??2021年12月26-27日,由中国计算机学会主办的“??2021CCF中国区块链技术大会”在海南海口隆重举办。此次会议邀请来自政府部门、高等院校、金融机构等单位的区块链领域专家学者及创业者,共同聚焦区块链技术发展现状与未来前景。大会共设置6场分论坛,覆盖了区块链与隐私计算、智能合约、技术安全、融合创新、人才培养、数字经济等区块链技术应用全领域。
“2021CCF中国区块链技术大会”主会场
??知道创宇区块链实验室安全专家、实验室安全技术研究负责人——极光受邀出席会议,并在智能合约领域进行《Solidity智能合约安全研究》报告。
Galaxy Digital联席总裁:今年应该加强收购后的管理:金色财经报道,Galaxy Digital 联席总裁 Chris Ferraro 表示,在去年年底进行了两次基础设施收购后,Galaxy Digital有剩余资金,但计划通过第一笔投资来解决问题。
Ferraro 在 JMP 证券技术会议上发言时表示,今年应该加强收购后的管理,整合它们,打好基础并进行建设。我们很幸运拥有多余的资本,即使在这一切之后也能资本化。我不会打折我们可能会在并购方面再次活跃起来,但如果我们做不到这些,我们就做不到正确的购买更多的公司。
去年 12 月,Galaxy Digital同意以约 6500 万美元的价格从 Argo Blockchain 手中收购 Helios 比特币挖矿设施及其相关业务,并于上个月完成了对安全机构数字资产托管平台 GK8 的几乎所有资产的收购,价格约为4400万美元。[2023/3/7 12:45:54]
《Solidity智能合约安全研究》报告
BitKeep:正排查原因,平台原因导致的损失将全额赔付:12月26日消息,针对多名用户反映的疑似盗币问题,多链钱包BitKeep在Telegram群组发布公告回应称,团队正在紧急排查原因,如钱包被盗币请尽快提供被盗截图等相关材料(被盗的截图、钱包地址、被盗交易ID、设备号、下载渠道等)给到工作人员或志愿者。
如因平台原因导致的资产损失,BitKeep安全基金将进行全额赔付。[2022/12/26 22:07:54]
??报告内容涵盖五个部分:智能合约的起源发展、功能原理、实际应用、安全漏洞、安全防御。除了对智能合约的起源、发展以及智能合约安全原理攻防进行详细介绍外,尤其强调了智能合约的安全漏洞与安全防御部分。
外媒:Celsius被质疑挪用此前为乌克兰募捐的资金:10月25日消息,推特上的批评者指控加密借贷平台Celsius挪用此前为乌克兰募捐的资金,并确保最高管理层在债权人之前得到偿付。当时乌克兰数字化转型部公布了接受捐款钱包的地址,且FTX和币安等加密交易所为用户如何捐款提供了官方指导,但Celsius采用了不同的方式,它没有将用户引导至乌克兰政府运营的官方钱包,而是在推特上发布了它控制的钱包地址,并通过这些地址募集捐款。
批评者认为,链上数据没有证据表明Celsius所筹集的加密货币曾被捐给乌克兰。Nansen数据显示,发送到Celsius公布的钱包中所有的ETH都被传递到由Celsius控制的其他钱包。乌克兰数字化转型部的一位发言人表示,其不知道Celsius曾捐赠任何ETH。目前尚不清楚Celsius是否通过电汇等其他方式进行了现金捐赠,或者使用加密货币是否通过不易追踪的加密路线或其他渠道传递,但此事在推特上引起了一些加密用户的强烈抗议。[2022/10/25 16:38:11]
??以下是区块链智能合约安全攻防中几个最常见的经典案例,极光从攻击者角度为大家重点讲解并提出相关防范建议,希望借此能让用户更加了解安全漏洞的危害,能为开发者开发安全的区块链智能合约协议提供帮助。
Kevin O'Leary 预计美国加密法规将在中期选举后出台:金色财经报道,Shark Tank明星 Kevin O’Leary在周五采访中谈到了比特币和加密货币监管。O'Leary表示,美国的加密货币法规要到中期选举后才会出来。O'Leary解释说,美国总统拜登在其支持率降至历史最低点时对讨论加密货币不感兴趣。O'Leary还列举了其他因素,包括两位数的通货膨胀和高食品和汽油价格。
美国中期选举定于 11 月 8 日举行。如果共和党控制其中一院或两院,它将有权阻挠总统的计划。O'Leary 解释说,加密不是当你在民意调查中下降时,你会成为支持者的问题之一。这对他没有帮助。(news.bitcoin)[2022/5/22 3:33:28]
??一、整型溢出漏洞。不管是在传统安全中还是在区块链安全中,溢出一般都被当做黑客攻击操作系统的手段,但由于区块链资产的特殊性,黑客的目标不再只是盯着操作系统,而是更多的瞄准构建区块链生态活力的智能合约上。在面对整型溢出时,可以通过进行溢出检查、使用SafeMath来处理算术逻辑或者是使用较高版本的solidity语言版本进行提前预防,规避整形溢出。
??二、重入攻击漏洞。“重入漏洞”常被用于臭名昭著的DAO攻击中,早在2016年就因为“TheDAO”攻击事件而造成了以太坊的硬分叉。发生重入攻击漏洞的条件通常有两个:调用了不安全的外部合约、外部合约的函数调用早于状态变量的修改。因此,开发者通常会使用其他转账函数:transfer()等、先修改状态变量、使用互斥锁、使用OpenZeppelin官方库这几种方法来避免重入攻击。
??三、访问控制缺陷。与以上两种漏洞产生的方式不同,访问控制缺陷一般是开发者在编写Solidity智能合约时对某些判断的定义不严谨或者笔误从而引发某些敏感功能的访问验证被绕过导致的。这就要求开发者在编写代码时,严格控制访问权限、检查代码正确性。
??四、拒绝服务攻击。“拒绝服务攻击”黑客攻击是最常见的手段之一,简单的来说就是黑客通过对智能合约产生干扰使用户所需要的服务请求无法被系统处理。因此在开发合约时,应加入函数执行异常的处理机制,以符合代码逻辑全面性、缜密性的要求,从而在源头上避免拒绝服务攻击发生的可能性。
??目前中国区块链区块链市场高速增长、区块链技术日益成熟,区块链领域呈现出技术创新成果不断涌现、自主研发不断加强、核心技术发展迅速、基础平台和标准规范逐步健全的局面。区块链技术因其自带去中心化,无需第三方权威,依靠代码实现信任的技术特性,与智能合约做到完美互补,甚至智能合约被认为是区块链的特性之一,因此智能合约安全与区块链技术安全息息相关。
??在区块链技术高速发展的同时,区块链技术安全问题不容忽视。作为持续深耕区块链安全领域的安全公司,知道创宇区块链安全实验室从2011年接触区块链技术开始,11年来一直致力于区块链安全领域的研究与探索,致力与为用户提供全方面的安全守护,在区块链安全领域和智能合约领域积累了丰富的实战经验。希望通过这次报告能为用户和开发者了解区块链、智能合约安全等提供一些帮助,更希望能用这样的方式为守护区块链安全生态尽一份力。
创宇在大会现场的展台
活动现场交流
??我们相信,通过强大、公平、透明和安全的区块链智能合约协议,可以为更多地方、更多区块链用户提供支持;相信随着时间的推移,就像现在互联网+一样,到时会涌现出更多的智能合约+的场景出现。我们也将不懈努力继续前行,持续深耕区块链安全领域,让区块链世界更好更安全。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。