答：并非如此。例如“外溢”和“外部調(diào)用”等常見的區(qū)塊鏈智能合約網(wǎng)絡安全問題并不是最危險的。在SharkTeam合同安全性系列課程的【十大區(qū)塊鏈智能合約安全風險】中，第九課將詳細討論提案攻擊等安全風險，這些風險是從產(chǎn)生次數(shù)和不良影響上可以稱之為Top10的。

一、什么是提案攻擊？

在區(qū)塊鏈技術自治組織（DAO）中，參與者會提出關于未來協(xié)議書更新、資金分配等提案，為使提案生效需要進行投票，參與者必須持有相應的整治代幣。擁有整治代幣的持有人可以進行提案、投票、執(zhí)行一系列主題活動。

盡管提案整治有益于基本建設區(qū)塊鏈技術未來的發(fā)展，但也存在缺點。整治代幣擁有者占比小的消費者會采取客觀冷淡心態(tài)參與整治，進一步造成DAO內(nèi)投票權的去中心化，進而致使極少數(shù)人擁有主導權。擁有較多整治代幣的消費者則擁有過多投票權。因此，攻擊者可以通過獲得充足的投票權重構標準，或危害整治代幣持有者進行有偏見的投票。這種行為被稱為提案攻擊。

二、攻擊事件分析

2.1 BeanstalkFarms

2022年4月17日，新項目BeanstalkFarms遭網(wǎng)絡黑客攻擊，損失超過8000萬美元，包括24830ETH和3600萬BEAN。

攻擊全過程如下：

（1）從Aave平臺通過閃電貸籌集資金350MDAI、500MUSDC和150MUSDT，在Uniswap和SushiSwap平臺借款32.1MBEAN和11.6MLUSD。

（2）將所籌資金的DAI、USDC和USDT全部投入到CurveDAI/USDC/USDT流動性挖礦軟件中，鑄造出979,691,328個流動性代幣3Crv。

（3）將15M3Crv兌換成15,251,318LUSD，將964,691,3283Crv加上流動性得到795,425,740BEAN3CRV-f，將32,100,950BEAN和26,894,383LUSD加上流動性后，獲得58,924,887BEAN3CRV-f。

（4）利用所得到的所有BEAN3CRV-f代幣進行

熱點：區(qū)塊鏈 智能合約