报告区块链项目发布2021年上半年智能合约安全情况感知报告

专注于智能合同安全，由具有多年一线网络安全经验的团队成员组成，精通区块链和智能合同的基本原则，具有完善的区块链漏洞挖掘和智能合同审计能力，可提供全面的威胁建模、合同审计、应急响应服务，帮助许多知名区块链项目发现和修复安全漏洞，致力于保护用户数字资产的安全和隐私。
背景介绍
2021年上半年，DeFi领域安全事件不断，风险不容忽视。根据公布的数据，安全事件多达52起，公布的损失金额超过8亿美元。如果加上尚未公布具体损失金额的事件，预计总损失在10亿美元左右。与去年相比，2020 年发生了 60 次 DeFi 安全攻击，损失2. 5 亿美元。2021年上半年，攻击总数接近去年全年，损失增加了三倍多。
2021区块链项目于今年上半年报告，DeFi该领域由以太坊统一，BSC、Heco、Polygon一个接一个地爆发。每个公共链平台也呈现出不同的安全趋势。随着区块链生态的不断发展，各种各样的DeFi项目如雨后春笋般涌现，用户覆盖面越来越广，资金也越来越多。项目和平台都应该对产品和用户的资产负责。作为项目方，您应该对项目安全和用户资产安全负责，对风险有足够的敬畏，多轮审查和检查项目代码，建立应急响应机制；作为一个平台，你应该提高项目准入门槛，做好工作检查。
报告内容概述
以太坊：建造生态安全围城，攻击显著减少
随着新兴公共链生态的兴起和以太坊攻击门槛的提高，黑客的目标已经转向了更容易攻击的公共链生态。以太坊内部的安全意识和项目保护实力得到了增强，更多的新兴生态得到了关注。结合两者，2021年上半年对以太坊生态系统的安全攻击将显著减少。
BSC：安全事件发生率高，形势不容乐观
5月中旬以来，BSC生态项目经常受到攻击，其中许多以同样的方式受到攻击。据统计，仅5月份，BSC链上的攻击损失超过了2.6亿美元。这个数字占 。DeFi 上半年总亏损近30%。
Ploygon：多个项目突然归零，发出危险信号

6 区块链项目于28日报告，Polygon 上述算法稳定币项目遭到黑客攻击。攻击者利用合同铸造漏洞增发 83万亿 SDO 稳定币，从池中提取了约25万美元的代币。美分瞬间从 1.$07 跌至零。项目归零前，Polygon 在 6 月份发生了两个事件，当时链上项目归零。以 Ploygon以 为代表的新兴公共链正在释放危险信号。
2021今年上半年，市场上有100个主流区块链项目，包括100个主流区块链项目ETH、BSC、Heco公共链平台（项目列表见附件1），高级88个覆盖自动扫描语言层、虚拟机层、区块链层和业务层的常见安全问题（项目列表见附录2）。共发现12907个安全问题，报告将从漏洞位置和危害等级分布的角度分析相关数据。
分布风险位置
智能合约的安全威胁主要来自安全漏洞。根据智能合约的运行环境、生命周期和程序特点，智能合约的安全漏洞主要来自高级语言、虚拟机、区块链和商业逻辑四个层次。
本次扫描发现的安全问题集中在高级语言层，共8664个。具体分布如下:
高级语言层
高级语言是开发人员编写智能合同的工具。开发以太坊智能合同最常用的语言有很多高级语言。高级语言水平对智能合同的安全威胁主要有两个原因。一是引入高级语言本身设计缺陷的安全问题，二是开发人员在编写高级语言的过程中因代码质量问题引入的安全问题。漏洞。情况感知数据显示，漏洞主要集中在不受限制的状态变量写入、不规范的命名、过时不稳定的版本
虚拟机层
虚拟机是编译后的智能合同字节码执行器。以太坊技术黄皮书中定义了以太坊虚拟机的设计规范及其字节码，是以太坊客户实现以太坊虚拟机的各种标准指南。虚拟机级别的安全威胁主要包括两个方面。一是以太坊黄皮书中智能合同字节码规范的设计和运行机制本身存在一些缺陷。严格按照手动执行引入的问题。情况感知数据显示，漏洞主要是进入漏洞，其中进入混乱造成的漏洞最多为463个。
区块链层
智能合约依赖于区块链来提供分散、不变和信任。区块链平台也对智能合约的运行产生了很大的影响。对于智能合约，区块链虽然是其安全和信任的基础，但区块链本身的许多特点也给智能合约带来了安全风险。情况感知数据显示，区块链层的漏洞主要集中在缺乏随机性和时间戳依赖性，其中1298缺乏随机性。
业务逻辑层
区块链项目的业务逻辑越来越复杂，业务安全问题也越来越多。DeFi 例如，资产冻结和缺乏申报不是由简单的编码错误引起的，而是与业务逻辑设计密切相关。因此，在项目启动之前，应进行严格的业务流程测试，并仔细分析设计中的薄弱环节，以防止业务问题的发生。情况感知数据显示，业务漏洞主要集中在可声明为1、565的公共功能上。
威胁等级分布
漏洞本质上是无意或无意的安全漏洞或风险。结合国家区块链漏洞库区块链安全漏洞库区块链安全漏洞分类规则[2]，结合业务特点和应用场景，将威胁等级分为高、中、低、新闻四个等级。主要是危害程度和使用漏洞的难度，辅以其他因素。危害程度主要根据机密性、完整性和可用性、完整性和可用性；难度主要根据攻击向量、攻击复杂性和认证。
情况感知数据显示，智能合同的安全问题主要集中在新闻层面，共有7658个漏洞。详情如下：
高风险漏洞
高风险漏洞一般是指利用中低难度漏洞，对智能合约的机密性、完整性、可用性或经济模型产生不利影响，会给合同业务系统造成大量经济损失，不能在当地使用。功能、大规模数据混淆、权限管理。失控、关键功能故障、可信度丧失等严重不可逆转的危害，或间接影响其他相关智能合约的正确运行，造成巨大损失。情况感知数据显示，高风险漏洞主要集中在随机性和签名重放上，其中随机性不足1298个。
中等脆弱性
风险漏洞主要分布在危险方程、无资产可重入性和未使用收益值中。其中，有326个危险方程。
低严重性漏洞
低风险漏洞主要是由于混乱和零地址验证的缺乏。其中，混乱的原因最多， 468 。
消息错误
新闻漏洞危害低，成本高，难以使用。情况感知数据显示，它们主要分布在公共函数、过时和不稳定的版本和公共函数中。最多有1641个功能。
业务风险分析
本次抽样的100个项目类型包括：收入聚合、分散交易所、贷款、NFT、衍生品、稳定货币等。报告从业务介绍、风险分析和典型案例三个方面系统分析了不同业务可能存在的安全风险和预防措施。
原理分析
如何知道如何防止未知的攻击。结合今年上半年100个项目和数十起典型安全事件的综合审计结果，从重新进入漏洞、权限漏洞、密钥泄露、闪存攻击、业务漏洞五个方面阐述了攻击原则。分析它，并提出安全修复建议。（本报告仅供技术交流，不得使用以下方法，否则后果将自行承担）。
安全建议
智能合约是在区块链上部署和运行的程序。借助区块链，智能合约可以实现各种分散应用（DApps）。和传统程序一样，智能合约的漏洞是不可避免的。然而，区别在于，智能合约在一个更开放的环境中运行，本质上是的，升级成本非常高。这意味着它对安全有更高的要求，任何缺陷都可能带来不可预测的后果。为了构建智能合约安全系统，本报告从技术安全、业务安全、安全服务等方面提出了实用的建议。

热点：ETH NFT 代币 以太 以太坊 区块链 数字资产 数据