团队介绍
同福盾区块链安全团队(sharkteam)专注于区块链和智能合约安全。它由在前线网络安全和区块链作战方面具有多年经验的团队成员组成。精通区块链和智能合约的基本原理,拥有完善的漏洞挖矿和智能合约审计能力,能够提供全面的威胁建模、合约审计和应急服务,帮助多个知名区块链项目发现和修复安全漏洞,并致力于保护用户数字资产的安全和隐私。
quot;数学,我们相信!quot;
内容概述
智能合同的概念是由计算机科学家、法学家尼克·萨博在20世纪90年代提出的。它是区块链的重要组成部分,极大地拓展了区块链的应用场景和现实意义。目前,区块链和智能合约技术已广泛应用于股权众筹、游戏、保险、供应链、物联网等领域。
然而,随着区块链和智能合约产业的不断发展,以下安全事件也在不断爆发。与普通程序相比,智能合约更容易成为攻击者攻击的目标。一方面,智能合约通常用于管理区块链平台上的数字资产,对智能合约的攻击可能给攻击者带来更高的经济价值;更重要的是,引入智能合约的初衷是借助区块链的特点来保证合约的可信,而智能合约的漏洞会使合约出现意想不到的行为,从而可能变成“不平等合约”,失去了智能合约最根本的意义。
仅在2021年第一季度,sushiswap第二次受到攻击,alpha finance和cream受到攻击,year.finance受到攻击,FuruCombo受到攻击,paid network受到攻击,Dodo fund pool被偷,roll受到攻击,easyfi密钥的泄露和一系列安全事件的发生,不仅给用户造成了巨大的经济损失,也使得智能合约的公平性和安全性受到了挑战和质疑。一次次的攻击表明智能合约的安全形势十分严峻。研究智能合约的安全漏洞,确保其安全性,已成为当务之急。
一季度,同福盾区块链安全团队选取了41个主流区块链项目,扫描了75个常见的安全问题,涉及高级语言层、虚拟机层、区块链层和业务逻辑层。共发现2192个安全问题,《同福墩2021q1智能合约安全态势感知报告》(以下简称《报告》)从漏洞位置分布、危害等级分布和项目类三个方面分析了相关数据。
漏洞位置分布
智能合约的安全漏洞主要来自四个层面:高级语言、虚拟机、区块链和业务逻辑。
报告数据显示,目前智能合约的安全问题主要中心化在高级语言层,共发现1500个问题。具体分布如下:
L高级语言层
高级语言是开发人员编写智能合约的工具。以太坊智能合约开发有许多高级语言,其中SOLidness是最常用的。高级语言对智能合约的安全威胁主要有两个原因。一是由于高级语言本身的设计缺陷造成的安全问题,二是在编写高级语言的过程中忽视代码质量造成的安全漏洞。报告数据显示,漏洞主要中心化在“命名不规范”、“编译器版本不一致”、“实体版本过时”等方面,其中“命名不规范”漏洞最多,达517个。
L虚拟机层
虚拟机是智能合约的编译字节码执行器。以太坊技术黄皮书中定义了以太坊虚拟机的设计规范及其字节码,这是以太坊各客户端实现以太坊虚拟机的标准说明手册。虚拟机级别的安全威胁主要有两个方面。一是以太坊黄皮书设计智能合约的字节码规范和运行机制存在缺陷。另一个是以太坊的不同客户端在实现虚拟机的过程中,由于没有严格按照手册进行实现而带来的问题。根据报告数据,主要问题是再入漏洞,其中62个是由“无序”引起的。
L区块链层
智能合约依赖区块链提供去中心化、防篡改和信任功能。区块链平台对智能合约的运作也有很大影响。对于智能合同而言,Buffic链是其安全性和可信性的基础,但BBITH本身的许多特性也会给智能合同带来安全隐患。报告数据显示,区块链层的漏洞主要中心化在“随机性不足”和“时间戳依赖性”两个方面,其中“时间戳依赖性”最多,有17个。
L业务逻辑层
目前,区块链项目的业务逻辑越来越复杂,同时也面临着越来越多的业务安全问题。以DeFi为例,资产冻结、链上私有数据未加密、缺少对外声明等问题并不是简单的编码错误造成的,而是与业务逻辑设计关系更为密切。因此,项目上线前应进行严格的业务流程测试,认真分析设计中的薄弱环节,防止业务问题的发生。报告数据显示,“对外申报缺失”出现频率最高,为473起。
威胁等级分布
脆弱性的本质是无意和意外的安全缺陷或风险。以国家区块链漏洞数据库《区块链漏洞分类细则》为基础,结合业务特点和应用场景,将威胁级别划分为高、中、低和消息四个级别。以危害程度和利用难度为主,其他因素为辅。危害程度主要由三个维度定义:保密性影响、完整性影响和可用性影响;根据攻击向量、攻击复杂度和认证,定义了使用难度。
报告数据显示,智能合约的安全问题主要中心化在消息层面,共发现1785个漏洞。具体分布如下:
报告对每一威胁级别的漏洞进行了详细分析,以“高风险”漏洞为例:高风险漏洞一般是指低、中利用难度,对智能合约的保密性、完整性、可用性或经济模式有不良影响,并且会给合同业务系统造成很大的经济损失,本地功能不可用,海量数据混乱,权限管理失控,关键功能失效,信誉度下降,或间接影响其他相关智能合约的正确运作,造成大量损失等严重且最不可逆的危害。报告数据显示,高风险漏洞主要中心化在“影子状态变量”、“任意地址发布以太网货币”、“修饰符中的外部变量”、“修饰符修改状态变量”等,其中“修饰符中的外部变量”最多,有11个。
项目类分布
选定的41个项目包括:抵押贷款、现货交易、稳定币交易、保险和保险;衍生品交易、支付和;财务管理、锚货币等。
报告数据显示,当前安全问题主要中心化在现货交易项目上,已发现漏洞1084个。分布情况如下:
攻击原理分析
报告根据一季度41个项目、8起典安全事件的综合审计结果,从合同漏洞、密钥泄露、经济攻击、流量攻击、算力攻击五个方面分析了相关攻击原则,并提出了防范建议。
L合同漏洞
智能合约本质上是在区块链上运行的一段代码,极大地扩展了区块链的业务范围。同时,区块链也为智能合约提供了更好的运行环境。部署在区块链上的智能合约具有开放、透明、自动独立执行、不可更改、自然经济属性、承载数字资产等特点,因此智能合约越来越受到黑客的关注和攻击。由于智能合约大多是开源的,黑客可以研究现有的合约漏洞,并根据发现的合约漏洞发动攻击,给用户造成巨大的经济损失。
L密钥泄漏:
区块链账户地址属于匿名账户,其安全性完全取决于账户对应私钥的安全性。持有帐户的私钥相当于对帐户及其资产拥有绝对控制权。
智能合约中一些特殊账户的安全性对整个合约乃至整个项目都有很大的影响,比如业主账户和薄荷账户。如果您掌握了私钥,就可以使用这些帐户对合同进行一些非法操作。如果您拥有所有者帐户的私钥,可以使用所有者帐户直接调用所有者地址验证,从而对合同进行重新初始化、随意修改状态变量等非法操作;如果你拥有投币账户的私钥,就可以使用投币账户的无限投币,然后盗取大量数字资产,造成账户的重大损失。Roll受到攻击的原因是用户帐户的私钥被黑客窃取,这是一个典的大量资金被盗的安全事件。
L经济攻击:
DeFi项目的业务逻辑设计复杂,一年来利用flashloan新产品进行攻击的DeFi事件层出不穷。造成这些安全问题的深层次原因在于在业务逻辑的设计中没有考虑到一些关键因素,如:柔性供应机制、增发机制、清算机制的设计不合理,价格等链上信息可以被低成本操纵,从而导致恶意套利、恶意增发等问题。攻击者可以操纵AMM资产池中的资产价格或资产数量,使相关协议遭受损失,称之为经济攻击。迄今为止,经济攻击通常分为套利和操纵两种方式。
L交通攻击:
区块链网络中的流量攻击称为分布式拒绝服务(DDoS)攻击。这意味着网络被大量的流量或特定信息故意淹没,导致系统崩溃。此类攻击的目标通常是知名企业(如中心化交易平台)。这些攻击通常不是为了获取个人信息或劫持系统,而是为了制造巨大的混乱。本质上,发动此类攻击的黑客相当于网络恐怖分子。
DDoS攻击是难以避免的,但我们也可以让更多的用户加入到分布式网络中,更好地抵御DDoS攻击,增强网络的安全性。此外,区块链技术还允许网络用户租用额外的带宽来支持那些流量过载的网络。这样,DDoS攻击的成功率将大大降低。
L强力攻击:
当恶意协作节点控制的算力超过诚实节点控制的算力时,系统就有被攻击的风险。这种由控制50%以上算力的恶意节点发起的攻击称为51%算力攻击。
一般来说,基于POW共识机制的加密货币具有51%算力的攻击威胁,如比特币、bitcash和以太坊;无POW一致性的加密货币算法可以避免51%的算力攻击,如基于dpos一致性机制的EOS和Tron攻击。
安全建议
智能合约是在区块链上部署和运行的程序。借助区块链,智能合约可以实现各种去中心化应用(DAPP)。与传统项目一样,智能合约也不可避免地存在漏洞。然而,不同的是,智能合约运行在一个更开放的环境中,具有固有的财务属性和较高的升级成本。这意味着它对安全性有更高的要求,OKEX交易所的任何缺陷都可能带来不可预知的后果。构建智能合约安全体系,我们建议重点从以下几个方面着手。
L技术安全
智能合约安全本身就是一个高度系统化和专业化的项目。需要综合考虑合约平台的底层安全、合约设计与实现安全、合约生态工具安全、合约交互与数据安全等方面。OKEX交易所的15个环节中任何一个小问题都会留下很大的隐患。
L商业安全
作为去中心化应用的核心部分,智能合约也需要可靠的设计。糟糕的设计可能会带来难以检测的深层次安全问题,而这类问题通常不容易通过扫描源代码来检测。智能合约设计者需要综合考虑业务逻辑、多角色权限和游戏、区块链共识等因素。在契约业务逻辑的设计和实现中,应该没有明显的安全问题。
有些智能合约会被管理员控制,有些管理员甚至拥有非常高的特殊权限,在特定场景下会威胁到其他用户的资产安全。对于智能合约的安全性,一方面需要警惕超级管理员的恶行,另一方面需要考虑管理员身份被盗的后果。接口调用权限和管理员权限需要明确划分。
L安全服务
作为区块链平台上数字资产管理的重要组成部分,智能合约的安全性将受到越来越多的关注。智能合同项目方应与具有专业安全能力的服务提供商合作,提高智能合同的安全性。
通富盾区块链安全团队为客户提供先进的区块链安全服务,区块链安全专家团队为智能合约提供7*24小时全生命周期安全保障,包括VIP安全审计服务、VIP合规审计服务、安全事件应急响应等。,帮助客户构建智能合约安全体系。项目方可参考同福盾区块链安全团队的安全建议,从设计、开发、测试、审核到部署、监控和应急响应,完善合同开发和发布流程,保障智能合同的全生命周期安全。
获取同福盾智能合约2021q1安全态势感知季报
关注“同福盾”的订阅号,后台回复“智能合约”关键词,下载完整报告。
文章链接:https://www.btchangqing.cn/246938.html
更新时间:2022年12月04日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
