安全功能组成,例如密码学、软件中介合同和身份控制。该技术通过启用分布式方式来验证访问、验证交易记录和维护隐私,从而提供显着水平的数据保护和完整性。
然而,尽管有这些安全性增强,区块链市场仍然充斥着安全问题。基于区块链的攻击来自外部参与者以及内部人员。其中许多黑客使用了常见的策略,例如网络钓鱼、社会工程、攻击传输中的数据或针对编码错误。新技术伴随着新的开发工具和方法,区块链也不例外。一种新的网络威胁正在出现,涉及区块链网络独有的策略。其中包括:51%的攻击、加密劫持、闪电贷攻击、rugpull等
人为风险
人为风险是除技术外的一类因素,端点漏洞也是恶意行为者的入口点,例如设备、应用程序、钱包或第三方供应商级别的漏洞。员工和供应商人员也是目标。并非所有的区块链都是平等的,在市场讨论中经常被忽视的是,区块链架构存在很大差异,尤其是在涉及不同结构和组件如何引入安全权衡时。随着区块链的组件、算法和用途不断发展,攻击策略和威胁缓解技术也将不断发展。
缺乏监管
缺乏监管,智能合约不能替代合规性——它们不具有法律约束力。从到假冒,从隐私到,不明确的监管环境会减缓采用速度,并使网络犯罪分子猖獗。
逻辑漏洞
逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞。
在实际开发中,因为开发者水平不一没有安全意识,而且业务发展迅速内部测试没有及时到位,所以常常会出现类似的漏洞。
代码漏洞
欧易发布第四次储备金证明,呈持续净流入状态:据欧易公告显示,欧易于2023年2月20日正式发布第四次储备金证明(PoR),BTC、ETH、USDT储备金率均超过100%,分别为104%、104%、102%。据欧易官网最新数据显示,本月用户资产中用户BTC资产沉淀增长9.9%,增加12,982枚BTC;用户ETH资产沉淀增长8.5%,增加109,511枚ETH;用户USDT资产沉淀增长3.2%,增加98,174,170枚USDT,按目前市值计算,欧易本月实际用户资产沉淀增长约6.02亿美金,呈持续净流入状态。
据了解,除储备金干净度为100%外,欧易是目前唯一一家同时实现默克尔树开源验证、钱包地址所有权开源验证、链上资产开源验证的交易所。欧易按月定期发布PoR报告,持续引领行业提升透明度。[2023/2/20 12:17:19]
这是指代码中的一个缺陷,它会产生损害安全性的潜在风险。此漏洞将允许黑客通过附加端点来提取数据、篡改合约或更糟的是擦除所有内容,从而利用代码。
风险分级
致命:存在致命风险及隐患,需要立即解决
高风险:存在高危风险及隐患,将引发相同问题,必须解决
中风险:存在中度风险及隐患,可能导致潜在风险,最终仍然需要解决
低风险:存在低风险及隐患,指各类处理不当或会引发警告信息的细节,这类问题可暂时搁置
建议:存在可优化的部分,这类问题可以搁置,但建议最终解决
分级标准
定级主要依据漏洞的危害程度、利用难度,辅以其他因素综合判定,其中:危害程度主要根据机密性影响(C)、完整性影响(I)、可用性影响(A)三个维度定义;利用难度主要根据攻击向量(AV)、攻击复杂度(AC)、认证(Au)三个维度定义。
欧易OKX更新以太坊合并升级处理方案,若以太坊分叉将按比例空投分叉币:9月14日消息,据欧易OKX公告显示,针对预计将在9月15日10:00完成以太坊合并计划,欧易预计为9月14日23:00(HKT)暂停ETH及其它ERC-20网络代币的充值、提现。若以太坊合并升级后未产生新代币,欧易将在确认以太坊主网稳定后开放ETH及其他代币的充值、提现及跨链桥相关业务;若以太坊升级产生新链,欧易将视采用PoS的以太坊网络代币为ETH,采用PoW的以太坊网络代币为分叉币。欧易将于以太坊完成升级时对用户的交易账户、资金账户、金融业务内ETH权益进行快照,按照1:1的比例空投分叉币给用户。此外,欧易将在以太坊完成合并升级前暂停ETH的资金划转操作,待快照结束后开启,预计暂停十分钟。
另外,如用户在以太坊分叉前,创建欧易Web3钱包并存入以太坊资产或导入已有以太坊资产的钱包,在以太坊分叉后,获得ETHW分叉资产地址,还将额外获得等额 10,000 次OKC 交易Gas的OKT 空投;OKC将全面支持所有可能产生的以太坊分叉资产,如用户已在 OKC 上持有 ETH,即能获得等量的 ETHW 资产。[2022/9/14 13:28:52]
风险种类个数
重入攻击
注入攻击
权限绕过
Mempool抢跑
回滚
条件竞争
循环耗尽gas费
闪电贷高影响
经济模型不合理
可预见的随机数
欧易CEO:OKX将很快下架LUNA永续合约:金色财经报道,欧易OKX CEO Jay发推表示,OKX将很快下架LUNA永续合约,LUNA的价格波动非常大,目前供应过剩给UST带来的普遍挂钩压力使LUNA的价格被严重稀释,流动性正在减弱,所有的交易所都有不同的价格,这导致了一个糟糕的指数,尽早解决将确保所有各方都能有序地退出,LUNA的市场流动性正在迅速恶化,当LUNA的波动性恢复正常时,将考虑重新上市LUNA与USDT的交易。[2022/5/13 3:13:11]
投票权管理混乱
数据隐私泄露
链上时间使用不当
fallback函数编码不当
鉴权不当
opcode使用不当
内联汇编使用不当
构造函数不规范
返回值不规范
event不规范
关键字使用不规范
未遵循ERC标准
条件判断不规范
流动性枯竭风险
中心化风险
逻辑变更风险
整数溢出
函数可见性不当
变量初始化不当
合约间调用不当
变量不规范
重放攻击
随机存储位置写入
蜜罐逻辑
哈希碰撞
欧易OKEx统一账户现已全面开放:4月6日,据欧易OKEx官方消息,统一账户已全面开放,所有用户均可使用统一账户功能。 据悉,欧易OKEx统一交易账户提供三种新的账户模式:简单交易模式、单币种保证金模式和跨币种保证金模式,可满足用户不同的交易习惯和诉求。统一交易账户的上线将简化传统账户结构,提升资金利用率,让交易更简单。[2021/4/6 19:49:16]
使用不推荐的方法
未遵循基本编码原则
第三方依赖风险
领奖逻辑不当
编码不规范
应急机制缺失
代码逻辑问题
计算精度丢失
无意义的合约
已弃用的合约
精度不匹配
代理使用不规范
资产安全
外部函数调用不当
多次初始化风险
未判断返回值
账户缺少签名者检查
缺少账户可写检查
程序逻辑缺陷
Hash算法使用不当
WriteFile权限过高
业务逻辑存在为题
过时的外部依赖
循环耗尽gas
条件判断不规范
中心化风险
未遵循基本的编码原则
业务逻辑存在问题
欧易OKEx交易大数据:BTC合约多空持仓人数比1.15,合约持仓总量为31.18亿美元:截至3月15日10:30,根据欧易OKEx交易大数据,BTC合约多空持仓人数比为1.15,市场做多人数占据优势;季度合约基差在6000美元上方,永续合约资金费率为正,交割及永续合约持仓总量为31.18亿美元,总体空军占优;BTC交割及永续合约精英持仓方面,做多账户比为56%,精英账户多头持仓23.47%,精英账户空头占优,继续关注大户持仓变化。从期权合约数据来看,看涨/看跌主动买入量比为1.71,看涨/看跌主动卖出量比为6.86,主动看涨看跌卖出量占据优势。[2021/3/15 18:45:24]
每个种类风险的描述
循环耗尽gas:在以太坊区块链中,不能将交易设置为永久运行。交易可以运行直到达到gas限制。一旦发生这种情况,交易将出错,并且将返回“outofgas”错误。
条件判断不规范:智能合约代码中进行条件判断不规范,缺失必要检查。
中心化风险:智能合约部分函数接口权限由单一私钥控制,具有中心化风险。
未遵循基本的编码原则:没有遵循基本的编码原则,如变量命名错误等。
业务逻辑存在的问题:业务逻辑考虑不完善,比如退款情况考虑不周。
案例1
北京时间2022年8月2日凌晨,NomadBridge遭受攻击,导致价值约1.9亿美元的损失。
OKLink链上卫士追踪显示,NomadBridge攻击事件共涉及1251个ETH地址,涉及14个币种,涉案金额约1.9亿美金;其中包含12个ENS地址,ENS地址涉案金额超6980万美金,约占总金额的38%;在利用漏洞获利后,直接进行交易的地址数达739个,占比近60%。但值得注意的是并不是所有地址都是恶意攻击,已知已有白帽骇客公开表态愿意归还资金,OKLink已对剩余的地址进行了监控,后期若发生异动,会通过微博、推特向用户同步。
案例分析
对Replica合约的process函数进行分析,在require(acceptableRoot(messages),“!proven”);这个判断条件中,messages的值需要经过acceptableRoot函数的逻辑检验,返回值为true才能继续往下执行。
注意到acceptableRoot函数中,传入的_root参数,在confirmAt大于0且小于等于block.timestamp的情况下,就会返回true。
那么该漏洞的核心就在对confirmAt这个mapping赋值的过程。从initialize函数输入参数可以看到,_committedRoot使用了0x00。一般情况使用0值做初始化参数没有问题,但是在Nomad的这个场景下,就导致了任意message都能通过检测的安全漏洞。
链上卫士分析师建议在initialize函数中也进行严格的安全检查和判断。
BNBChian跨链桥BSCTokenHub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB,价值约5.66亿美元。
案例分析
BSCTokenHub是BNB信标链和BNB链之间的跨链桥。BNB链使用预编译合约0x65验证BNB信标链提交的IAVL的Proof,但BNB链对提交的Proof边界情况处理不足,它仅考虑了Proof只有一个Leaf的场景,对多个Leaves的处理逻辑不够严谨。黑客构造了一个包含多Leaves的Proof数据,绕过BNBChain上的校验,从而在BNB链造成了BNB增发。
货币或区块链交互的智能合约代码的综合过程。执行此过程是为了发现代码中的错误、问题和安全漏洞,以便纠正和修复它们。它可以保护代码免受未来潜在错误的影响。
OKLinkAudit采用静态扫码和人工验证相结合的审计方式,从根源处检查项目,确保项目安全。审计团队还拥有严格的漏洞评级标准,对每个漏洞设置三个级别的评分,分别是基础评分、时间评分和环境评分,确保审计结果的准确、专业。当然,专家团队也会提供针对性的修改建议,提升项目的安全性、隐私性及可用性。目前参与审计的项目涵盖公链、DeFi、L2、稳定币、钱包、NFT等多个板块。
2021年,因黑客攻击、漏洞利用和欺诈造成的损失达到13亿美元。
2022年第一季度,攻击型安全事件造成的损失高达约12亿美元,比去年同期的1.3亿美元增长了约9倍。它也高于2021年任何一个季度的损失金额。
在被攻击的项目中,70%由第三方审计机构审计。然而,在剩下的30%未经审计的项目中,因攻击而遭受的损失占总损失额的60%以上。
Slither
Slither是第一个开源的针对Solidity语言的静态分析框架。Slither速度非常快,准确性也非常高,它能够在不需要用户交互的情况下,在几秒钟之内找到真正的漏洞。该工具高度可配置,并且提供了多种API来帮助研究人员审计和分析Solidity代码。
Slither在检测智能合约漏洞时,其功能优于其他静态分析工具,在速度、检测准确性方面都有着先天优势。Slither包含了一整套针对Solidity的专用静态分析工具,它可以用来检测可重用性、构造函数和方法访问等编码中的常见错误。
Mythril
Mythril是以太坊的官方合约漏洞检测工具,可以检测大量的智能合约安全问题,如整数溢出,任意地址写入,时间戳依赖等14种漏洞检测工具。可以发现常规漏洞,但是无法发现一个合约的业务逻辑问题,主要思想是利用符号执行去探索所有可能的不安全的路径。
Mythril集成了符号执行、控制流检查、污点分析等技术,并支持自定义漏洞检测逻辑来对智能合约进行分析,同时,Mythril由于可以通过多次符号执行来模拟现实区块链和智能合约被多次调用的情况,但是对于某些漏洞如重入、拒绝服务攻击的误报率比较高,也无法检测出一些常规逻辑错误。并且由于Mythril由于存在着多次符号执行,要探索的路径数量更多,也带来了较大的时间和空间开销。
风险判断及检测工具
1.TokenScanner
TokenScanner是OKLinkAudit第一个对外推出的产品,目前有B端API产品,以及C端页面产品,也在和一些区块链钱包团队接洽帮助进行进行整套安全加固方案的建设。
目前API产品里面支持了9条EVM链的风险代币检测能力:POLY,OP,ARB,FTM,AVAX,OKC,TRON,页面上支持了ETH和BSC,其他链正在开发中,年底之前页面上会支持全部9条链的风险检测项,通过代币检测能力,我们检测了3,534,306代币,通过我们的风险扫描,确定了106,474个风险代币。
2.ArgusEye
结合OKLink的底层大数据能力与标签能力,针对这些数据信息我们对风险事件中的事发地址和上下游地址进行破解与规律性总结,搭建了一套可疑地址和风险交易的实时发现、跟踪分析及响应处置的机制。也会针对可能的安全事件做安全播报
DEX中的流动性,以及链上代币持有者信息,我们拥有4部分检测能力。
2.基于OKLink大数据能力,我们自研一套代币打分规则对代币进行打分,10分以下是极高风险代币包括有貔貅盘代币和rugpull代币,是高危预警建议用户不要购买,10-40是高风险,建议用户也不要持有该代币,40-80是中风险,80-100是低风险,用户可以自行斟酌购买。
3.代币分类器,对于特殊实现标准的代币通过分类器进行展示,类似于ERC677和777与某些DEX协议不兼容,可能会导致用户无法正常买入卖出,以及有rebase机制的代币,代币流通量会跟随币价动态变化,也就可能会导致用户发现自己钱包里面的代币突然减少了或是增多了。我们从用户视角出发设置的代币分类器帮助小白用户快速理解代币潜在风险。
标签:区块链比特币ROOINK区块链存证证件具有更高的信任等级比特币价格将暴跌Proof Of Degenstarlinkcom
前言 2022年初,继元宇宙概念大火之后,Web3.0又成为了新一轮吸引眼球的概念,与Web1.0时代只能读信息,2.0可读、可写信息相比,Web3.0除了可读、可写之外,核心是实现去中心化.
简单来说: 在Okex交易所的单笔交易中清算了305万美元截至撰写本文时,过去4小时内清算超过3亿美元分析表明BTC可能会访问23,000美元区域感兴趣的可以点个关注.
比特币分叉项目BSV上周传出遭51%攻击,一名掌握约51~80%的神秘矿工大量出产空区块,造成BSV许多交易无法被打包;BSV官方发布公告呼吁矿工出面,否则不排除用中本聪共识惩罚该名矿工.
原文作者:润升,ChainCatcher面对Web3,FOMO一直是常态。尤其是在全球经济下行的周期里,这一点愈发明显,无论是个人还是政府,概莫能外.
美联储的货币政策仍然是全球金融市场和比特币的决定性因素。考虑到这一点,目前所有的目光都集中在11月2日,届时将安排下一次联邦公开市场委员会(FOMC)会议.
价格行动 比特币周二罕见地上涨。按市值计算的最大加密货币最近交易价格约为20,300美元,在过去24小时内上涨了近5%,因为长期规避风险的投资者从一些大品牌的第三季度收益报告中得到了鼓励.