專注于智能合同安全，由具有多年一線網(wǎng)絡安全經(jīng)驗的團隊成員組成，精通區(qū)塊鏈和智能合同的基本原則，具有完善的區(qū)塊鏈漏洞挖掘和智能合同審計能力，可提供全面的威脅建模、合同審計、應急響應服務，幫助許多知名區(qū)塊鏈項目發(fā)現(xiàn)和修復安全漏洞，致力于保護用戶數(shù)字資產(chǎn)的安全和隱私。
背景介紹
2021年上半年，DeFi領(lǐng)域安全事件不斷，風險不容忽視。根據(jù)公布的數(shù)據(jù)，安全事件多達52起，公布的損失金額超過8億美元。如果加上尚未公布具體損失金額的事件，預計總損失在10億美元左右。與去年相比，2020 年發(fā)生了 60 次 DeFi 安全攻擊，損失2. 5 億美元。2021年上半年，攻擊總數(shù)接近去年全年，損失增加了三倍多。
2021區(qū)塊鏈項目于今年上半年報告，DeFi該領(lǐng)域由以太坊統(tǒng)一，BSC、Heco、Polygon一個接一個地爆發(fā)。每個公共鏈平臺也呈現(xiàn)出不同的安全趨勢。隨著區(qū)塊鏈生態(tài)的不斷發(fā)展，各種各樣的DeFi項目如雨后春筍般涌現(xiàn)，用戶覆蓋面越來越廣，資金也越來越多。項目和平臺都應該對產(chǎn)品和用戶的資產(chǎn)負責。作為項目方，您應該對項目安全和用戶資產(chǎn)安全負責，對風險有足夠的敬畏，多輪審查和檢查項目代碼，建立應急響應機制；作為一個平臺，你應該提高項目準入門檻，做好工作檢查。
報告內(nèi)容概述
以太坊：建造生態(tài)安全圍城，攻擊顯著減少
隨著新興公共鏈生態(tài)的興起和以太坊攻擊門檻的提高，黑客的目標已經(jīng)轉(zhuǎn)向了更容易攻擊的公共鏈生態(tài)。以太坊內(nèi)部的安全意識和項目保護實力得到了增強，更多的新興生態(tài)得到了關(guān)注。結(jié)合兩者，2021年上半年對以太坊生態(tài)系統(tǒng)的安全攻擊將顯著減少。
BSC：安全事件發(fā)生率高，形勢不容樂觀
5月中旬以來，BSC生態(tài)項目經(jīng)常受到攻擊，其中許多以同樣的方式受到攻擊。據(jù)統(tǒng)計，僅5月份，BSC鏈上的攻擊損失超過了2.6億美元。這個數(shù)字占 。DeFi 上半年總虧損近30%。
Ploygon：多個項目突然歸零，發(fā)出危險信號

6 區(qū)塊鏈項目于28日報告，Polygon 上述算法穩(wěn)定幣項目遭到黑客攻擊。攻擊者利用合同鑄造漏洞增發(fā) 83萬億 SDO 穩(wěn)定幣，從池中提取了約25萬美元的代幣。美分瞬間從 1.$07 跌至零。項目歸零前，Polygon 在 6 月份發(fā)生了兩個事件，當時鏈上項目歸零。以 Ploygon以 為代表的新興公共鏈正在釋放危險信號。
2021今年上半年，市場上有100個主流區(qū)塊鏈項目，包括100個主流區(qū)塊鏈項目ETH、BSC、Heco公共鏈平臺（項目列表見附件1），高級88個覆蓋自動掃描語言層、虛擬機層、區(qū)塊鏈層和業(yè)務層的常見安全問題（項目列表見附錄2）。共發(fā)現(xiàn)12907個安全問題，報告將從漏洞位置和危害等級分布的角度分析相關(guān)數(shù)據(jù)。
分布風險位置
智能合約的安全威脅主要來自安全漏洞。根據(jù)智能合約的運行環(huán)境、生命周期和程序特點，智能合約的安全漏洞主要來自高級語言、虛擬機、區(qū)塊鏈和商業(yè)邏輯四個層次。
本次掃描發(fā)現(xiàn)的安全問題集中在高級語言層，共8664個。具體分布如下:
高級語言層
高級語言是開發(fā)人員編寫智能合同的工具。開發(fā)以太坊智能合同最常用的語言有很多高級語言。高級語言水平對智能合同的安全威脅主要有兩個原因。一是引入高級語言本身設計缺陷的安全問題，二是開發(fā)人員在編寫高級語言的過程中因代碼質(zhì)量問題引入的安全問題。漏洞。情況感知數(shù)據(jù)顯示，漏洞主要集中在不受限制的狀態(tài)變量寫入、不規(guī)范的命名、過時不穩(wěn)定的版本
虛擬機層
虛擬機是編譯后的智能合同字節(jié)碼執(zhí)行器。以太坊技術(shù)黃皮書中定義了以太坊虛擬機的設計規(guī)范及其字節(jié)碼，是以太坊客戶實現(xiàn)以太坊虛擬機的各種標準指南。虛擬機級別的安全威脅主要包括兩個方面。一是以太坊黃皮書中智能合同字節(jié)碼規(guī)范的設計和運行機制本身存在一些缺陷。嚴格按照手動執(zhí)行引入的問題。情況感知數(shù)據(jù)顯示，漏洞主要是進入漏洞，其中進入混亂造成的漏洞最多為463個。
區(qū)塊鏈層
智能合約依賴于區(qū)塊鏈來提供分散、不變和信任。區(qū)塊鏈平臺也對智能合約的運行產(chǎn)生了很大的影響。對于智能合約，區(qū)塊鏈雖然是其安全和信任的基礎，但區(qū)塊鏈本身的許多特點也給智能合約帶來了安全風險。情況感知數(shù)據(jù)顯示，區(qū)塊鏈層的漏洞主要集中在缺乏隨機性和時間戳依賴性，其中1298缺乏隨機性。
業(yè)務邏輯層
區(qū)塊鏈項目的業(yè)務邏輯越來越復雜，業(yè)務安全問題也越來越多。DeFi 例如，資產(chǎn)凍結(jié)和缺乏申報不是由簡單的編碼錯誤引起的，而是與業(yè)務邏輯設計密切相關(guān)。因此，在項目啟動之前，應進行嚴格的業(yè)務流程測試，并仔細分析設計中的薄弱環(huán)節(jié)，以防止業(yè)務問題的發(fā)生。情況感知數(shù)據(jù)顯示，業(yè)務漏洞主要集中在可聲明為1、565的公共功能上。
威脅等級分布
漏洞本質(zhì)上是無意或無意的安全漏洞或風險。結(jié)合國家區(qū)塊鏈漏洞庫區(qū)塊鏈安全漏洞庫區(qū)塊鏈安全漏洞分類規(guī)則[2]，結(jié)合業(yè)務特點和應用場景，將威脅等級分為高、中、低、新聞四個等級。主要是危害程度和使用漏洞的難度，輔以其他因素。危害程度主要根據(jù)機密性、完整性和可用性、完整性和可用性；難度主要根據(jù)攻擊向量、攻擊復雜性和認證。
情況感知數(shù)據(jù)顯示，智能合同的安全問題主要集中在新聞層面，共有7658個漏洞。詳情如下：
高風險漏洞
高風險漏洞一般是指利用中低難度漏洞，對智能合約的機密性、完整性、可用性或經(jīng)濟模型產(chǎn)生不利影響，會給合同業(yè)務系統(tǒng)造成大量經(jīng)濟損失，不能在當?shù)厥褂?。功能、大?guī)模數(shù)據(jù)混淆、權(quán)限管理。失控、關(guān)鍵功能故障、可信度喪失等嚴重不可逆轉(zhuǎn)的危害，或間接影響其他相關(guān)智能合約的正確運行，造成巨大損失。情況感知數(shù)據(jù)顯示，高風險漏洞主要集中在隨機性和簽名重放上，其中隨機性不足1298個。
中等脆弱性
風險漏洞主要分布在危險方程、無資產(chǎn)可重入性和未使用收益值中。其中，有326個危險方程。
低嚴重性漏洞
低風險漏洞主要是由于混亂和零地址驗證的缺乏。其中，混亂的原因最多， 468 。
消息錯誤
新聞漏洞危害低，成本高，難以使用。情況感知數(shù)據(jù)顯示，它們主要分布在公共函數(shù)、過時和不穩(wěn)定的版本和公共函數(shù)中。最多有1641個功能。
業(yè)務風險分析
本次抽樣的100個項目類型包括：收入聚合、分散交易所、貸款、NFT、衍生品、穩(wěn)定貨幣等。報告從業(yè)務介紹、風險分析和典型案例三個方面系統(tǒng)分析了不同業(yè)務可能存在的安全風險和預防措施。
原理分析
如何知道如何防止未知的攻擊。結(jié)合今年上半年100個項目和數(shù)十起典型安全事件的綜合審計結(jié)果，從重新進入漏洞、權(quán)限漏洞、密鑰泄露、閃存攻擊、業(yè)務漏洞五個方面闡述了攻擊原則。分析它，并提出安全修復建議。（本報告僅供技術(shù)交流，不得使用以下方法，否則后果將自行承擔）。
安全建議
智能合約是在區(qū)塊鏈上部署和運行的程序。借助區(qū)塊鏈，智能合約可以實現(xiàn)各種分散應用（DApps）。和傳統(tǒng)程序一樣，智能合約的漏洞是不可避免的。然而，區(qū)別在于，智能合約在一個更開放的環(huán)境中運行，本質(zhì)上是的，升級成本非常高。這意味著它對安全有更高的要求，任何缺陷都可能帶來不可預測的后果。為了構(gòu)建智能合約安全系統(tǒng)，本報告從技術(shù)安全、業(yè)務安全、安全服務等方面提出了實用的建議。

熱點：ETH NFT 代幣 以太 以太坊 區(qū)塊鏈 數(shù)字資產(chǎn) 數(shù)據(jù)