歐易程序員1024獻禮：鏈上安全手冊_BNB

安全功能組成，例如密碼學、軟件中介合同和身份控制。該技術通過啟用分布式方式來驗證訪問、驗證交易記錄和維護隱私，從而提供顯著水平的數據保護和完整性。

然而，盡管有這些安全性增強，區塊鏈市場仍然充斥著安全問題。基于區塊鏈的攻擊來自外部參與者以及內部人員。其中許多黑客使用了常見的策略，例如網絡釣魚、社會工程、攻擊傳輸中的數據或針對編碼錯誤。新技術伴隨著新的開發工具和方法，區塊鏈也不例外。一種新的網絡威脅正在出現，涉及區塊鏈網絡獨有的策略。其中包括：51%的攻擊、加密劫持、閃電貸攻擊、rugpull等

人為風險

人為風險是除技術外的一類因素，端點漏洞也是惡意行為者的入口點，例如設備、應用程序、錢包或第三方供應商級別的漏洞。員工和供應商人員也是目標。并非所有的區塊鏈都是平等的，在市場討論中經常被忽視的是，區塊鏈架構存在很大差異，尤其是在涉及不同結構和組件如何引入安全權衡時。隨著區塊鏈的組件、算法和用途不斷發展，攻擊策略和威脅緩解技術也將不斷發展。

缺乏監管

缺乏監管，智能合約不能替代合規性——它們不具有法律約束力。從洗錢到假冒，從隱私到詐騙，不明確的監管環境會減緩采用速度，并使網絡犯罪分子猖獗。

邏輯漏洞

邏輯漏洞是指由于程序邏輯不嚴導致一些邏輯分支處理錯誤造成的漏洞。

在實際開發中，因為開發者水平不一沒有安全意識，而且業務發展迅速內部測試沒有及時到位，所以常常會出現類似的漏洞。

代碼漏洞

歐易Web3錢包現已支持Aptos主網，為首個支持Aptos主網的異構多鏈錢包:據官網消息，歐易Web3錢包已于2022年10月18日10:00（HKT）接入Aptos主網，用戶可使用歐易APP端管理Aptos資產。

據悉，歐易DEX及歐易NFT市場將在10月底支持Aptos網絡，屆時用戶可在歐易Web3錢包內進行幣幣兌換、跨鏈交易、NFT交易等。[2022/10/18 17:30:17]

這是指代碼中的一個缺陷，它會產生損害安全性的潛在風險。此漏洞將允許黑客通過附加端點來提取數據、篡改合約或更糟的是擦除所有內容，從而利用代碼。

風險分級

致命：存在致命風險及隱患，需要立即解決

高風險：存在高危風險及隱患，將引發相同問題，必須解決

中風險：存在中度風險及隱患，可能導致潛在風險，最終仍然需要解決

低風險：存在低風險及隱患，指各類處理不當或會引發警告信息的細節，這類問題可暫時擱置

建議：存在可優化的部分，這類問題可以擱置，但建議最終解決

分級標準

定級主要依據漏洞的危害程度、利用難度，輔以其他因素綜合判定，其中：危害程度主要根據機密性影響(C)、完整性影響(I)、可用性影響(A)三個維度定義；利用難度主要根據攻擊向量(AV)、攻擊復雜度(AC)、認證(Au)三個維度定義。

風險種類個數

重入攻擊

注入攻擊

權限繞過

歐易OKEx已暫停XTZ的充提:據歐易OKEx官方公告，由于XTZ主網升級 ，歐易OKEx于2021年5月11日19:00 (HKT) 暫停XTZ的充提，待升級完成后開放。[2021/5/11 21:49:27]

Mempool搶跑

回滾

條件競爭

循環耗盡gas費

閃電貸高影響

經濟模型不合理

可預見的隨機數

投票權管理混亂

數據隱私泄露

鏈上時間使用不當

fallback函數編碼不當

鑒權不當

opcode使用不當

內聯匯編使用不當

構造函數不規范

返回值不規范

event不規范

關鍵字使用不規范

未遵循ERC標準

條件判斷不規范

流動性枯竭風險

中心化風險

邏輯變更風險

整數溢出

函數可見性不當

變量初始化不當

合約間調用不當

變量不規范

重放攻擊

隨機存儲位置寫入

蜜罐邏輯

哈希碰撞

歐易OKEx計劃于4月23日調整部分杠桿梯度檔位規則:官方消息，歐易OKEx計劃于2021年4月23日18:00調整部分杠桿梯度檔位規則，具體細節請點擊“查看詳情”。[2021/4/16 20:27:57]

使用不推薦的方法

未遵循基本編碼原則

第三方依賴風險

領獎邏輯不當

編碼不規范

應急機制缺失

代碼邏輯問題

計算精度丟失

無意義的合約

已棄用的合約

精度不匹配

代理使用不規范

資產安全

外部函數調用不當

多次初始化風險

未判斷返回值

賬戶缺少簽名者檢查

缺少賬戶可寫檢查

程序邏輯缺陷

Hash算法使用不當

WriteFile權限過高

業務邏輯存在為題

過時的外部依賴

循環耗盡gas

條件判斷不規范

中心化風險

未遵循基本的編碼原則

業務邏輯存在問題

每個種類風險的描述

循環耗盡gas：在以太坊區塊鏈中，不能將交易設置為永久運行。交易可以運行直到達到gas限制。一旦發生這種情況，交易將出錯，并且將返回“outofgas”錯誤。

歐易OKEx Layer2概念幣板塊播報：PERP帶頭領漲:據歐易OKEx平臺數據顯示，新增幣幣交易專區-Layer2概念幣板塊今日普遍上漲。

據了解，Layer 2 通常被稱為“鏈下”解決方案，其主要目的是擴展區塊鏈的性能，同時保留分布式協議的去中心化優勢。Layer2板塊幣種行情如下：[2021/3/29 19:26:20]

條件判斷不規范：智能合約代碼中進行條件判斷不規范，缺失必要檢查。

中心化風險：智能合約部分函數接口權限由單一私鑰控制，具有中心化風險。

未遵循基本的編碼原則：沒有遵循基本的編碼原則，如變量命名錯誤等。

業務邏輯存在的問題：業務邏輯考慮不完善，比如退款情況考慮不周。

案例1

北京時間2022年8月2日凌晨，NomadBridge遭受攻擊，導致價值約1.9億美元的損失。

OKLink鏈上衛士追蹤顯示，NomadBridge攻擊事件共涉及1251個ETH地址，涉及14個幣種，涉案金額約1.9億美金；其中包含12個ENS地址，ENS地址涉案金額超6980萬美金，約占總金額的38%；在利用漏洞獲利后，直接進行交易的地址數達739個，占比近60%。但值得注意的是并不是所有地址都是惡意攻擊，已知已有白帽駭客公開表態愿意歸還資金，OKLink已對剩余的地址進行了監控，后期若發生異動，會通過微博、推特向用戶同步。

案例分析

對Replica合約的process函數進行分析，在require(acceptableRoot(messages),“!proven”);這個判斷條件中，messages的值需要經過acceptableRoot函數的邏輯檢驗，返回值為true才能繼續往下執行。

歐易OKEx已開放SC的充提:據官方公告，歐易OKEx已完成SC硬分叉升級，于2021年2月5日12:00開放SC的充提。[2021/2/5 18:58:10]

注意到acceptableRoot函數中，傳入的_root參數，在confirmAt大于0且小于等于block.timestamp的情況下，就會返回true。

那么該漏洞的核心就在對confirmAt這個mapping賦值的過程。從initialize函數輸入參數可以看到，_committedRoot使用了0x00。一般情況使用0值做初始化參數沒有問題，但是在Nomad的這個場景下，就導致了任意message都能通過檢測的安全漏洞。

鏈上衛士分析師建議在initialize函數中也進行嚴格的安全檢查和判斷。

BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB，價值約5.66億美元。

案例分析

BSCTokenHub是BNB信標鏈和BNB鏈之間的跨鏈橋。BNB鏈使用預編譯合約0x65驗證BNB信標鏈提交的IAVL的Proof，但BNB鏈對提交的Proof邊界情況處理不足，它僅考慮了Proof只有一個Leaf的場景，對多個Leaves的處理邏輯不夠嚴謹。黑客構造了一個包含多Leaves的Proof數據，繞過BNBChain上的校驗，從而在BNB鏈造成了BNB增發。

貨幣或區塊鏈交互的智能合約代碼的綜合過程。執行此過程是為了發現代碼中的錯誤、問題和安全漏洞，以便糾正和修復它們。它可以保護代碼免受未來潛在錯誤的影響。

OKLinkAudit采用靜態掃碼和人工驗證相結合的審計方式，從根源處檢查項目，確保項目安全。審計團隊還擁有嚴格的漏洞評級標準，對每個漏洞設置三個級別的評分，分別是基礎評分、時間評分和環境評分，確保審計結果的準確、專業。當然，專家團隊也會提供針對性的修改建議，提升項目的安全性、隱私性及可用性。目前參與審計的項目涵蓋公鏈、DeFi、L2、穩定幣、錢包、NFT等多個板塊。

2021年，因黑客攻擊、漏洞利用和欺詐造成的損失達到13億美元。

2022年第一季度，攻擊型安全事件造成的損失高達約12億美元，比去年同期的1.3億美元增長了約9倍。它也高于2021年任何一個季度的損失金額。

在被攻擊的項目中，70%由第三方審計機構審計。然而，在剩下的30%未經審計的項目中，因攻擊而遭受的損失占總損失額的60%以上。

Slither

Slither是第一個開源的針對Solidity語言的靜態分析框架。Slither速度非常快，準確性也非常高，它能夠在不需要用戶交互的情況下，在幾秒鐘之內找到真正的漏洞。該工具高度可配置，并且提供了多種API來幫助研究人員審計和分析Solidity代碼。

Slither在檢測智能合約漏洞時，其功能優于其他靜態分析工具，在速度、檢測準確性方面都有著先天優勢。Slither包含了一整套針對Solidity的專用靜態分析工具，它可以用來檢測可重用性、構造函數和方法訪問等編碼中的常見錯誤。

Mythril

Mythril是以太坊的官方合約漏洞檢測工具，可以檢測大量的智能合約安全問題，如整數溢出，任意地址寫入，時間戳依賴等14種漏洞檢測工具。可以發現常規漏洞，但是無法發現一個合約的業務邏輯問題，主要思想是利用符號執行去探索所有可能的不安全的路徑。

Mythril集成了符號執行、控制流檢查、污點分析等技術，并支持自定義漏洞檢測邏輯來對智能合約進行分析，同時，Mythril由于可以通過多次符號執行來模擬現實區塊鏈和智能合約被多次調用的情況，但是對于某些漏洞如重入、拒絕服務攻擊的誤報率比較高，也無法檢測出一些常規邏輯錯誤。并且由于Mythril由于存在著多次符號執行，要探索的路徑數量更多，也帶來了較大的時間和空間開銷。

風險判斷及檢測工具

1.TokenScanner

TokenScanner是OKLinkAudit第一個對外推出的產品，目前有B端API產品，以及C端頁面產品，也在和一些區塊鏈錢包團隊接洽幫助進行進行整套安全加固方案的建設。

目前API產品里面支持了9條EVM鏈的風險代幣檢測能力：POLY,OP,ARB,FTM,AVAX,OKC,TRON，頁面上支持了ETH和BSC，其他鏈正在開發中，年底之前頁面上會支持全部9條鏈的風險檢測項，通過代幣檢測能力，我們檢測了3,534,306代幣，通過我們的風險掃描，確定了106,474個風險代幣。

2.ArgusEye

結合OKLink的底層大數據能力與標簽能力，針對這些數據信息我們對風險事件中的事發地址和上下游地址進行破解與規律性總結，搭建了一套可疑地址和風險交易的實時發現、跟蹤分析及響應處置的機制。也會針對可能的安全事件做安全播報

DEX中的流動性，以及鏈上代幣持有者信息，我們擁有4部分檢測能力。

2.基于OKLink大數據能力，我們自研一套代幣打分規則對代幣進行打分，10分以下是極高風險代幣包括有貔貅盤代幣和rugpull代幣，是高危預警建議用戶不要購買，10-40是高風險，建議用戶也不要持有該代幣，40-80是中風險，80-100是低風險，用戶可以自行斟酌購買。

3.代幣分類器，對于特殊實現標準的代幣通過分類器進行展示，類似于ERC677和777與某些DEX協議不兼容，可能會導致用戶無法正常買入賣出，以及有rebase機制的代幣，代幣流通量會跟隨幣價動態變化，也就可能會導致用戶發現自己錢包里面的代幣突然減少了或是增多了。我們從用戶視角出發設置的代幣分類器幫助小白用戶快速理解代幣潛在風險。

Tags：區塊鏈BNBokexKEX區塊鏈的未來發展前景分析BABYBNBokex交易所安全嗎okex官方網站網址

中幣下載