原文標題:《2018年度區塊鏈安全報告》本報告由區塊鏈安全團隊PeckShield全程提供數據與技術支持。
報告核心看點:
回顧:
1、2018年區塊鏈安全事件造成的經濟損失高達22.38億美元,較去年暴增253%。2018年區塊鏈安全事件發生138起,較去年暴增820%。區塊鏈安全問題主要集中在業務層和合約層,兩者安全事件導致的經濟損失占整個區塊鏈安全行業的98.87%,分別發生了64次和58次,累計損失22.1億美元。
2、以太坊與EOS.IO2018年全年安全事件回顧,以太坊全年發生54起安全事件,EOS.IO全年發生49起安全事件。
3、四起重大區塊鏈安全事故復盤:幣安黑客攻擊、以太坊BEC智能合約黑客攻擊、EOS智能合約黑客攻擊,BCH硬分叉導致的粉塵攻擊和重放攻擊。
4、項目團隊、安全團隊、公鏈團隊、錢包團隊等區塊鏈行業參與者對于區塊鏈安全的看法與展望。
展望:
1、2019年第一個月發生的區塊鏈安全事故數量已經超過2017年全年的區塊鏈安全事故數量。
2、2019年區塊鏈安全事件持續增加,但經濟損失量已經大幅度縮減,2019年前三周僅造成了超過400萬美元的損失。
2018年區塊鏈安全概述
經過近3年的發展,區塊鏈技術已經成為業內公認的,繼大數據、云計算、物聯網、人工智能之后,又一顛覆性的新興技術,也被一些國家列為國家級戰略發展技術。
在技術不斷積累深入時,國內部分城市已開始鼓勵區塊鏈產業入駐,創建出初步的區塊鏈創業扶持政策。與此同時,國外相對成熟的資本市場也正在完善區塊鏈衍生品加密數字貨幣的相關法規。
技術層面上,區塊鏈技術目前生活化的場景落地以螞蟻金服、騰訊、百度、京東等巨頭企業為主力,區塊鏈創業公司在底層技術上取得較大成果,成為傳統企業連接區塊鏈技術的橋梁。
但不可忽視的是,區塊鏈領域的安全問題屢見不鮮,合約機制中的天然弊端和發展過程中產生的漏洞成為不法分子的攻擊點。
具體表現上,加密數字貨幣交易的日交易量和總市值呈現相同的趨勢。2018年1月到12月,總市值從最高點2973億美元降至1111億美元,年蒸發量達73%。日交易量也與趨勢吻合,從年初到年末經歷了大幅縮水。
從上圖也可以看出,2018年加密數字貨幣交易市場呈現出兩個極端表現,加密資產交易在2017年12月-次年4月的牛市呈現異常火熱的狀態,資金和投資人大量涌入,也引來最大獲利者交易所屢次受到黑客攻擊。5月-12月,整個區塊鏈行業都在下行的陰影中,幣價熊市表現不佳,部分心思不純的項目方趁機拋售代幣,引發市場恐慌,幣價走向更低點。
與此相反的是,主打底層技術,在上半年的牛市中被湮沒的DAPP團隊,在熊市中反而創造出屢屢刷屏的爆款作品。不論是FOMO3D,還是310個比特幣懸賞的藏寶圖,簡單的游戲設置和「幼稚」的內容,都成功打破區塊鏈行業在外界的「乏善可陳」「晦澀難懂」的原始標簽。
總體表現上,2018年區塊鏈安全問題突出。根據騰訊安全團隊的數據,加密數字貨幣安全問題主要集中在區塊鏈自身機制安全、生態安全和使用者安全這三個方面。2018年上半年,這三方面造成的經濟損失分別為12.5億、14.2億和0.56億美元,總計高達27億美元。
根據BCSEC和PeckShield數據顯示,2018年區塊鏈安全事故造成的經濟損失高達22.38億美元,較2017年大增253%,2018年區塊鏈安全事故數量也達到了138起,遠超2017年的15起。
從以上數據中我們也發現,進入2019年之后,區塊鏈安全事故數量有增無減,2019年1月份前兩周就發生了6起安全事故,等于2015年全年的安全事故數量。與此同時,因為各區塊鏈開發團隊對安全的重視,安全事故造成的經濟損失也得到了大幅度下降。
在牛市集中的上半年,加密數字貨幣交易參與者急劇增加,安全事件也明顯增加。下半年熊市中,發展迅猛的DAPP成為安全事件頻出的對象,區塊鏈安全問題亟待解決。黑客盜幣以2014年3月Mt.Gox被盜4.6億美元比特幣、銀行賬號被盜2740萬美元為典型。至2018年,黑客攻擊變得更加復雜和謹慎。3月初,黑客在幣安實施了精心策劃的「盜幣」計劃,盜取用戶賬號買入小幣種,在拉升該幣種前下好期貨單,開創黑客「盜幣」新模式。
投資機構方面,機構和個人面臨的最大問題就是專業素養缺失和項目盡調不合格,二者是導致投資者遭受巨大損失的核心原因。火熱的市場和項目方的虛假包裝,容易使專業判斷出錯。加上缺乏規則化的行業行為準則和監管措施,也使得機構和投資人的加密資產安全問題更加突出。
對開發團隊來說,刨除道德風險,團隊面臨基礎設施、網絡攻擊威脅、數據丟失和泄漏等三重安全風險,不論是區塊鏈存儲設備的漏洞和所處環境等客觀因素造成的安全風險,還是團隊內部矛盾造成的主觀安全風險,都成為項目開發團隊的重點安全問題。
安全事件使得區塊鏈的2018年動蕩不安,其背后,是區塊鏈技術的不斷革新和區塊鏈項目對生活的變革。并且,在資本和技術人才的大量涌入下,國內區塊鏈技術已經進行了3.0時代,一定程度上掌握了區塊鏈技術的信息技術主導權。在跨境支付、慈善溯源、電子發票等方面已有場景落地。未來,更多更加規范的項目將會落地在人們的具體生活場景中。
同時,作為區塊鏈的最佳應用場景,加密數字貨幣在2018年度過轉折年,先后經歷狂熱迷戀、萎靡不振、以及批量退潮三個階段。目前加密數字貨幣交易市場進入低潮期,所有幣價都在不斷刷新底線,大量不合格投資人和趁亂撈油水的機構被清洗出去。對金融市場來說,此次清洗對金融市場起到普及風險教育的作用,也讓虛擬數字貨幣交易有了模板,為今后行業監管規則的創建打下基礎。
1.發展與問題
據BCSEC網站數據和PeckShield提供的數據顯示,2018年全年因為區塊鏈安全事故而造成的經濟損失高達22.38億美元。2018年下半年,盡管熊市背景下活躍人數和交易量都驟然減少,安全事件發生的頻率卻沒有放緩,尤其是EOS區塊鏈的智能合約出現的問題最多。
Yield Protocol:已從 Euler Finance 遭攻擊影響中完全恢復:6月27日消息,固定利率借貸協議 Yield Protocol 宣布已從 Euler Finance 遭攻擊影響中完全恢復。3 月中旬,Euler Finance 遭到黑客攻擊,損失金額近 2 億美元,之后攻擊者歸還全部盜取資金。由于 Yield 的流動性提供者系統中的一些資金存放在 Euler 中,因此也受到了影響。[2023/6/28 22:04:12]
安全問題成為加密數字貨幣行業的痼疾之一,各類攻擊預警信息不斷。年初,日本加密數字貨幣交易所Coincheck遭黑客攻擊,平臺超5.2億美元NEM被非法轉移。之后,美鏈BEC、SMT、EDU等智能合約被派盾PeckShield曝出重大安全漏洞。
安全問題頻發的同時,攻擊預警也有了相應的成績。早前,慢霧安全團隊披露一起因以太坊生態缺陷導致的數字資產盜竊事件,阻止攻擊者長達兩年時間的數字資產盜用行為。之后,360發現EOS區塊鏈系統在解析智能合約WASM的溢出漏洞,防止黑客控制整個EOS網絡后造成的嚴重損失。
一年的重點事件
全球同步跨交易所的拋售暴跌事故
3月7日,幣安被黑客攻擊,開創首次黑客攻擊用戶無客觀損失的案例。黑客通過非法入侵幣安用戶的賬戶,將用戶各種各樣的代幣即時幣幣交易換成BTC。
大量拋售代幣引發恐慌性拋售,黑客則選取其中一種——VIA,用操縱的賬號在1小時內買入1萬個比特幣的VIA,造成該幣種的暴漲。使得該幣種從22點50分的0.000225美元直接上漲100倍到0.025美元,拉爆110倍。黑客并未趁機提幣取現,而是悄然離場。
事實上,在拋售用戶的各種代幣前,其已經在全世界各個交易所上掛出「代幣做空單」,在大盤下跌時獲得收益。
整個過程通過幣安的影響力獲得利益,未提取用戶代幣在客觀上也沒構成損失,開創黑客攻擊交易所獲利的新模式。
造成此次攻擊的原因,有用戶反映是幣安賬戶的Google二步驗證沒有起效,幣安也承認APIkey是賬號被盜的原因。
監管收緊引發市場波動,交易所技術缺陷回滾交易
3月9日,中國人民銀行行長周小川就「金融改革與發展」相關問題回答中外記者提問時,回答了記者關于ICO的提問。他將ICO定性為「會讓人產生可以一夜暴富的幻想,不是什么好事」的金融衍生品。
監管層對ICO的態度是,央行不支持比特幣和人民幣直接交易,也不認可比特幣等虛擬貨幣作為零售支付工具。對于亂象頻出的現狀治理,要將不慎重的產品停一下,有前途的經過測試后再推廣。
彼時擁有中國金融領域最高話語權的小川行長,對加密數字貨幣市場的研究并非表面,他指出比特幣等分叉產品出臺太快,不夠慎重,可能對金融穩定和貨幣政策傳導產生不可預測的作用。他鼓勵研究新的技術,但要求不要鉆政策的空子。
這些觀點直接影響了整個加密數字交易,當日所有交易所幾乎全部飄紅,市場恐慌情緒加重,OKEx實際控制人徐明星也發出要上交國家的聲音。
徐明星是加密數字貨幣交易所OKcoin和OKEx的實控人,提前布局該領域使其成為第一批吃螃蟹的人之一。憑借獨創的與股市期貨一脈相承的合約交易模式,OK系資本快速積累,成為國內三大交易所之一。
但技術上的不純熟使得OK系交易所頻頻出現故障,用戶遭受巨額損失得不到賠償,由此引發激烈的公眾事件。二者的根本,還是技術安全引發的監管不信任和用戶信心耗損。
3月30日凌晨,加密數字貨幣交易所OKEx出現BTC季度合約比現貨指數高出超20%,最低點逼近4000美元。該情況持續近100分鐘,OKEx隨后采取措施,宣布將進行交易回滾。
OKEx團隊稱,經技術初步調查,此價格劇烈走偏于市場價,是異常賬戶通過大量異常操作,導致BTC季度合約價格異常,大幅偏離指數。
業內人士認為,在市場的正常交易下出現價格偏差是正常情況。相比之下,此前幣安用戶被黑客操縱交易VIA/BTC為例,幣安也沒有回滾交易。在發布回滾決定時,OKEx稱會公布異常用戶通過不計成本的異常平倉,突破限價的交易細節,但至今未給出。且OKEx一再強調交易所權利,更大可能上,是對自身利益的維護,和市場交易這一基本原則的破壞。
加密數字貨幣是去中心化技術的產物,公然回滾交易不僅證明了加密貨幣交易所對交易的可操控性,還公然破壞區塊鏈不可篡改的特性。交易所的強勢地位在此前的天價上幣費上有所體現,此次OKEx的回滾交易操作,開創了交易所公然操作用戶交易的先河,也再次證明交易所在幣圈產業鏈中占據主導地位。而這種強勢地位直接影響著用戶的交易安全,也使得行業風氣下行。
BCH硬分叉引發算力戰,用戶資產受到嚴重安全威脅
2018年11月15日,因為未對未來的升級計劃達成一致,BCH的兩個核心團隊BCHABC和BCHSV宣布對BCH開啟分叉,標志著幣圈勢力開始分裂。
凌晨1:52分,BitcoinCash網絡完成升級,BCH算力戰開啟。這次分叉后,吳忌寒支持的BCHABC與澳洲中本聰支持的BCHSV正式開始爭奪BCH主導權。當日下午BCHABC領先BCHSV36個區塊后,吳忌寒代表的BCHABC一直處于出塊領先地位。最終以兩條鏈BCHABC、BCHSV分叉的兩條鏈共存結束,目前用戶資產暫時得到了保全。
BCHABC和BCHSV原本在同一陣營,此次倒戈分裂代表著幣圈舊勢力的重新劃分。BCH的爭奪對幣圈的影響是直接的。分叉前,BCHABC和BCHSV多次在社交平臺發布具有煽動性的宣言,使得以BTC為首的加密數字代幣連續暴跌。
BCH算力爭奪,實際上是BTC保守派和激進派的決裂,相關企業站隊背后,代表著鏈圈勢的重新劃分。吳忌寒和澳洲中本聰的分裂,也使得算力之外的勢力被迫選擇一方,交易所開始被迫站隊,用戶沒有選擇權,成為二者勢力劃歸的受害者。
在算力戰期間,因為存在雙花攻擊的風險,用戶手中的BCHABC和BCHSV幾乎無法交易,交易所也暫停了兩個幣種的充值和體現,這讓大量用戶的資產在這次資本對抗中受損。
Sui 將地址長度從 20 字節增加到 32 字節:3月30日消息,Layer1 區塊鏈 Sui Network 發布 0.29.0 版本更新,其中包括將 Sui 地址長度從 20 字節增加到 32 字節。[2023/3/30 13:34:50]
EOS智能合約安全漏洞,從未停止
7月25日,EOSDAPP《狼人殺》智能合約被攻擊。這是EOSDAPP首例被攻擊案例。當日,慢霧安全團隊警告EOS狼人殺團隊,游戲合約遭受溢出攻擊,資金池已變成負數。
EOSFomo3D狼人殺是一款與以太坊Fomo3D相似的游戲,英文全稱為Fearofmissingout。EOSFomo3D游戲使用閃拍模式,主要規則為:游戲開始有24小時倒計時,每位玩家購買,時間就會延長30s,越早購買的玩家,能獲得更多的分紅,最后一個購買的玩家,將獲得獎池中48%的eth。
但是,該游戲就因出現智能合約存在嚴重漏洞、被黑客攻擊、團隊有強制結束權利等問題被參與者所詬病。游戲團隊緊急上線新合約之后,仍然發生第二次攻擊,攻擊者盜走60686個EOS,是EOSDAPP不完全統計中,被黑客攻擊損失代幣數量最多的合約漏洞。
在此之后,EOS上出現大量類型DAPP,因為采用開源模板和未對合約安全進行考慮等原因,此后出現了幾十次與EOSDAPP有關的黑客攻擊,包括回滾攻擊、隨機數預測攻擊、可重入攻擊、邏輯漏洞攻擊等。
2.以太坊與EOS.IO區塊鏈安全回顧
2018年年初,以太坊代幣ETH的價格達到了歷史最高點,這不僅成功地吸引了普通投資者的關注,也讓地下黑客們看到了這個初生新事物脆弱的一面。
據Peckshield統計數據,在2018年全年,以太坊區塊鏈一共發生了54起安全事故,其安全類型多為交易所安全問題、交易所交易系統和錢包管理問題、錢包網站安全問題、智能合約問題以及公鏈設計缺陷問題等。
與之對應的EOS.IO,從年中主網上線到2018年結束,共計發生了49起安全事件。其中,絕大多數的安全問題都發生在EOS智能合約之上,而且漏洞在不同的智能合約中可以輕易復現,當黑客發現某個漏洞在一個智能合約可用時,便會對其他智能合約發起相同的攻擊手段。這種「復讀機」式的攻擊屢次成功,甚至讓EOS.IODAPP開發者多次遭到損失。而這一條區塊鏈的安全問題并沒有因此而得到解決。
下面是兩條具有代表性的公鏈過去一年的安全事件與價格趨勢圖,區塊律動BlockBeats將在下面復盤4個具有代表性的安全事件。
因圖片過長請橫屏查看
3.重點案例復盤
幣安黑客攻擊
2018年3月8日,幣安交易所發布了一篇名為《Binance部分用戶賬號異常事件始末》的公告。
在前一天,許多幣安用戶發現自己持有的各種數字貨幣被市價交易成了比特幣,然后約一萬枚比特幣又被用來買入一個本來毫不起眼的小幣種——VIA幣,以至于在短時間內,VIA的價格被拉升了超過一百倍。
根據這篇公告的說法,這是一起失敗的攻擊。黑客未能成功高價賣出自己預先存入的VIA然后提幣走人。黑客先是用釣魚網站盜取了用戶賬號信息,但是他們的異常交易觸動了風控,未能提幣,甚至自己預先存入的VIA幣也被凍結,反倒給自己帶來了損失。
事實真的是這樣嗎?黑客真的這么慘嗎?又為什么利用釣魚網站能輕松盜取賬號呢?不是需要二次驗證的嗎?我們來從頭深入復盤一下這起黑客攻擊事件。
從釣魚網站說起,幣安的公告是這樣描述的:「黑客在長時間里,利用第三方釣魚網站偷盜用戶的賬號登錄信息。最早被釣魚的賬號可追逆到一月初,但大多數賬號是在2月22日左右,用unicode的Binance域名釣魚。黑客獲得賬號后,自動創建交易API。」
CZ在推特上展示了一個被盜賬戶的歷史,如下圖。
按照時間戳從下往上看,這位用戶先是谷歌了一下binance,然后打開了搜索結果——假幣安網站。雖然CZ的電腦屏幕確實該擦了,但是仔細觀察一下打開的域名,還是可以發現這個www.binance.com里面的i和a下面都有個點,正如幣安公告里所提及的那樣。
然后用戶在這個釣魚登錄頁面內輸入了自己的賬戶密碼,隨后通過2FA驗證登陸幣安。此刻顯示出現錯誤,這里發生的事情是黑客將釣魚網站和真正的幣安網站連通,實現了即時登陸。于是頁面跳轉到了真正的幣安網站。
安全漏洞:二次驗證沒有做到OTP
與此同時,發生的更重要的是幣安公告中所提到的「黑客獲得賬號后,自動創建交易API」。這一步也即是為何黑客操作時谷歌二步驗證沒有起效的關鍵。
谷歌的二步驗證碼屬于OTP(One-timePassword),有效時間為30秒,也即被使用過一次之后立即失效,即使還沒有達到30秒。
但是OTP需要服務器來實現,如果服務器沒有做出每個密碼的限制邏輯,那么在這30秒內,驗證碼可以被反復使用。結果就是用戶資產面臨極大風險。更可怕的是,黑客在這30秒內創建了API,獲得了包括閱讀信息、進行交易、提現操作的最高權限。
很遺憾,在發生這起黑客攻擊事件時,幣安使用的還是「假的OTP」,給了黑客可趁之機,不過很快幣安就修補了這個漏洞。
這樣的漏洞在當時并不少見。幣安黑客攻擊事件發生后,根據知乎用戶「二子乘舟」的測試,主流交易所中Kraken、火幣、Bigone的二次驗證都不符合OTP邏輯。
黑客攻擊手法的去中心化
幣安的黑客攻擊事件與以往的交易所攻擊事件都不同的地方在于,這次黑客并不靠從被黑的交易所提幣來獲利,而是在攻擊幣安的時候在其他交易所開下了大額空單,依靠市場恐慌情緒來做空大賺一筆。
由于幣安在數字貨幣交易領域巨大的影響力,在這里的風吹草動都會影響到整個加密貨幣市場的動向。在幣安上的用戶驚慌失措、開始拋售的同時,整個加密貨幣市場就都不淡定了。比特幣的價格在一個小時內跌去了10%。
數據:7000 萬 USDT 從 Tether 金庫轉至 Bitfinex:12月15日消息,Whale Alert 數據顯示,北京時間 10:44:51,7000 萬枚 USDT 從 Tether 金庫轉至加密交易所 Bitfinex。[2022/12/15 21:46:26]
黑客通過提前在多家交易所開下的空單,實現了一波完美的「收割」——沒有任何用戶的幣被黑客從交易所提走,然而在市場開始下跌的那一刻,黑客就開始賺到期貨的收益。而且由于交易分散無法具體到賬戶,實際上也實現了攻擊的去中心化。
以太坊BEC智能合約黑客攻擊
4月22日OKex發布公告暫停美鏈BEC的交易和提現,然而BEC市值已經迅速蒸發60億,價格幾近歸零。緊接著4月25日,火幣發布公告暫停了所有幣種的充提幣業務,公告稱SMT的以太坊智能合約存在漏洞,此時當日SMT價格已跌去20%。
BEC的代碼漏洞被稱為batchOverflow,SMT的代碼漏洞被稱為proxyOverflow,他們的本質都是ERC20合約的整數溢出安全漏洞。
安全漏洞:整數溢出
常見的整數類型有8位,16位,32位等整數溢出發生在試圖把數據放入比它本身小的儲存空間中時。
整數分為有符號整數(signedinteger)和無符號(unsignedinteger)整數兩種。前者包括正數和負數會在最高位用0表示正數,用1表示負數;而無符號整數只能識別非負數。對于無符號整數來說,位數為n意味著可以表示0~2^n-1這個范圍內的整數。
比如無符號的16位整數可以表示0~2^16-1,也就是0~65535這么多的數值。在這個范圍內程序可以得到正確的顯示。如果嘗試放入的數據不在這個范圍內,輸出結果就不正確。數值過小會發生下溢,過大則會發生上溢。
這個漏洞可以使黑客通過轉賬的手段生成合約中本不存在的巨額代幣,將其轉入到自己的地址中。而這些代幣可以被轉入交易所,進行正常的交易,與原本存在的真的代幣并無區別。而這一切的操作都十分簡單,只需要輸入一串數字就好了。
BEC攻擊事件詳解
根據PeckShield披露的技術細節,BEC整數溢出漏洞在代碼中的體現。問題出在257行這里
注:cnt:轉賬接收者地址數量;value:向每個接收者發送的轉賬數額;amout:發送者總計發送的數額,也即cnt和value的乘積。
uint256是說這里的數據都應該是0~2^256-1范圍內的整數,而在轉賬交易中,黑客在value這里輸入了相當大的數值,導致它和cnt的乘積amout超過了這個范圍,結果amount無法正常顯示,只能顯示為0。
在amount為0的情況下,就輕松通過了259行要求發送者余額大于amount的驗證。
261行表示,在轉賬過后,發送者的余額應該減去這筆amount,在這里也就是減去了零,發送者余額不變。
然而在263行我們可以看到,接收者的余額卻可以成功的加上這巨大的value。也就是說,黑客從A地址到B地址進行了巨額轉賬,然而A地址的余額卻沒有絲毫減少。黑客憑空制造出了巨額代幣。
后來發生的事情就是,黑客將大量BEC代幣轉入交易所OKEx拋售。先是試探性地轉入了100萬枚代幣,在成功售出后,又分兩次轉入了共1000萬枚代幣,依然進展順利,后來于是一次轉入了1億枚。
雖然在這1億枚代幣轉入后,OKEx發現了異常并暫停交易,但在這之前,市場上迅速出現的大量來源不明的BEC已經引起了恐慌,拋售潮出現,BEC價格迅速下跌,幾乎歸零。
后來BEC決定與OKEx合作回滾交易挽回損失,但是事后回滾交易終究不是安全漏洞的真正解決方法。三天后SMT也被黑客用同樣的套路攻擊,遭受巨大打擊。
盡管這個漏洞并不是ERC20標準本身的問題,但是確實有許多的智能合約都沒有經過細致的檢查。在BEC攻擊事件發生時,PeckShield團隊調查稱超過12個項目的代幣存在同樣的整數溢出漏洞,隨時可能被用同樣的手法致命攻擊。
如果BEC團隊在部署發幣智能合約之前能夠對代碼進行審核,那么這么簡單的漏洞將會避免。
EOS智能合約黑客攻擊
隨機數生成算法漏洞:EOSDice十天內的兩次攻擊
EOS憑借較高的吞吐量在公鏈上線之后就吸引了許多DApp的開發者和使用者,其中數量最多的是類游戲。但與此同時,這些游戲的黑客攻擊事件層出不窮,數得上來的就有Luckyos、EOSWIN、DEOSGames、FairDice、EosRoyale、FFGAME、LuckyGo等等。其中人氣頗高的EOSDICE在11月初更是在十天之內遭遇兩次攻擊,被盜取數千個EOS。
2018年11月4日,EOSDice合約遭到賬號jk2usllkjfd攻擊,損失的超2500個EOS被轉入火幣交易所。
本次,黑客采用的手法是在知道隨機數種子來源和隨機數生成的算法情況下,通過控制種子的數值讓算法計算出自己下注的結果,以此來獲勝盜取EOS。
在這個算法中,影響隨機數生成結果的主要種子信息有:用戶賬戶名、ID、當前時間、合約余額和指向區塊信息。其中賬戶名、ID和當前時間都很好獲取,合約余額可以在只有一個用戶訪問時計算得到,比較難以得到的是最后一個:指向區塊信息。
在EOSDice開源的代碼中,我們可以看到指向區塊是由EOS鏈指定的。
黑客通過實際操作發現,指向區塊在默認狀態下是執行當前action的上一個區塊。也就是說,在下注時,也已經可以獲得指向區塊的信息。
這樣一來,黑客便獲得了影響隨機數生成結果的所有種子信息。于是便可以根據生成算法計算出隨機數結果,據此來下注。
這次攻擊事件發生后,EOSDice團隊很快便修改了隨機數生成的算法。他們選擇的方法是將指向區塊設定為在下注時還未生成的區塊,實時開獎被變為了延時開獎。在這種情況下,黑客就不能提前計算出隨機數結果再下注了。
被標記為孫宇晨的地址從 Aave V2 中撤回1000萬枚TUSD并轉入幣安:10月21日消息,PeckShield在推特上表示,被Etherscan標記為孫宇晨的地址從Aave V2中撤回1000萬枚TUSD并轉入幣安。本月至今,孫宇晨相關地址已從Aave撤回了近2億美元穩定幣。[2022/10/21 16:34:53]
然而,11月10日,EOSDice再次遭到攻擊。4900個EOS被盜取后轉入bitfinex交易所。
通過模擬游戲合約,將攻擊合約與其置于同一個區塊中來獲得相同的種子。然后在這個模擬的攻擊合約中不斷修改合約余額來測試出能夠得到目標隨機數的正確余額值,然后將正確的余額匯入到真正的游戲合約中去。這樣的話,隨機數就能完全按照黑客的意愿來生成了。
經過多次的隨機數漏洞攻擊后,目前EOS上的游戲通常采用的隨機數生成方法是:延時開獎的同時,在種子中不設置可控制變量。然而這樣的做法也不能說是完美,只能說是暫時還未被黑客攻破罷了。
為什么隨機數攻擊總是發生在EOS鏈上?
或許有人會感到奇怪的是,為什么游戲遭遇隨機數漏洞攻擊的事件似乎總是在EOS鏈上發生?很少聽到其他鏈上的遇到同樣手法的攻擊。并不是因為其他鏈上的游戲少,只是其他鏈上或許采用的是完全不同的隨機數生成方式。
區塊鏈上從本質來講幾乎是不可能生成隨機數的。因為區塊鏈要求各個節點間達成共識,然而每個計算機卻會生成不同的隨機數,無法驗證。
以太坊為例,以太坊提出的解決方法是推薦DApp使用鏈下的Oraclize庫生成隨機數。這實質上是引入了一個第三方,這樣的隨機數生成方法對第三方有著極高的要求,需要第三方可信。因此這也引發了不符合區塊鏈去中心化本質的要求。
不過從目前來看,這樣的解決方案確實提供了較高的安全性。區塊鏈能解決很多問題,可是不能解決所有問題。或許DApp的某些部分暫時還是需要靠鏈下解決。
爭論:DApp該不該開源?
為什么要在區塊鏈上?可能很多人都會回答:因為區塊鏈公開、透明,更公平。事實卻是:絕大多數EOS上的游戲都沒有開源。
為什么呢?很多開發者都是出于被人發現漏洞的顧慮,開源之后可能會吸引更多黑客攻擊。而EOSDice是眾多類DApp中的一股清流,盡管數次被黑客攻擊,仍然堅持開源。或許之前BM高額獎金懸賞EOS漏洞的經驗開發者們也可以學習一下,使用適當的激勵機制來減小漏洞發現者作惡的可能。
另外還有避免抄襲的說法。不過游戲本身的技術門檻就不是很高,況且代碼開源的初心就是為了能夠相互學習共同進步。
目前DApp玩家最擔心的可能是暗箱操作使得開發者不敢開源,這樣的可能性的確存在。對開發者來說,不愿開源可能會造成相當數量的用戶流失。
BCH硬分叉中的粉塵攻擊與重放攻擊
根據PeckShield的數據統計,11月16日,即BCH硬分叉后的當天,BCHABC和BCHSV兩條鏈上存在341,068筆重放交易;11月18日,在受到不明巨量粉塵攻擊的影響下,BCHABC和BCHSV兩條鏈上的重放交易數高達1,409,055次,達到了百萬級。
由于比特幣現金將于半個月后分叉,2018年11月初起,許多投資者便開始大量屯幣,比特幣現金價格一路飆升到超過600美金。
之前比特幣和以太坊的分叉由于持有者能憑空獲得另外一種新幣種,價格在分叉前也是迅速上漲。然而這次的比特幣現金分叉卻和之前兩次的走向有些不同。
根據CCN的報道,從11月6日到12月6日整整一個月間,BCH的價格跌去了81.6%,從638美金跌倒了117美金。
如果說以往的分叉是由于共識出現分歧,那么這次的分叉可以更多的被認為是兩大利益集團之間的紛爭了。BSV陣營的CSW,Coingeek和CalvinAyre不斷對BCHABC陣營發出威脅,而BCHABC也不甘示弱。
重放攻擊與重放保護
重放攻擊首次引起人們的注意是在以太坊分叉出以太坊經典時,那時候還沒有重放保護的意識。所謂重放保護,即是使分叉后一條鏈上的交易在另一條鏈上無效。
于是當人們從交易所提以太坊到錢包時,會同時從交易所地址提出以太坊經典。這樣一來,把以太坊經典存放在交易所地址的持幣者就遭受了損失。
之前的分叉一般都會實施重放保護,這也通常被認為是分叉成功的表現之一。然而這次雙方均表示不會進行重放保護,大有要爭個你死我活之意。
結果就是,隨著分叉之后交易所陸續開放比特幣現金的存取,存放在交易所內的幣就會被置于極大的風險之中。
對于存放在自己個人錢包里的幣,同樣的風險也是存在的。比如A本來持有20個BCH。這20個BCH并不僅僅是20個單獨的BCH的和,而是多筆output的總和。舉個例子,可能是一個5枚BCH的output,一個8枚BCH的output和一個7枚BCH的output的總和。在分叉之后它們變成了20個BCHABC和20個BCHSV,當他想要轉7個BCHABC給B的時候,這個廣播會被BCHSV也聽到,結果就是他也失去了自己的7枚BCHSV。
如果BCHABC陣營和BSV陣營都不愿做出重放保護的話,那么持幣者就只有靠自己了。
1、分離BCHABC和BCHSV錢包地址:生成兩個不同的地址,BCHABC和BCHSV鏈各一個,然后分別將BCHABC和BCHSV發送到這兩個地址。一旦確認了這兩筆交易,就會保護兩個新地址中的代幣免受重放攻擊。
2、在交易中添加特殊的input:進行BCHABC和BCHSV交易時,在input添加一個特殊的少量分叉后BCHABC/BCHSV的UTXO。由于此UTXO在另一個鏈上無效,因此此交易可防止重放攻擊。這些特殊的UTXO可以由第三方服務生成,也可以由用戶自己生成。分叉發生后Poloniex交易所就是采取這種方法在每筆提幣中都添加一個UXTO來保護用戶資產的。
imToken Product Director產品總監:從 Layer2 賬本本身看到潛在的商業模式:金色財經現場報道,7月9日,金色沙龍第66期Layer2-擴容“空間站”,探索更高維度的破局之道在杭州舉辦,imToken Product Director產品總監阿樹演講表示,如果我們認為區塊鏈是世界賬本,在此之上的Layer2不過是另外一份賬本,那么我們應該尋找什么樣的角度敘述 Layer2,才能觸及原始的模樣和看到未來的圖景呢?賬本會反映故事和商業,黃仁宇從《十六世紀明代之中國之財政與稅收》看到明朝的衰敗的緣由:稅收低,貨幣不穩定才是導致衰敗的起因。而記賬形式的演進,從流水賬到復式記賬,讓人類商業范圍擴大和進化,那么作為世界賬本的區塊鏈會有什么樣的未來?
所以我們可以從記賬角度理解 Layer2 的本質模樣,從 Layer2 賬本本身看到潛在的商業模式。[2021/7/9 0:39:52]
3、在交易中添加特殊的OP代碼:OP代碼僅在兩個鏈中的一個上有效。通過將它們添加到交易的input中,也可以保護交易免受重放攻擊。例如,OP代碼OP_CHECKDATASIG可用于BCHABC的交易,而OP_MUL用于BCHSV交易。
粉塵攻擊
根據PeckShield的數據,BCHABC和BCHSV兩個鏈上均存在一些容量為幾千筆交易的異常區塊,其中包含大量在相同地址間互轉的垃圾小額的交易。
例如:BCHABC鏈上的556846和556843塊,存在一地址qqgusvva8hnjpycgm0pfl6ywlmrcjvad5qlgqtaay5,發起了大量轉給自己的小額交易;
BCHSV鏈上的556821等塊,也有大量不同地址發起轉給自己的小額交易。這些粉塵攻擊可能會造成BCH網絡阻塞,進而拉高交易費用。
粉塵攻擊的防御解決起來就沒有重放攻擊那么容易了。因為粉塵攻擊本質上其實還是拓展性的問題。
擴容、隔離見證、閃電網絡......多種多樣的解決方法被提出來,可是至今也沒有哪種方法獲得了一致的認同。
4.區塊鏈行業看安全
2017年到2018年,區塊鏈成為全民熱點,大量的安全問題也在此時暴露。應用業務層安全和智能合約安全兩部分造成的安全事故,占區塊鏈安全事故總數的80%以上。原因多數為智能合約代碼編寫出現漏洞,或應用層上的權限管理、密鑰管理等漏洞。
根據BCSEC的數據顯示,安全問題主要集中在業務層和合約層,兩者安全事件導致的經濟損失占整個區塊鏈安全行業的98.87%,分別發生了64次和58次,累計損失22.1億美元,共識層安全事件發生了6起,造成經濟損失近2216萬美元,占2018年區塊鏈安全事件經濟損失的0.99%。
加密數字貨幣與個人財產直接相關,因此很容易成為黑客攻擊的突破口。而除去高額的數字資產損失,風險事件給普通民眾心中的區塊鏈打上混亂、無序、不安全的標簽,也降低使用者對加密數字資產的信心,嚴重影響了區塊鏈市場的用戶獲取。
隨著整個行業從初期走向成熟,區塊鏈本身的分布式系統架構和共識機制等技術將有助于提供更好的安全性。由此進行的,加密資產相關產業和區塊鏈應用的各個場景的安全更新,試圖通過最快的優化方式,避免更多的安全事件發生的迭代技術,也將發揮更有效的作用。
為了更好地了解區塊鏈生態對安全的看法,我們與區塊鏈行業的多方參與者進行了溝通,他們包括正在使用區塊鏈技術的團隊、區塊鏈安全團隊、提供區塊鏈技術的公鏈團隊、為用戶提供區塊鏈入口的錢包團隊以及行業內的權威專家。
區塊鏈項目團隊——迅雷
沒有參照物,也沒有具體法規,跟傳統互聯網相比,區塊鏈面臨更大的安全壓力。無論是項目本身的漏洞還是監管風險,區塊鏈項目涉及的具體場景,常見的如加密數字貨幣交易所、底層公鏈提供者,評級機構和數據統計平臺等,這些囊括幾乎所有領域的區塊鏈項目,都或多或少地面臨著安全風險。
區塊鏈安全主要包括應用層安全、智能合約安全、共識機制安全、網絡安全、數據安全、密碼學安全等方面。迅雷鏈底層研發工程師張驍認為,其中任何一個環節出現漏洞,都有可能造成巨大的損失。此前,由于區塊鏈的開發者或使用者對安全的專業性或重視程度不夠,導致許多針對區塊鏈安全的攻擊事件發生。
據不完全統計,區塊鏈技術自應用至今,近10年時間里,因為安全事件造成的損失達數十億美元,而且這個數字的漲幅隨著區塊鏈的普及在逐年遞增。但與此同時,隨著行業逐漸走向成熟,區塊鏈安全的重要性也正在逐漸被大家所重視。
區塊鏈產業仍處在一個非常初期的階段,目前的安全指數還沒有達到當前其他成熟技術的安全程度。區塊鏈的典型特征是數據的不可篡改性,如果出現安全漏洞,后果難以消除。即使解決也要付出巨大代價,如以太坊的安全漏洞,最終導致硬分叉。其次,區塊鏈智能合約必須開源才能達成信任,公開的源碼、虛擬機以及編譯器一旦出現安全漏洞,很容易成為黑客攻擊的對象。
張驍認為,這些給區塊鏈的安全性帶來了更高的要求。但區塊鏈安全正在逐漸被從業所重視,相關應用層的模型安全,和智能合約的代碼審查逐漸被提上日程,加上區塊鏈本身的分布式系統架構有助于抵抗網絡安全攻擊,共識機制可以抵抗來自內部或外部的惡意攻擊。隨著這些技術的發展和成熟,區塊鏈可以達到甚至超過當前這些成熟技術的安全指數。
并且,密碼學的發展也有助于區塊鏈數據隱私安全,通過應用同態加密、零知識證明等技術,區塊鏈上數據的隱私保護將更加安全和完善。以迅雷鏈為例,其目前正在研究同態加密、零知識證明、多方安全計算等技術,并開展合約代碼安全審計等方面的工作,以此能夠滿足用戶和鏈上合作客戶對數據隱私保護的需求,并提升鏈上合約的安全可靠性。
因此,隨著區塊鏈體系的成熟和相關安全技術的發展,以及漸露雛形的監管細則,區塊鏈行業安全的未來是值得期待的。
安全團隊談安全——派盾PeckShield
目前,區塊鏈各大生態都處于發展早期,技術上的薄弱使其容易受到黑客攻擊。并且,安全系統落后,安全防護建設弱于攻擊技術,攻擊事件頻繁發生,已經嚴重影響區塊鏈生態建設的速度。
據PeckShield統計,截至2018年12月31日,公鏈EOS上已經發生49起DApp安全事件,共計損失超過74萬個EOS。這些安全事件合約開發者的建設進程,還嚴重打擊了生態建設者的信心。
PeckShield創始人蔣旭憲認為,區塊鏈安全在技能和系統上,都需要更多的深入,才能更及時地發現漏洞,避免攻擊造成損失。區塊鏈安全存在著顯著矛盾:一方面,智能合約在鏈上公開透明,處于「明處」,處于「暗處」的黑客隨著當前數字資產價值上漲增多,攻擊風險增大。另一方面,整個生態中做安全服務的投入和預估明顯不足,這也使得整個區塊鏈生態面臨著較大的安全威脅,如進入雷區步履艱難。
區塊鏈行業早期的野蠻生長期,合約開發者良莠不齊。PeckShield通過觀察分析發現,雖然攻擊者的攻擊方式在不斷升級,但開發者也會不斷積累受攻擊的經驗加強防御措施。也就是說,如果生態內都是做事的開發者,安全事件的突發只會影響一時,安全意識薄弱與合約開發規范類的安全問題并不能威脅區塊鏈的長遠發展。
如果把目前的區塊鏈安全劃分為非常安全、安全、令人堪憂、極度危險四個等級,蔣旭憲認為現階段的區塊鏈安全,判定為極度危險有些危言聳聽,但確實還未達到安全的層次。行業發展超10年,早期以比特幣為主,鮮少聽說有安全漏洞。隨著公鏈技術逐漸成熟,分散的智能合約以及DApp開發者成為主要被攻擊對象。
受到挑戰是一個生態發展乃至壯大的必經過程,監管的相應法律法規還不夠完善,也間接助長安全事件的發生。但通過混亂時期的歷練,區塊鏈安全的基礎設施才會真正建設起來。目前,區塊鏈整個生態中問題重重,但整體開發環境趨于良性,用戶的參與行為也更加理性。
DApp在競猜類、金融類場景不斷延伸向更多新的應用領域;公鏈在交易性能、處理速度和使用體驗上不斷改進和優化。整體而言,幣圈、鏈圈、礦圈、和DApp圈,都會在寒冬中去偽存真,從價值投機回歸價值投資。
公鏈團隊說安全——唯鏈VeChain
熊市已久,DApp成為區塊鏈唯一活躍的領域,但區塊鏈行業的技術門檻和「重生」亟需新鮮流量的矛盾仍然存在。除操作外,ETH鏈的gas費用,EOS的賬戶創建費用和CPU資源質押等,操作成本的增加將進入門檻提升到更高。最重要的是,頻繁發生的安全事件大幅拉低新用戶對DApp的好感和信任度。因此,盡管更多形式和新機制的DApp層出不窮,DApp的參與者仍然有限。
一個火爆的DApp平均日活僅數千人,需要進行下載錢包,安全保存私鑰,才能轉賬買賣等操作,流程繁瑣且不友好。安全系數不高和操作難度較高使得普通用戶進入障礙重重。如迅雷鏈底層研發工程師張驍所說,隨著區塊鏈與各行各業融合越來越緊密,安全意義已經不再只關系到區塊鏈技術本身,而是與這些已經形成或即將形成的整個區塊鏈應用生態圈息息相關。
區塊鏈安全此前一直被忽視。2018年,公鏈安全事件頻繁發生,原因主要是2018年加密數字貨幣價格上漲,引發人們對區塊鏈的集中關注。唯鏈COO馮藝凱認為,公鏈的安全防御永遠是落后于黑客攻擊的,因為幣價的大幅攀升將黑客的注意力吸引到公鏈的安全漏洞上。
公鏈安全有兩個層次:一是公鏈本身,其安全是個比較難的課題。相對傳統安全領域,代碼都有制定好的供開發者遵循的安全標準,但剛剛興起的公鏈行業并沒有形成安全共識,項目各自為營,行業缺乏成熟的體系和行業標準約束代碼質量。且公鏈運行的公開化,使得開發者忽略的漏洞變得更加容易受到攻擊。第二個層次,就公鏈團隊而言,參與者越來越多,質量參差不齊。大部分跟風進入的團隊不具備相應的安全防御能力,其他大部分為募資而進入的項目方對安全不重視,也是公鏈安全重要原因。
熱門公鏈中,ETH、EOS上已經擁有上百個供用戶選擇的DAPP。就整個行業來說,不同公鏈的安全程度差別較大。運行時間較長的公鏈更成熟,使用者和開發者相對較多,整體安全性也相應較高。但短時間內安全事件很少,并不能保證長期的安全性。團隊硬實力仍需提高。
總體來說,2018年安全被提到一定高度,是行業進步的表現。隨著傳統行業的正規軍加入,項目團隊技術素質將進一步提升,安全性會得到更有效的保障。區塊鏈行業會逐步建立起相對成熟的安全體系。2019年,更多優秀的安全服務機構出現,將逐漸建立起整個行業的安全標準。
錢包團隊——比特派Bitpie
2018年下半年,行業內上萬家交易所和數千個錢包團隊如雨后春筍般出現。短時間內積累的行業繁榮,其實是技術團隊組成人員泥沙俱下。參差不齊的加密數字幣錢包團隊由此組成,缺乏專業素養導致的用戶資產損失和用戶隱私泄漏,以及偽造數據,都成為加密資產錢包的潛在風險。
錢包是所有從業者參與加密數字貨幣交易的必要條件,與用戶的利益直接掛鉤,擁有存儲數字資產的重要功能,安全至關重要。在比特派開發者文浩看來,相比其他安全類攻擊,認為錢包相對安全、風險低的觀點的不正確的。不維護的錢包=不安全的錢包。
以交易所為例,其成為安全事件高發領域,主要原因是交易所里集中且數額巨大的虛擬資產,黑客攻擊交易所能夠直接盜巨額數字貨幣。2018年年末DApp智能合約類攻擊多次出現,也是因為合約里的加密資產。而去中心化錢包因為私鑰在用戶手中,資產較為分散,攻擊所得直接利益誘惑較小,相對交易所顯得相對安全、風險低。
事實上,如果黑客攻入加密錢包的中心化服務器,偽造數據欺騙用戶,獲取收益的可能性會提升。不過此類攻擊的難度較大,需要了解對應錢包的實現邏輯及安全策略等方面的內容。即使僥幸通過每款錢包不同的安全校驗邏輯,仍然有被錢包客戶端識別的可能,操作成功率不高。
加密錢包本身的安全性可以保障,市場的外部因素是拉低錢包安全系數的關鍵。市場錯誤預判下涌入的大批錢包團隊,在熊市越發深入下,將會面臨資金鏈斷裂,進入難以維持正常運營的情況。一些失去基本的迭代開發能力和更新安全升級的錢包,已經威脅到用戶的資產安全。目前的虛擬數字錢包安全情況整體上不容樂觀。
「之前我們曾發現,有團隊在開發錢包時,簽名交易時未遵循RFC6979規范,在安卓系統上使用不安全的SecureRandom隨機數等錯誤,」文浩認為,這些危險的操作手法,是去中心化錢包安全環節最薄弱的緩解——「團隊的技術能力」。
密碼學、點對點數據同步、智能合約、區塊鏈技術等基礎知識,是加密錢包最為基礎的能力配置。但事實上,通過很多開源的加密數字貨幣錢包,一些團隊對開源錢包的UI、皮膚稍作調整,「復制」出新錢包,但團隊并不具備維持錢包安全的能力,因此產品出現安全隱患。
錢包安全事件后果嚴重,開發者的BUG,通常情況下是用戶資產的巨大損失。錢包需要在易用和安全方面找到平衡,為不同用戶、不同需求提供不同安全級別的、軟硬結合的解決方案。通過技術實力積累起公信力,確保用戶加密資產的安全性。2018年這兩方面的提升很明顯。
權威觀點——原中國人民銀行行長周小川
對于新興行業來說,政策變化是市場最大的變數。加密數字貨幣的匿名、去中心特性,一定程度上是國家政府對其保持謹慎的原因。其中,區塊鏈項目募資和加密數字資產交易更是令監管頗為頭痛的一點。因此,在區塊鏈行業快速更迭的過程中,監管的態度和權威人士的觀點、行為,成為決定投資者行為的關鍵因素。也成為投資者恐慌指數的重要構成部分。
年初的加密數字貨幣交易熱潮過去后,相關產業參與熱情逐漸冷卻,投機者也隨著市場冷清退場。此后,代表國家意志和行業發展的言論,無論是上層監管動向還是個人動態,都能在第一時間內造成幣價的大幅度起伏。
其中,影響力最大的是今年3月兩會期間原中央銀行行長周小川對區塊鏈相關領域的定調。周小川行長稱,虛擬資產交易需更加慎重,從中國的角度來講,其不符合國內金融產品、金融服務須服務實體經濟的方向。提醒比特幣為代表的加密數字貨幣不要鉆政策空子。未來的監管將由技術的成熟程度來決定,技術發展是動態的,但前提是不要與現行政策相悖,能夠服務實體經濟而不是造成暴富的投機幻象。
2018年12月財新峰會上,周小川以中國金融學會會長的身份發表演講,對區塊鏈技術的作用有所肯定。他稱區塊鏈技術和分布式賬本技術可能在某些領域中發揮作用,有些關系到未來支付體系。但目前不能確定的是,區塊鏈技術中,去中心化是不是支付體系中最核心的問題。
2018年,整個加密數字貨幣市值整體下跌近90%。如周小川會長所言,飛躍式的技術發展經常會伴隨著風險與扭曲,比如還沒發揮潛在的金融能力,就投放到市場上來當做投機賺錢的工具。幣價泡沫結束后,以技術為核心的項目價值顯現出來。
區塊鏈技術的真正價值開始被應用到具體的場景中。越來越多與區塊鏈技術相關的國家政策和地區優惠相繼確立。區塊鏈成為各地政府政策的扶持對象,各地政府招商引資的重點內容,對區塊鏈初創企業的政策性優惠力度也空前絕后。
2018年以來,國家級的區塊鏈產業相關政策陸續下發。包括教育部、工業和信息化部、國家知識產權局、國家郵政局、商務部辦公廳、國務院辦公廳、中國保險監督管理委員會、財政部、國家發展和改革委員會、國土資源部、交通運輸部等部門,相關政策文件中,都將區塊鏈技術在各部門的業務中應用。
此外,各地政府也開始從政策上為區塊鏈初創企業提供適合生長的土壤,一些地區甚至給出政策性的優惠條件,吸引區塊鏈企業入駐。北京市、上海市、天津省、重慶市、廣東省、江蘇省、浙江省、河北省、安徽省、山東省、福建省、甘肅省等相繼出臺政策,或建立區塊鏈技術試點區域,或開展基于區塊鏈、人工智能等新技術的試點應用。
進入2018年下半年,國內監管的態度從「一刀切」轉向「謹慎接納」。監管趨于穩定給區塊鏈市場帶來穩定的發展機遇,市場整體較少出現劇烈波動。同時,監管帶來的利空風險減少,安全的市場環境下,區塊鏈技術主導型產業發展愈發繁榮。以公鏈為例,目前ETH、EOS、TRON上已有多款應用運行。隨著技術的迭代,內容也隨著用戶反饋不斷變化。目前已形成區塊鏈應用的初步試驗階段。
世界范圍內,區塊鏈技術發展伴隨著監管的升級保障。歐美市場,以現有較為成熟的金融監管體系為基礎,將加密資產交易向證券化推進。但在具體情況上,采取的手法相對保守,重點遏制潛在風險。如SEC拒絕比特幣ETF申請15次,并在年末逮捕并罰款ICO項目方。整體來說,相對國內的只警示不處罰,歐美監管的寬嚴并從對市場有序發展作用明顯。
加密數字貨幣交易產業以馬耳他、新加坡、日本為主,其中,馬耳他因對加密資產交易的寬松態度成為交易所的集中入駐地。新加坡和日本都奉行牌照制,為合格企業發放通行證,一定程度上遏制了跟風者亂入。
較為特殊的是委內瑞拉,在年初發行國家背書的加密數字貨幣石油幣,作為國內通貨膨脹和國際經濟遏制的解決措施,但石油幣并沒有發揮像法定貨幣一樣的作用。目前來看,國家發行數字貨幣仍是一個大膽的嘗試,結果尚不可預測。
總結
2018年,區塊鏈引領著中國進行了一場關于技術和金融的混亂試驗,近20年以互聯網技術為核心的獨霸局面開始傾斜,區塊鏈成為繼大數據風口之后,和人工智能、物聯網并列的未來最有價值的三大戰略技術。充斥著暴富幻象和投機心態的技術試驗,在過度夸大作用和故意炒作下,給人們關于未來的更多思考。
去中心化思想,被賦予看似無限的神奇功能,成為所有跟人性有關事件的解藥。加密匿名性,被看作隱私泛濫的救星,不可篡改和偽造則成為存證溯源的關鍵。每一個直擊痛點的特點,背后都是區塊鏈技術對應的與以往全然不同的技術公開化,操作匿名化,行為透明化。區塊鏈賦予人們的,是能夠改變未來的無限可能。
經過一整年的高速發展,行業在亂象叢生中逐漸沉淀,區塊鏈的真正價值重要性被挖掘。國家層面上,很多國家將區塊鏈技術加入到國家鼓勵發展的戰略技術名單,越來越多在互聯網賽道上屈居二線的企業也將區塊鏈技術看作是新一輪技術革命制勝的關鍵。國際上,更多國家加大對區塊鏈研究經費的投入,全球統一的「區塊鏈標準」也正在構建。
總體來看,技術層面,區塊鏈已經擺脫了「投機」「暴富」「比特幣」等負面和片面標簽,分布式數據存儲、點對點傳輸、共識機制、加密算法,區塊鏈技術的核心特點完成基礎普及階段。行業發展從投機過渡到穩定的模式研發階段,以DAPP的迭代為代表,行業共識和規范在技術更新中逐漸形成。
在發展的過程中,區塊鏈技術落地的主要問題還是效率和匿名的矛盾性,但二者的取舍取決于產品的具體場景,不能一概而論。其次,區塊鏈技術的安全保障目前仍存在較大問題。一方面是區塊鏈產品本身的代碼運行時間短,前期試錯需要一定時間。另一方面,從業者能力參差不齊造成的安全隱患。隨著更多傳統安全機構進入,這種不安全因素會大量減少。
目前,加密數字貨幣相關產業發展逐漸正規化,以歐美資本市場為主的金融證券化金融屬性歸類,豐富了原有金融市場,也會使得證券形式更加多元化。從亂象頻出到產品迭代,區塊鏈領域是目前唯一一個沒有監管介入而自發完成市場凈化的領域。更深入后,區塊鏈技術將掀起經濟和產業格局大變革。
本文來源于非小號媒體平臺:
區塊律動BlockBeats
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627126.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
知道創宇404實驗室披露2018年信息安全相關國際大事件
據DappReview監測,波場DAppTronBank于4月11日凌晨1點遭到假幣攻擊,1小時內被盜走約1.7億枚BTT.
1900/1/1 0:00:00據外媒消息,美國國土安全部計劃設計一個監控匿名加密貨幣的新系統,重點監測門羅幣以及Zcash等匿名性強的加密貨幣.
1900/1/1 0:00:00Yesterday,inManhattan,BitfinexandTetherfiledamotiontodismisstheproceedingbroughtbytheNewYorkAttor.
1900/1/1 0:00:00火星財經APP一線報道,5月22日18:00,火幣全球站啟動PrimeDay活動,通過火幣Prime打折出售188枚BTC.
1900/1/1 0:00:00比特幣作為加密貨幣第一次被賦予“貨幣”的意義,是2010年5月22日,美國程序員拉絲勒·豪涅茨用1萬個比特幣購買兩塊披薩。但彼時,比特幣作為有價值的貨幣還缺乏社會認同.
1900/1/1 0:00:00來自加密貨幣交易所Bitfinex官方的消息稱,紐約最高法院法官JoelCohen已簽署了一項命令,批準了Bitfinex和Tether反對總檢察長提出的“文件要求”動議.
1900/1/1 0:00:00