比特币:你玩的Dapp真的安全吗?Trustlook反编译平台给程序员风险提示

只要谈到区块链、以太坊就必定离不开“智能合约”这个词,由于具备了最基本的图灵完备性,开发者可以基于以太坊完成各种应用的开发。据Odaily星球日报2月25日发布的ETH周报显示,目前ETH链上Dapp开发累计至1602个,“类”、“交易所”仍然是目前ETHDapp生态中日活以及交易额最高的两大应用。智能合约为以太坊社区注入了生机,促成了生态的繁荣,但也带来了各种各种各样的安全问题。基于智能合约的各类Dapp真的靠谱吗?类游戏真的就如其说明书所言的公平吗?Odaily星球日报最近接触的安全公司Trustlook在2019年1月发布了基于二进制智能合约反编译开放平台SmartContractInsight。据Trustlook创始人AllanZhang介绍,他们认为,让区块链变得更安全的唯一路径是从工具的角度重建区块链社区——打造一个可用的工具,让区块链代码可读,漏洞可被发现,从而做到真正的开源和共建。很多Dapp的合约都没有开源,或是处于半开源状态,对用户来说,代码是否安全需要考量。机器语言是用二进制代码表示的一种计算机能直接识别和执行的一种机器指令,在智能合约中,业界称为二进制的EVM代码。也就是说,在目前的状况下,社区里的开发者如果对某一份智能合约产生了兴趣,想要去了解它的功能甚至查找漏洞,只能够接触到二进制代码,对于大部分程序员而言,这是较大的障碍。

谷燕西:美国货币监理署的政策影响的不只是美元数字货币:针对“最近美国货币监理署(OCC)发表了一份政策说明信”,谷燕西发文指出:在这份政策说明信中,OCC明确表明美国的联邦银行和储蓄机构可以参与成为INVN的节点,并使用稳定币作为支付手段。 OCC的这个政策不仅仅会决定美元数字货币的发展,同时也会对金融行业的发展带来本质上的改变。这些改变会具体发生在以下几个方面:

第一、美元CBDC在未来的几年中不会推出;

第二、会有更多的美元稳定币在市场中出现;

第三、会促进美元在更广范围内的使用;

第四、会推动加密数字金融设施的建设和推广;

第五、会促进美元以外的数字稳定币的产生和流通;

第六、给美国银行业带来更大的挑战和机会。[2021/1/8 16:42:56]

未编译的机器代码长这样“反编译开放平台”这个概念听起来有点拗口,简单来讲就是将二进制的机器代码或通过合约地址逆向成人类可读的计算机高级语言,并根据结果作出风险提示。目前提出的漏洞包括:整数数值溢出漏洞、重入攻击漏洞、外部调用返回值未校验漏洞、tx.origin依赖漏洞以及时间戳依赖漏洞等,用灰底的“//ISSUE:”提醒。据介绍,整数数值漏洞说明币有无限增发风险;重入攻击最有名,著名的DAOattack就是这个漏洞造成的,它最造成攻击者重复调用取款函数,一直将合约账户中的所有代币取走;外部调用返回值是指,智能合约在地址上执行操作的底层方法,比如:address.call()、address.callcode()、address.delegatecall()和address.send。这些底层方法不会抛出异常(throw),只是会在遇到错误时返回false。在合约中调用外部合约时,应该对返回值进行判断。如果没有判断,那么调用者可能会误判交易是否成功,对于交易所造成财产损失;tx.origin依赖漏洞是指,不慎使用tx.origin进行鉴权认证有可能带来钓鱼攻击。时间戳依赖漏洞指的是一些类的Dapp使用时间戳来生成随机数,会造成类应用结果可预测,这样攻击者可以直接赢得的奖励。举个例子,我们从以太坊上选择一个211b合约地址,如:0x20B5c52d43a87ae8B375670d47D572681753211b,将这个合约地址用SmartContractInsight平台“破解”,可以得到:

谷燕西:BTC矿工可利用期权作为交易工具对冲市场风险,获得稳定收益:12月15日,区块链和加密数字资产研究者谷燕西发表专栏文章称,在应对比特币的市场风险方面,目前比较普遍采用的金融工具是期货。矿工可以采用期货来保证其在一个合适的价格将其能够生产的比特币卖出。他指出,期货作为一个对冲工具,有其优势。这些优势包括杠杆的特性,底层价格连续变化,能够支持的交易的数量巨大等等。但期货也有其局限性,包括功能比较单一和单边风险非常大。他在文中表示,同期货相比,期权对个体比特币矿工来说更加适合用来作为交易工具来对冲市场风险和获得稳定的收益。利用期权做多的交易方的下限风险只是为此支付的权利金。只有做空的一方才有巨大的风险。而且可以利用期权制定各种交易策略,以实现套利或保值的目的。对于比特币矿工来说,了解市场提供的比特币期权的特点,就有可能找到对自己更适合的交易工具。他们可以利用自己的比特币赚取稳定的收益,或防范下行风险。[2020/12/15 15:13:08]

编译后的高级语言及风险提示SmartContractInsight平台在提醒时用提醒风险或异常,方便判别合约安全性。我们可以看到,刚刚的合约地址反编译后得到的代码有整数溢出风险,也就是说,如果这是一个发币平台,就意味着这个币有无限增发的风险。目前SmartContractInsight平台免费开放,但如果对二进制合约有更详尽的了解需求,平台也提供人工审核部分,收部分安全费用。目前该平台支持以太坊或基于EVM代码的合约检测。作为工具,操作非常简单,但如果能根据编译结果沉淀出一些分析结果或许更好。智能合约的安全问题一直被行业关注。此前,安全公司CertiK发布智能合约自动检测引擎CertiKAutoScanEngine,并对Etherscan平台进行了技术集成与大规模的通证安全检测;评级机构RatingToken面向C端上线其智能合约查询检测功能,同时为B端提供智能合约实时监测功能。Trustlook是位于硅谷的移动安全解决方案提供商,多年来服务于华为、亚马逊、高通等一线软硬件厂商,创始人AllanZhang曾是PaloAltoNetwork的创始安全工程师,团队目前17人,均属研发团队。公司于2015年完成1700万美元A轮融资,挚信资本领投,星元资本、线性资本等跟投。我是Odaily星球日报记者遂心,加好友烦请备注姓名、单位、职务和事由。

谷燕西:数字稳定币竞争优势是其底层清算结算系统及相应的配套设施:9月7日,区块链和加密数字资产研究者谷燕西发表专栏文章《从USDT到Libra,分析数字稳定币的商业模式》称,数字稳定币的竞争优势就是其底层清算结算系统以及相应的配套设施。譬如对于在以太坊上发行的数字稳定币来说,经营方完全不必另外开发底层清算结算系统,支付终端方面的工作也会非常少。另外,由于以太坊的全球性,所以它可触及的用户的范围非常广。这些优势是通常的金融机构所不具备的。与此同时,他还表示,这样的一些优势并不能保证这样的机构能够只依据稳定币来获得足够的收入。对于数字稳定币的经营方来说,只有在一个能够充分发挥数字稳定币优势的具体应用场景,才能保证这个数字稳定币的持续经营。从另外一个角度说,如果一个数字稳定币是作为一个通用性质的数字货币推向市场,那么这个商业模式就很难持续下去。如果是这种情形的话,这个稳定币的规模越大,其失败的几率也就越大。[2020/9/7]

声音 | 谷燕西:比特币在过去这一段时间的增长主要得益于各种ICO产生的数字资产:CBX研究院创始人谷燕西表示,自2017年3月以来,比特币重新占据加密数字资产总量70%。对此的一些相关思考。

1, 比特币在过去这一段时间的增长主要得益于各种ICO产生的数字资产。

2, 在可预计的未来,不可能有更多新类型的数字资产进入市场。比特币不可能因为同样的原因产生增长。

3, 在可预见的未来,比特币的价格主要是市场投机所决定。在CME和Bakkt交易的机构投资者将会是决定比特币价格的主要力量。

4, 投机者只关心导致价格变动的各种因素,不管其底层是大豆还是黄金。鉴于比特币的总量有限,而且产出越来越少,其交易价格变化应该更加类似于黄金。[2019/9/6]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:15ms0-7:590ms