區塊鏈:知道創宇區塊鏈安全實驗室受邀參加“2021 CCF中國區塊鏈技術大會”_SEC

??2021年12月26-27日，由中國計算機學會主辦的“??2021CCF中國區塊鏈技術大會”在海南海口隆重舉辦。此次會議邀請來自政府部門、高等院校、金融機構等單位的區塊鏈領域專家學者及創業者，共同聚焦區塊鏈技術發展現狀與未來前景。大會共設置6場分論壇，覆蓋了區塊鏈與隱私計算、智能合約、技術安全、融合創新、人才培養、數字經濟等區塊鏈技術應用全領域。

“2021CCF中國區塊鏈技術大會”主會場

??知道創宇區塊鏈實驗室安全專家、實驗室安全技術研究負責人——極光受邀出席會議，并在智能合約領域進行《Solidity智能合約安全研究》報告。

NFT交易平臺LooksRare宣布已上線V2版本:4月7日消息，NFT交易平臺LooksRare宣布已上線V2版本，新版本提供了以下幾項更新：費用降至0.5%；gas費比Blur便宜50%；一次簽名批量掛單；一次性購買70多個NFT；賣家可獲得ETH而非WETH。[2023/4/7 13:49:04]

《Solidity智能合約安全研究》報告

??報告內容涵蓋五個部分：智能合約的起源發展、功能原理、實際應用、安全漏洞、安全防御。除了對智能合約的起源、發展以及智能合約安全原理攻防進行詳細介紹外，尤其強調了智能合約的安全漏洞與安全防御部分。

五家國有大行參與多邊央行數字貨幣橋項目:金色財經報道，9月28日，工行、農行、建行、交行、中行等發布了參與多邊央行數字貨幣橋項目的情況。多邊央行數字貨幣橋項目是指香港金管局、泰國央行、阿聯酋央行和中國人民銀行數字貨幣研究所共同發起的“多種央行數字貨幣跨境網絡”（m-CBDC Bridge）。

農行稱，該行參與了多邊央行數字貨幣橋試點，進行了本次真實交易測試工作，幫助客戶完成以跨境貿易為主的多場景支付結算業務。工行及其阿布扎比分行、工銀亞洲等機構參與了此次試點，基于數字貨幣橋平臺為其客戶完成以跨境貿易為主的多場景支付結算業務。

此前消息，國際清算銀行（香港）創新中心、香港金融管理局、泰國中央銀行、阿聯酋中央銀行和中國人民銀行數字貨幣研究所聯合宣布，2022年8月15日至9月23日期間，在貨幣橋平臺上首次成功完成了基于四個國家或地區央行數字貨幣的真實交易試點測試。（經濟觀察網）[2022/9/29 6:02:32]

??以下是區塊鏈智能合約安全攻防中幾個最常見的經典案例，極光從攻擊者角度為大家重點講解并提出相關防范建議，希望借此能讓用戶更加了解安全漏洞的危害，能為開發者開發安全的區塊鏈智能合約協議提供幫助。

V神：曾使用TornadoCash向烏克蘭捐款:金色財經報道，以太坊創建者Vitalik Buterin公開承認使用Tornado Cash為烏克蘭捐款。Vitalik Buterin澄清說，他使用Tornado Cash來保護資金的接受者，而不是他自己。Buterin在評論Twitter討論時概述了合法的Tornado Cash使用案例和財務隱私的好處，包括在不通知俄羅斯政府的情況下向烏克蘭捐款，Buterin說他已經使用該協議向烏克蘭進行了私人捐款。（cryptobriefing）[2022/8/10 12:14:13]

??一、整型溢出漏洞。不管是在傳統安全中還是在區塊鏈安全中，溢出一般都被當做黑客攻擊操作系統的手段，但由于區塊鏈資產的特殊性，黑客的目標不再只是盯著操作系統，而是更多的瞄準構建區塊鏈生態活力的智能合約上。在面對整型溢出時，可以通過進行溢出檢查、使用SafeMath來處理算術邏輯或者是使用較高版本的solidity語言版本進行提前預防，規避整形溢出。

馬克·庫班：美SEC對加密貨幣立場“令人難以置信的虛偽”:8月8日消息，NBA達拉斯獨行俠隊老板馬克·庫班在近期接受采訪時表示，美SEC對加密貨幣立場令人難以置信的虛偽。

馬克·庫班稱，美國證券市場上的粉單交易與加密貨幣交易十分類似，但 SEC 沒有實施任何保護措施，而這已經屬于他們的職權范圍。此外，還有些基金將沒有監管保護的股票納入其中，SEC 對此也沒有任何監管。因此，當 SEC 介入并表示希望保護投資者免受加密貨幣的影響時，他們甚至沒有做好自己的本職工作。（CryptoGlobe）[2022/8/8 12:08:45]

??二、重入攻擊漏洞。“重入漏洞”常被用于臭名昭著的DAO攻擊中，早在2016年就因為“TheDAO”攻擊事件而造成了以太坊的硬分叉。發生重入攻擊漏洞的條件通常有兩個：調用了不安全的外部合約、外部合約的函數調用早于狀態變量的修改。因此，開發者通常會使用其他轉賬函數：transfer()等、先修改狀態變量、使用互斥鎖、使用OpenZeppelin官方庫這幾種方法來避免重入攻擊。

??三、訪問控制缺陷。與以上兩種漏洞產生的方式不同，訪問控制缺陷一般是開發者在編寫Solidity智能合約時對某些判斷的定義不嚴謹或者筆誤從而引發某些敏感功能的訪問驗證被繞過導致的。這就要求開發者在編寫代碼時，嚴格控制訪問權限、檢查代碼正確性。

??四、拒絕服務攻擊。“拒絕服務攻擊”黑客攻擊是最常見的手段之一，簡單的來說就是黑客通過對智能合約產生干擾使用戶所需要的服務請求無法被系統處理。因此在開發合約時，應加入函數執行異常的處理機制，以符合代碼邏輯全面性、縝密性的要求，從而在源頭上避免拒絕服務攻擊發生的可能性。

??目前中國區塊鏈區塊鏈市場高速增長、區塊鏈技術日益成熟，區塊鏈領域呈現出技術創新成果不斷涌現、自主研發不斷加強、核心技術發展迅速、基礎平臺和標準規范逐步健全的局面。區塊鏈技術因其自帶去中心化，無需第三方權威，依靠代碼實現信任的技術特性，與智能合約做到完美互補，甚至智能合約被認為是區塊鏈的特性之一，因此智能合約安全與區塊鏈技術安全息息相關。

??在區塊鏈技術高速發展的同時，區塊鏈技術安全問題不容忽視。作為持續深耕區塊鏈安全領域的安全公司，知道創宇區塊鏈安全實驗室從2011年接觸區塊鏈技術開始，11年來一直致力于區塊鏈安全領域的研究與探索，致力與為用戶提供全方面的安全守護，在區塊鏈安全領域和智能合約領域積累了豐富的實戰經驗。希望通過這次報告能為用戶和開發者了解區塊鏈、智能合約安全等提供一些幫助，更希望能用這樣的方式為守護區塊鏈安全生態盡一份力。

創宇在大會現場的展臺

活動現場交流

??我們相信，通過強大、公平、透明和安全的區塊鏈智能合約協議，可以為更多地方、更多區塊鏈用戶提供支持；相信隨著時間的推移，就像現在互聯網+一樣，到時會涌現出更多的智能合約+的場景出現。我們也將不懈努力繼續前行，持續深耕區塊鏈安全領域，讓區塊鏈世界更好更安全。

來源：金色財經

Tags：區塊鏈數字貨幣TERSEC區塊鏈存證證件具有更高的信任等級數字貨幣100元圖片EternaCheesecakeSwap Token

波場