安全為心 淺談LGC公鏈是如何應對黑客攻擊的_THE

隨著智能合約飛速發展，越來越多的項目基于以太坊發行Token，鏈上資產的類別和規模呈指數級增長，“虛擬世界”中的數字資產也點燃了黑客們的“熱情”。以太坊區塊鏈被認為是區塊鏈的2.0時代，各種各樣新的數字資產都基于以太坊發行早期代幣甚至實現部分功能，雖然國外區塊鏈社區甚至認為以太坊體量變得太大，已經不可輕易戰勝，但以太坊也是數字貨幣歷史上產生最多安全問題的幣種。

從2016年的TheDAO事件，到BEC，EDU，SMT的安全漏洞，到Defi代幣失竊事件，以太坊的智能合約可以說充滿安全漏洞。大多數的代幣都在自己主網上線前使用以太坊代幣，作為投資者，為了自身資產的安全著想，熟悉智能合約的漏洞概念變得尤為重要。

黑客利刃砍出的ETH和ETC

TheDAO作為世界上最大的眾籌項目，一度被寄予了厚望，所謂“成也蕭何，敗也蕭何”，智能合約一度被捧上了天，但在TheDAO事件當中，其遞歸調用的漏洞卻成為了黑客入侵的大門。此后出現“黑客”現身談攻擊合法性的戲幕，更是讓人大跌眼鏡，這第一次引出了智能合約代碼監管的問題。

韓亞證券將于9月開始構建證券化代幣商業模式平臺:8月14日消息，韓亞證券將加速其安全代幣業務，將于本月完成外部公司的遴選工作，從9月開始認真構建證券化代幣商業模式平臺，并在年底前完成創新金融服務的申請，推動與各類數字資產相關公司的合作。[2023/8/14 16:24:48]

2016年6月17日發生了在區塊鏈歷史上留下沉重一筆的攻擊事件。由于其編寫的智能合約存在著重大缺陷，區塊鏈業界最大的眾籌項目TheDAO(被攻擊前擁有1億美元左右資產)遭到攻擊，導致300多萬以太幣資產被分離出TheDAO資產池TheDAO編寫的智能合約中有一個splitDAO函數，攻擊者通過此函數中的漏洞重復利用自己的DAO資產來不斷從TheDAO項目的資產池中分離DAO資產給自己。

被攻擊后，Vitalik個人支持分叉的提議，也支持軟分叉的開發工作，支持礦工升級客戶端來進行分叉。然而Vitalik也認識到大家對這個提議有激烈的爭論，無論哪一方的觀點都有強力的反對。因為分叉不需要回滾交易，不會對用戶和交易所造成不便，這更使Vitalik傾向于采取行動的一方。也有許多人，包括在基金會內部，傾向于另外一方反對分叉。Vitalik不會阻止也不會反對另一方在公開場合宣傳他們的觀點，甚至是游說礦工來抵制這個分叉。在這件事情上Vitalik會堅決的不與任何站在相對他的另一方的人爭辯。

美SEC主席：SEC會牽頭定義什么是證券，加密貨幣不需要額外的立法:金色財經報道，美國證券交易委員會主席Gary Gensler在接受記者采訪時表示，加密貨幣不需要額外的立法，但如果國會采取立法行動，立法者不要破壞現有法律很重要。 Gary Gensler還表示，證券交易委員會牽頭定義什么是證券，不一定是立法。

Gary Gensler稱，只有一個機構，也即由眾議院金融服務委員會和參議院銀行委員會兩個委員會監督的SEC，以及法院可以來定義什么是證券，而不是由各個加密交易所來選擇。此外他拒絕回答 SEC 是否計劃對幣安提起訴訟，同時指出該機構已對其他交易所采取行動。（TheBlock）[2023/3/30 13:34:05]

簡而言之，他們所做的是更改以太坊區塊鏈來修正DAO，但只有當大部分運行以太坊區塊鏈網絡的計算機同意，軟件才能進行更新，擺脫掉漏洞，就好像攻擊從來沒有發生過。這一過程被稱為硬分叉，從此以太坊創造了一個平行世界，現在的以太坊其實是分叉出來的“以太坊”并在一年后狂飆突進的漲到了幾百美元，而原來不愿意分叉的包含TheDAO漏洞的以太坊則成了以太坊經典。這一決定引發了強烈的反應，一年后仍然存在爭議，無論是在以太坊社區還是比特幣用戶都堅持區塊鏈的歷史不能被篡改，有些比特幣用戶認為硬分叉在某些方面違反了最基本的價值觀。

印度央行將于12月啟動零售CBDC試點:金色財經報道，印度中央銀行印度儲備銀行（RBI）將于12月啟動零售CBDC試點。參與試驗的每家商業銀行將在10000至50000名用戶中測試CBDC，客戶和商家都必須下載專用CBDC錢包。（Cointelegraph）[2022/11/22 7:56:32]

Binance黑客VIA事件

2018年在3月7日深夜，有不少用戶發現自己幣安賬戶中持有的各種各樣的代幣、數字貨幣被市價即時幣幣交易成了BTC。據網友反饋，被盜的賬號不在少數，不少人還以為是幣安系統錯誤導致的，還試圖從幣安客服那里得到解釋。當他們還沒有反應過來的時候，黑客已經開始了他們有組織、有預謀的行動。

黑客啟動了所有盜竊的賬戶的買賣引擎，買賣規則就是賣掉所有山寨幣，用市場價全倉購買VIA。而恰好黑客手里持有大量VIA，這樣就相當于高價購買了黑客手里的VIA。于是，VIA的K線出現了驚人的振幅：2分鐘內爆拉了110倍。從交易量和拉升價格來看，有大約1000個BTC的買單，把VIA的價格從0.000225btc拉到0.025，價格上漲大約110倍。

Transit Finance：將繼續努力追回剩余被盜資產:10月3日消息，據Transit Finance發推表示，目前各方安全公司和項目團隊仍在繼續努力追蹤被盜資產，并通過郵件（service@transit.finance）及鏈上等方式與黑客溝通，團隊將繼續努力追回更多剩余被盜資產。

鏈上溝通鏈接：

https://bscscan.com/tx/0x7491671cfab5066d5a36299cf295e721611bae6ff61a847a32b11d1cf716c274

https://bscscan.com/tx/0x137a6a78dd8140892df18599a2f286856150b687fcb0cf84d82b6064d3c1343f

https://bscscan.com/tx/0xd91e900e85727ac4c941f1b7a52fe4bee4752604a91a366f8293fe61a4dfcd00

此外，Transit Finance還表示，關于用戶損失退回：

1. 項目團隊正在加急統計被盜用戶的具體數據，并制定具體的退回方案。

2. 團隊會繼續追回黑客盜幣剩余資產，并退回給損失用戶。

金色財經此前報道，Transit Finance被盜資產的約70%已被退回。[2022/10/3 18:37:54]

但是黑客的行動觸發了幣安的預警系統，黑客沒能直接提出高價賣出所得的比特幣。于是他們轉而以超低價格爆砸比特幣現貨的訂單列表，引起其他交易所期貨價格的連鎖反應。于是黑客預先埋伏的巨量空單獲得巨大收益。黑客的攻擊，已經去中心化了。

兩個加密巨鯨購入超250萬美元Polygon原生代幣MATIC:金色財經報道，據WhaleStats在社交媒體披露，兩個加密巨鯨“Bonobo”和“BlueWhale0072”分別購買1,199,999 枚MATIC 代幣（約合1,135,264 美元）和1,461,354枚MATIC 代幣（約合1,430,274 美元），總價值超250萬美元。值得一提的是，“Bonobo”是目前第5大以太坊投資者。[2022/7/31 2:48:40]

LGC的安全設計

由于貨幣需要一個穩定的系統，智能合約設計的越復雜出錯的可能性就越高，所以在早期中本聰認為貨幣系統是不需要圖靈完備的語言的，比特幣之所以不支持智能合約也是覺得貨幣需要極高的穩定性。那么，如何運行區塊鏈里保持貨幣穩定的同時又可以開發Dapp呢？

在LGC中Token鏈是一個并行多鏈的結構，共享用戶基礎。作為一個DAPP開發者最關心的肯定是三件事：1開發難度2用戶體驗3社區生態。那么Token鏈的設計就是針對不想自己重新開發一條公鏈，但想要發行token和鏈的開發人員。

LGC生態主要面向的對象是開發者，所以在設計Token鏈的時候最大的想法是設計一個可以吸引大家都來發幣的平臺，這樣可以讓在LGC上開發DAPP的開發者可以獲得更多的用戶資源。

LGC的中心思想是設計一個社區的機制，讓開發者可以輕易的開發一個DAPP，其他的交給LGC來處理，安全問題當然也是LGC在設計之初考慮的重點。

比如近期對很多項目發起攻擊的“transferFrom“函數，LGC就在require(balances>=_value);下一行增加了require(allowance>=_value);?判斷，確保了合約轉賬不會出現可供黑客利用的漏洞。

Token不應該是一個智能合約，而應該是一個預先定義好事件的一個“對象”，這個“對象”可以有自己的參數，接受Token的地址可以有兩種：普通的用戶地址和合約地址，合約地址收到Token之后可以執行非圖靈完備的合約語言，進行簡單的狀態計算和Token轉移。

公鏈是區塊鏈發展的前提基礎，也是區塊鏈行業未來發展的核心保障。而目前區塊鏈的發展現狀是，底層公鏈的性能尚未發展起來，在其上構建的各類DAPP嚴重受限于性能，各種共識算法都有不完美之處，安全問題也令人堪憂。由于智能合約一旦上傳，即公開且不可更改，因此大多“區塊鏈2.0”項目有安全性驗證的需求。一些團體也開始致力于應用形式化驗證技術，為智能合約和區塊鏈生態提供安全保護。將智能合約轉化為數學模型，通過邏輯上的推理演算來驗證模型，從而證明智能合約的安全性。

但由于智能合約是“不可變更的”。一旦部署，它們的代碼是不能更改的，導致無法修復任何發現的bug。在潛在的未來里，整個組織都由智能合約代碼管控，對于適當的安全性需求巨大。過去的黑客如TheDAO或BEC，SMT，EDU，BAI等漏洞事件提高了開發者們的警惕，可我們還有很長的路要走。

各個公鏈在可擴展性，應用性，共識哲學以及安全建設上的角逐將持續很長一段時間。我們認為既然沒有完美的防止漏洞的方法，那我們不妨學習LGC，讓Token這個“對象”盡可能的簡潔，是現階段區塊鏈行業里比較好的解決方案。

來源：金色財經

Tags：以太坊區塊鏈DAOTHE以太坊和瑞波幣在中國合法嗎區塊鏈最大騙局DAOXThe Grand Banks

SAND