerDAO，損失?額分別為?1.4?億美元和?1.2?億美元。

在由前端和后臺漏洞引發的安全事故中，私鑰泄露仍然是?2021?年這兩個領域最?的安全隱患。

我們研究了與智能合約相關的安全事故后發現：??由閃電貸導致的攻擊案例數遠超任何其它類別，??位居第?；??由缺少權限驗證導致的

攻擊案例數位居第?；但由后者導致的損失?額則遠?于前者，也?于任何其它類別。

在所有?189?起安全事故中，??盡管由?客攻擊導致的安全事故超過任何其它類別，???如由項??不當?為導致的安全事故，??但后者造?成的損失?額則遠超前者。

在?2021?年，??由項??不當?為導致的安全事故涉及?DAPP?和中?化加密資產交易所。其中?DAPP?的涉案數?遠超中?化加密資產?交易所的涉案數，??但后者的涉案?額卻遠超前者。由此可?，??從涉案?額來看，??中?化加密資產交易所仍然是最?的安全隱患，??這??點對加密資產持有者來說要引起?度關注。

FAIRYPROOF??案示例

基于我們的研究和分析，??我們認為安全領域最?的挑戰來?于三個??：??閃電貸攻擊、缺少權限驗證和項??不當?為。這三類事?故?泛存在于智能合約領域。?它們在某種程度上是可以借助?動化?具鑒別和防范的。

在本章，我們將介紹?Fairyproof針對這三類事故開發的解決?案。

漏洞探查系統

漏洞探查系統的?作流程如下：

步驟1：??掃描源代碼。

步驟??2：??檢查函數的修飾符及可?性，提取函數的?為參數。

步驟??3：??將提取的函數的?為參數與?Fairyproof?標準庫中存儲的函數的標準?為參數進?對?，檢查兩者的差異。

步驟?4：??對每個函數的?為參數及其與標準參數的差異，??對照漏洞庫中的漏洞參數檢查可能存在的系統漏洞。對每個典型漏洞，??系

分析 | 金色盤面：BTC背離疊加 風險加劇:金色盤面綜合分析： BTC在4小時背離形成后，目前6小時K線圖顯示，也將產生背離賣點，短線多頭需要面臨多重阻力，如果不能守住7000美元的整數關，后面不排除有進一步探底的風險，短線建議投資者注意做好風控。[2018/9/2]

統將建??個列表，將?為參數可疑的函數加?對應的列表。

步驟?5：??對每?個列表中的每?個函數項，??使?Fairyproof開發的?為曲線擬合算法?，??運?機器學習驗證其是否為潛在?險。

步驟??6：??如果在第?5?步中?個函數的?為被判定為有潛在?險，則該函數將被標記并發送給?程師進?核驗。

步驟?7：???程師將審計核驗第?6?步挑選出的所有函數，判定其是否為?險項。

這套?具和流程極?加快了審計過程的?動化，減少了繁復的??投?，提?了審計效率和正確率。

我們使?這套?具發現了?系列典型的?險，其中就包括可能引發閃電貸攻擊的?險和缺少權限驗證的?險。

下例是我們在審計過程中發現的?個可能被閃電貸攻擊的案例。在代碼截圖中，??getAmountOut()函數從某個去中?化交易所的??個交易對中獲取?reserve?值，并?其計算UBT?的價格。這種計算?式就可能遭遇閃電貸攻擊。

我們發現此問題后，建議項??使?更安全的價格獲取機制來計算相關通證的價格。

下列是我們在審計過程中發現的?個缺少權限驗證的案例。在下例代碼中，??管理員可以通過調??setRate?函數任意設置?rate，??這可?能導致通證交易被搶跑。

下列函數可能被搶跑攻擊。

利?上述?具，這個缺少權限驗證的問題很快就被發現了，對此我們建議項??取消這個函數或對該函數的調?設置權限控制。

通證探查系統

為了?動化監測?個通證合約是否存在潛在?險，??例如是否遵照以太坊通證標準，??我們開發了通證探查系統。該系統的運?過程如?下：

步驟1：??掃描合約源代碼

步驟??2：??根據合約定義的函數、接?、繼承關系等特性解構合約，并?成m!???×??n?矩陣?A，??該矩陣量化此合約的特性。

步驟??3：??搜索數據庫中存儲的標準通證模型如??ERC-20??通證、??ERC-721??通證?、??ERC-1155??通證。這些模型可量化為n?×??m"?、?n?×?m#、??......、??n?×?m$???的矩陣B",?B#,?...B$???。

步驟4：??計算矩陣的點積A?B",?A?B#,?..?.?,A???B$?得到?m!???×??m"?的矩陣C"?、??m!???×??m#?的矩陣C#?、??...??、??m!???×??m$?的矩陣C!?。

步驟??5：??矩陣中的每個元素都表示?個潛在?險點的?險值，如果該值越?則表明該?險點的?險越?。

步驟??6：??Fairyproof?程師將審核檢查這些?險點，并得出最終結論。

基于這套?具及這個?動化流程，我們快速發現了去年?些熱?空投項?的顯著不同點，?如我們發現了?MaskDAO?通證收取“稅?費”的?典型特征，如下所示：

這種?動化?具也幫助我們迅速定位到?些空投通證項?中特殊的處理?式，?如SOS?、??MASK?、??GDO?、??GAS?使?的鏈下處理??式，如下圖所示：

防范安全事故的可??段及建議

在本節，我們將基于對?2021?年安全事故的總結和分析，分別從開發者和?戶的?度羅列?些防范安全事故的可??段及建議。我?們建議開發者和?戶都參照這些建議在?常的開發、維護、運營、交易等?為中??謹慎，做好安全防范?作。

注意：??這?的開發者既包括區塊鏈客戶端應?的開發者，??也包括?DAPP?及所有和加密資產相關的應?的開發者。這?的?戶指所有?參與到加密資產及相關系統運營、操作、交易、持有等活動的參與者。

對開發者的建議

對基于?作量證明機制的?許可型區塊鏈??，防范其被攻擊最好的?式就是發展它的?態系統，激勵更多的節點參與系?統的挖礦，提升系統的整體算?。

2021?年，在所有擴展區塊鏈主?性能的?案中，盡管側鏈發?安全事故的案例數多于第?層擴展，但第?層擴展技術是新興的技?術，??它未來的發展會迅速推進，???態也會?益繁榮，??因此對第?層擴展技術安全性的關注不能掉以輕?。作為開發者??應該未??綢繆，積極深?地研究相關技術，找到防范安全事故的?案和措施。

對于?DAPP?的整體安全??，?由智能合約的漏洞引發的安全事故依舊是?要值得關注的領域，?但前端和后臺的安全也必須引起?視。?尤其在審計??，對前端和后臺的審計將成為審計的必然選項。

對于存在管理員控制關鍵操作的?DAPP?，必須將管理員權限轉移到多簽錢包或者?DAO?來管理。

閃電貸和對操作權限的驗證是合約開發者時刻要注意的兩??險點。正確合理地處理這兩??險點也是開發者在設計和編碼智能合?約時必須注意的頭等事項。

對?戶的建議

對于持有基于?作量證明機制的區塊鏈加密貨幣的?戶??，必須關注該區塊鏈的整體算??平。如果該區塊鏈系統的算??較低，則可能遭遇?51%攻擊，從?影響所持有加密貨幣的價值。

側鏈技術和第?層擴展技術都還處于發展初期，??都還不夠成熟和健壯，??很有可能遭遇安全事故。因此在準備參與或持有相關加密貨?幣之前，???戶最好仔細審視相關?案的安全性，??以免持有的加密貨幣所依賴的相關?案因安全性?佳導致所持有的加密資產價值受?損。

當和?DAPP?進?交互時，???戶不僅要關注其智能合約的安全，??也要關注其前端和后臺的安全，??尤其要注意不要輕易點擊可疑的信息?或鏈接。

強烈建議?戶在參與加密貨幣投資及交互之前，??仔細審閱相關項?是否有審計報告，??并仔細閱讀相關的審計報告以便知曉第三?機?構對其安全性的評估。

強烈建議?戶使?冷錢包管理不?于頻繁交易的加密資產。在使?熱錢包時注意使?時周邊的硬件環境和軟件環境的安全性。

對開發團隊身份匿名的項?，???戶應該提?警惕。?些從未有過業內聲譽的團隊開發和運營的項?可能存在跑路?險。對中?化交?易所?戶要關注其運營團隊的身份和背景，對聲譽較低的團隊運營的中?化交易所要??其跑路?險。

參考資料：

Arbitrum?Portal,?https://portal.arbitrum.one/

Optimism,?https://www.optimism.io/

“DeFi2.0:?A?beginner's?guide?to?the?second?generation?of?DeFi?protocols”.

https://cointelegraph.com/defi-101/defi2-0-a-beginners-guide-to-the-second-generation-of-defi-protocols.

CryptoPunks.https://www.larvalabs.com/cryptopunks

BAYC.?https://boredapeyachtclub.com/

Axie?Infinity.https://axieinfinity.com/

“Play-To-Earn?Gaming?Is?Driving?NFT?And?Crypto?Growth”.?

https://www.forbes.com/sites/robertfarrington/2021/12/13/play-to-earn-gaming-is-driving-nft-and-crypto-growth/?sh=7f3afd1dc2dc?.?December13,?2021???Morris,?David?Z.(15?May?2016)."Leaderless,?Blockchain-Based?Venture?Capital?Fund?Raises?$100?Million,?And?Counting".?Fortune.?Archived?from?the?originalon?21?May?2016.?Retrieved?23?May?2016.

Popper,?Nathan?(21?May?2016)."A?Venture?Fund?With?Plenty?ofVirtualCapital,?butNo?Capitalist".?The?New?York?Times.?Archived?from?the?original?on?22?May?2016.?Retrieved?23?May?2016.

"Blockchains:?The?greatchain?ofbeing?sure?aboutthings".The?Economist.?31?October2015.?Archived?from?the?original?on?3?July?2016.?Retrieved?18?June?2016.The?technology?behind?bitcoin?lets?people?who?do?notknow?or?trust?each?otherbuild?a?dependable?ledger.?This?has?implications?farbeyond?the?crypto?????currency.

Narayanan,?Arvind;?Bonneau,?Joseph;?Felten,?Edward;?Miller,?Andrew;?Goldfeder,?Steven?(2016).?Bitcoin?and?cryptocurrency?technologies:?a?comprehensive?introduction.?Princeton:?Princeton?University?Press.?ISBN?978-0-691-17169-2.

Blockchain.https://en.wikipedia.org/wiki/Blockchain.?January?4,?2022

Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23?Stifter?N,?Judmayer?A,?Schindler?P,?etal.Whatis?Meantby?Permissionless?Blockchains?.?IACR?Cryptol.?ePrint?Arch.,?2021,?2021:?23.

DApp,"CVC?Money?Transmission?Services?Provided?Through?Decentralized?Applications?(DApps)"(PDF).?FinCEN.?Retrieved?2019-05-09.?dApp,"IEEE?DAPPS?2020".ieeedapps.net.Archived?from?the?original?on?2020-04-26.?Retrieved?2020-08-15.

Sidechains.https://ethereum.org/en/developers/docs/scaling/sidechains/

Layer-2.https://academy.binance.com/en/glossary/layer-2

Solana.?https://solana.com/

ETC.https://ethereumclassic.org/

BSV.https://bitcoinsv.com/

Verge.https://vergecurrency.com/

Firo.?https://firo.org/

Polygon.https://polygon.technology/

Liquid?Network.https://river.com/learn/terms/l/liquid-network/

Arbitrum?One.?https://portal.arbitrum.one/

“WhatIs?a?51%?Attack?”.https://www.coindesk.com/learn/what-is-a-51-attack/?.?October12,?2021

Denial-of-service?attack.https://en.wikipedia.org/wiki/Denial-of-service_attack?.?January,?2022

Vulcan?Forged.?https://vulcanforged.com/

BadgerDAO.?https://app.badger.com/

Farmers?World.?https://farmersworld.io/

Flash-loans.https://aave.com/flash-loans/

Cream?Finance.https://app.cream.finance/

Spartan?Protocol.?https://spartanprotocol.org/

Yearn?Finance.https://yearn.finance/#/home

Indexed?Finance.https://indexed.finance/

AutoShark.?https://autoshark.finance/

Pancake?Bunny.https://pancakebunny.finance/

BurgerSwap.?https://burgerswap.org/

BitMEX.?https://www.bitmex.com/

Liquid.?https://www.liquid.com/

AscendEX.?https://ascendex.com/

HitBTC.https://hitbtc.com/zh_CN

Bilaxy.https://bilaxy.com/

Compound?Finance.https://compound.finance/

dYdX.https://dydx.exchange/

Tags：區塊鏈APPDAPDAPP區塊鏈的幾個大騙局抹茶交易所app最新版官方DAPS幣dapp幣價格

比特幣行情