前面我們和大家介紹了靈蹤安全對風險等級的劃分,有讀者看了一定會好奇:每種風險分別都是什么樣的呢?
在這篇文章里我們就每個等級的風險具體舉出一些案例來說明致命風險、高危風險、中度風險和低風險分別是什么樣的。
致命風險是所有風險中等級最高的、最危險的,它需要項目方即刻解決,不能拖延。
這類風險最常見的就是合約中一些明顯可能導致編譯無法成功、或者在邏輯中出現明顯錯誤導致代碼的運行邏輯無法正確完成的地方。這種風險不處理,項目方的合約幾乎不可能通過編譯運行或不可能正常運行。
舉例來說,在合約實現中,變量賦值類型的不匹配,編譯器版本定義導致的編譯問題等都屬于這類風險。
獨家 | 阿拉丁礦業研究院:ETC、DASH、BSV在年前已基本完成第一波上漲 ?:金色財經報道,在今日的“金色財經xOKEx礦池丨如何抓住礦幣減半行情”直播中,面對Okex礦池負責人Alina提問“你認為這次減半行情目前已經到什么階段了?將會持續多久?”時,阿拉丁礦業研究院表示我們認為這次減半行情從單次行情來說已經發展到了魚身階段,ETC、DASH、BSV在年前已基本完成第一波上漲。魚身我們認為將是留給其他更多今年即將減半的項目,包括BTC。可以參考12年和16年比特幣的兩次減半,更大的牛市可能會在減產后的半年內到來,所以今年逢低進場是抓住更大的牛的機會。而參照前兩次減半本次主流減半行情可能會持續到比特幣減半前30天的4月初此為魚尾。[2020/2/3]
由于靈蹤安全在后期的報告中已經很少把這類風險寫在報告中,而是一旦發現就要求項目方立即解決,所以在我們后期的報告中很難直接看到這類風險,只在我們早期的報告中有這類風險的羅列。
獨家 | 央行反洗錢局原副局長擔任“區塊鏈行業應用反洗錢標準”起草小組專家組組長:金色財經消息,2019年12月31日,中國軟件行業協會區塊鏈分會聯合發起了“區塊鏈行業應用反洗錢標準”起草小組,通過吸納業內具有一定影響力的主體單位或者個人權威專家、學者共同參與《區塊鏈行業應用反洗錢標準》制定。據起草小組成員透露,專家組組長已敲定為央行反洗錢局某原副局長,標準的制定將會對區塊鏈行業從業者以及相關平臺產生一定程度影響力,間接為相關部門政策制定提供行業意見反饋。
本次標準起草主要目的為厘清區塊鏈相關領域的正常金融行為與非正常金融行為,遏制、監督相關區塊鏈應用平臺縱容與包庇非法分子利用區塊鏈技術避開執法人員和其他調查人員的審查而進行非法洗錢行為,促進行業健康、自律發展,為國家相關監管部門提供行業建議與監管參考。[2020/1/16]
高危風險在危險程度上僅次于致命風險,它極有可能給項目帶來嚴重問題,也需要項目方解決。
獨家 | 點付大頭:BSV設想過于激進 理性上站不住腳:針對BCH硬分叉一事,金色財經獨家采訪到點付大頭,他指出BSV想把區塊上限提高到128M的做法,存在兩點問題:一是目前BCH的區塊常規實際容量只有30-200KB左右,遠遠還未到達32M的當前上限。這未免也太超前了一點,完全可以到BCH用戶生態進一步繁榮、網絡吞吐量增大以后再做。第二是比特幣作為去中心化的協議,去中心化程度是一個比較重要的指標,而過大的區塊是會影響一個去中心化網絡運行的,之前就有實驗表明,超過20M的區塊就可能給網絡同步帶來相當大的壓力,未來BCH如果真的用到了很大的區塊,那么去中心化未必是能夠得到充分保證的就是要做最初比特幣應該做到的樣子。BSV想走大區塊、簡功能的路線,這是比較被動的。該方案在理性上有一點站不住腳;但是這個真的不重要,因為眼下不是比哪個方案本身更合理,而是路線選擇上社區存在的巨大分歧的表現。[2018/11/15]
這類風險最常見的就是合約實現中的邏輯錯誤,比如計算錯誤等。
獨家 | 陶鷗:大量基于以太坊的項目歸零導致以太坊價格下跌:針對近期以太坊價格跳水的現象,金色財經就此事獨家采訪到MATRIX CEO 陶鷗,陶鷗表示,“我認為這一次加密貨幣下跌的原因有三點,首先,加密貨幣市場整體行情震蕩洗牌;其次,以太坊以前是唯一的公鏈,現在有大量更好性能的競品出現,對以太坊的領頭羊地位產生巨大的挑戰;最后,以太坊的最重要應用是ICO,而現在大量通過以太坊ICO的項目破發、歸零,ICO的需求大規模萎縮導致價格下跌。”[2018/8/18]
舉例來說,質押挖礦是很多DeFi合約中都有的功能,質押挖礦的基本邏輯是用戶將某個數字資產抵押進礦池,然后合約會根據用戶抵押的資產占總抵押資產的比例來核算用戶該拿到多少獎勵。如果這個比例計算錯誤或者實現有誤,用戶無法拿到正確的獎勵,就會嚴重影響項目的聲譽。
高危風險現在也很少會被我們羅列在報告中,而是我們一旦發現這類風險就會要求項目方立即修正。讀者可以在我們早期出具的報告中看這類風險的詳細舉例。
中度風險相較于高危風險等級又次一級,它有可能給項目帶來潛在問題,最終還是要項目方解決。
這類風險比較常見的有管理員權限控制的問題。
比如在DeFi協議中通常都會有發行代幣的功能。而通常控制代幣發行的地址就是管理員,所以在這類合約中,管理員的權限是相當大的。在一些代碼實現中,由于項目功能復雜以及運維方面的需要,管理員不僅自己有權決定是否發行代幣甚至還有權力決定是否賦予其它的地址這樣的權力,讓其它地址也能發行代幣。
這就產生了安全隱患:如果項目管理員的權限被盜或者管理員自己出現道德風險、濫用這個權力,那代幣的發行就不受控制了。
這類風險是由合約邏輯引入的,但邏輯的實現又不得不如此,并且有時在合約部署初期,為了讓項目能高效運轉,還要保持這種管理員權限運作一段時間,這都給項目帶來了潛在的風險。
項目方帶著這種風險進行操作也是小心翼翼、如履薄冰,它就像達摩克里斯劍一樣懸在項目方和用戶的頭頂,隨時有掉落的風險。
對這類風險我們會強烈建議項目方在運作一段時間后,將管理員權限轉交社區或者多簽錢包,以規避這類風險。
低風險是所有風險中級別最低的,通常它表現為一些細節問題、警告信息等,暫時來說這個等級的問題可以不用解決,但項目方最后在未來某個新版本中解決這類問題。
這類風險涉及的細節和具體問題比較零散和瑣碎,我們常見的有函數或變量命名方面的問題。
對函數或變量的命名如何通常普通用戶是不會感知的,但對項目方自己維護代碼或其它合約調用這些函數在某些情況下會產生一定困擾。
通常函數或便令命名出現的問題就是“詞不達意”,即命名和它實際在合約中起的邏輯作用不同,比如一個函數是要設置某個變量的值,我們通常會將這個函數命名為“setXXX”,但由于筆誤或其它原因,項目方將其命名為“getXXX”,這就讓函數的名字和它的真實作用讀起來南轅北轍了。
這樣的代碼時間一久,當項目方自己再回頭來維護或修改時,如果不仔細看代碼就會誤解函數的功能,從而錯誤地調用它。
因此靈蹤安全對這類風險也建議項目方在方便的時間修改。
作者:
靈蹤安全CEO譚粵飛
美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事?。個人擁有4項區塊鏈相關專利、3本出版著作。
關于靈蹤安全:
靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。
團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊團隊正式收入。
團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目,并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。
DeFi數據 1.DeFi總市值:1023.30億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:35.
1900/1/1 0:00:00最近“逃”“跑”這兩個字在幣圈經常看到。神魚昨天發博稱:“叫醒我的是逃跑的號聲。” 幣圈人為什么想要逃跑?指向最多的是算法穩定幣項目FeiProtocol,有些人還在微博中配上這張圖片.
1900/1/1 0:00:00NFT這股熱風從圈內吹到圈外,在圈外的熱度似乎蓋過了比特幣。和菜頭寫了一篇《關于NFT的一些胡說八道》,他在發布之前就抱定創造閱讀量新低的期待,但是他沒有想到閱讀量達到7.4萬,眾多幣圈人打賞,
1900/1/1 0:00:003月25日,PancakeSwap的鎖倉量與交易量超越以太坊上最大的去中心化交易所Uniswap,以太坊上高昂的Gas費使生態中DeFi項目的價值外溢.
1900/1/1 0:00:00今日晚間19:00,binance官方網站發布公告,稱宣布正式推出其零傭金、可交易的股權代幣,允許用戶交易部分股票。股權代幣在BUSD中進行計價、結算和擔保.
1900/1/1 0:00:00Coinbase剛剛公布了它的2021年第1季度的數據。它的第1季度的總收入是18億美元,超過去年全年的13億美元。利潤有可能達到8億美元.
1900/1/1 0:00:00