DeFi|BSC & DeFi 安全第一: 币安智能链安全吗
文章图片
近期BSC生态系统遭遇了一系列诈骗和广泛的黑客攻击事件 。 由于BSC区块链具有去中心化、无须许可的属性 , 要解决这个问题并不容易 。 目前BSC正面临以下几大挑战:
1. BSC生态系统飞速成长 , 成为了黑客攻击的特殊目标 。 这些黑客组织有序 , 一直试图找到不同协议可能的漏洞 , 且现在可能找到了更多零日漏洞(被攻击者掌握但未被系统修复的漏洞) 。
2. 生态系统中部分项目缺乏软件安全开发的经验 , 且缺少风控专家 , 此外还存在缺乏代码审计、渗透测试以及与安全专业人士的协作等问题 。
这个问题非常具有挑战性 。 只有确保安全性的区块链才能获得成功 。 对币安智能链而言 , 安全永远摆在第一位 , 安全第一的原则根植于我们所做的每一件事情 。 在本文中 , 我们将介绍一些常见的威胁 , 并回答大家关于BSC安全迫切想知道的问题 。
BSC正面临哪些威胁?
BSC所面临的威胁和大多数加密资产相关威胁并无二致 。 在某种程度上 , BSC可以与2017年的ETH热潮相比 。 数百个拥有数百万用户的项目涌进区块链 , 成为黑客和诈骗者的攻击目标 。
加密社区遭受过社交诈骗、黑客攻击、个人数据泄露以及虚假项目、庞氏骗局等种种威胁 。 从那以来 , 攻击者积累了数年的经验 , 但他们的运作方式变化并不大 。
威胁有两大类:
1. 外部威胁 – 即来自项目外部的威胁 。 外部攻击者通常会利用技术或运营中存在的漏洞 , 通过黑客攻击或社会工程攻击等潜入内部系统 , 并尝试盗窃资金、有价值的信息 , 或是让项目失败 。
2. 内部威胁 - 内部威胁包括臭名昭著的卷款跑路 , 出逃骗局、内部泄露等 , 这些相对来说更难防御 , 通常调查过程也复杂得多 。 在大多数案例中 , 都是因为个别团队成员滥用权力谋取私利 , 但也有极少数案例是有组织作案 , 以及以团队的形式来执行这些攻击 。
币安智能链安全吗?
关于币安智能链(或任何其他区块链)是否安全这个问题 , 可以从多个方面来回答 。 其中一个方面是代码、节点 , 以及区块链本身的安全性 , 第二个方面则是生态系统的安全性 。 BSC生态系统由多个部分以及多种参与者组成 , 而每一个组成部分都会面临不同的威胁 。 例如代码 , 算法 , 验证节点及其硬件 , 在BSC上进行开发的项目 , 以及使用这些项目的个人用户等 。
去中心化的BSC区块链运行的是开源代码 , 可以由第三方和公众进行审计 。 在开源代码的情况下 , 任何人(具有相当的技术知识)都可以对代码进行仔细审查 , 并评估可能的漏洞和威胁 。 PoSA算法由21个选出的验证节点组成 , 避免单个验证节点网络控制权过大和滥用权力等问题 。
BSC网络及其使用的算法本质上非常安全 。 BSC一直以来并未发生过安全事故或黑客攻击事件 , 这就表明了BSC系统本身没有任何的漏洞和攻击向量可供利用 。 此外 , BSC还通过猎人计划激励安全团队及项目对BSC的安全性进行定期仔细审查 , 确保即使是最微小的问题也能立即得到处理 。
BSC上的dApp安全吗?
BSC网络和代码都可以进行验证和审计 , 但对于每个项目来说就有些困难了 。 并非每个BSC项目都是开源的 , 而且开源项目也不意味着它就是安全的 。 此外 , 还有智能合约的安全性问题 , 不存在任何零缺陷代码的事实等 。 由于每个项目都是由独立团队进行开发 , 总会有出现漏洞的可能 。
由于BSC具有去中心化的属性 , 几乎任何人都可以在该网络上开发 , 并将代币上线众多去中心化交易平台中的一个 。 许多项目没有通过审查流程或中心化治理 , 因为对项目进行审查会破坏去中心化的属性 , 这在技术上、逻辑上也是行不通的 。
像Peckshield 和Certik 等BSC安全公司都能够审计并验证不同的BSC代币和dApp , 通过仔细谨慎的安全审查可以找到代码、商业模式及其他方面的潜在漏洞 。 此外 , 这些安全审计工作还通常会对核心团队成员的履历进行验证、对项目的财务状况进行审计 。 然而 , 这些审计并不是强制性的 , 也很少对新的活新兴的dApp进行这些工作 。 因此 , 在寻找真正可靠的项目时 , 我们建议不要投资未经过认证的项目 , 而是要优先选择经过不同安全公司多次审计的项目 。
BSC桥可以阻止黑客攻击或恢复攻击前的状态吗?
在这里我们给出一个直接的答案:不能 。 桥并不能阻止黑客攻击或恢复可疑的交易 。 攻击者通常会利用桥将偷窃的资产转移到其它链上 , 降低被抓获的可能 。 目前在BSC和其他区块链(例如以太坊、比特币、Tron等)之间有超过十条桥 , 它们每分钟处理的交易超过数千笔 , 甚至连桥的运行者都很难识别并阻止可疑交易 。 在近期发生的事件当中 , 有七次黑客攻击使用了Anyswap桥来将偷窃的资产转移出BSC区块链 。
还需要注意的是 , 并非所有的桥都采取了反欺诈机制(例如反洗钱、黑名单等等) , 而很多桥直至今天都没有与任何专业的链上分析或安全企业进行合作以降低风险 。
举报诈骗有什么途径?
BSC生态系统的主要安全合作伙伴之一PeckShield为用户提供了一个方便的途径 , 以举报诈骗或可疑项目 。
只需访问网站 , 并尽可能多地输入你所知道的信息即可 。
共建区块链安全
目前有很多有社区驱动的工作旨在增强BSC生态系统的安全性 , 并保护用户资金和数据安全 。 像PeckShield、CertiK等安全性企业在审计、威胁情报、安全选项等方面为BSC生态系统提供了帮助 , 同时各个项目内部也有自己的安全团队 。
BSC核心团队将继续与业内领先的安全企业合作 , 推出更好的基础设施与服务:
1. 猎人计划将引进更多新的合作伙伴 , 为早期识别问题提供更多积极的渗透性测试 。
2. 确定新的专业合作伙伴以建立BSC SAFU基金或者保险协议 。
由于近期攻击事件频发 , 我们号召社区行动起来:
1. 如果你是BSC和dApp用户 , 请:
a. 拓展知识 , 参与到不同BSC社区举办的社区教育与意识行动当中 , 并帮助传播相关知识 。
b. 自己对项目进行研究 , 并避免投资到投机项目当中 。 访问币安学院了解如何识别DeFi骗局 , 并定期更新知识 。
c. 从Certik Security Dashboard 等受信任的信息来源获取额外信息 , 以获得更多关于BSC项目的不同角度的洞见 。
2. 如果你是开发者或项目 , 应当致力于提升自己的声誉、安全性 , 并赢得受众的信任:
a. 参加“BSC安全第一”分享会 , 了解最佳实践:
i. 项目如何应对风险?普通用户如何自我保护?
ii. 攻击事件过程中及事件后的应对流程
iii. 了解区块链的安全性风险
b. 进行至少两次审计(越多越好) , 并积极与声誉良好的安全公司合作 , 维持对潜在漏洞的分析工作 。
c. 推出漏洞猎人计划 , 或利用 Immunefi.等第三方平台激励社区测试者在早期识别问题 。
d. 将一部分资金用于类似SAFU的保险项目中 , 保护用户及资金 。
e. 提供更好的透明度 , 清晰地传达所有重大升级和路线图 , 并组织开发者和用户社区分享 。
过去9个月所发生的事件暴露了重要基础设施和服务存在的弊病 , 我们需要重建这些基础设施并适应急速增长的用户量和网络活跃度 。 作为一个社区驱动的去中心化生态系统 , 只有在社区成员共同努力、协调一致的情况下 , BSC才可以生存下来 , 并繁荣发展 。
BSC生态系统在未来数月将面临很多挑战 , 而建立一个去中心化、可拓展的安全区块链并不容易 。 在这段时期 , 我们需要你给予我们支持 , 同时我们也乐意倾听你们的意见 。
我们正在与BSC上最优秀的项目共同开展安全工作坊 , 参与这一活动能够很好地了解去中心化、无许可环境的安全性 。 快来参加吧!
文章图片
会议一:了解区块链的安全性风险 – Certik团队
快速介绍solidity、智能合约开发以及DeFi环境下的应用程序 。
对近期是10个攻击事件的案例分析(分成四类) 。
如何筹备项目 , 并尽可能地利用安全审计 。
在这里观看回顾视频
会议二:攻击事件过程中以及事件后的应对流程
找到受攻击的地址
追踪并监控资金流向
通知接收方
对BSC上开发的实体进行尽职调查
在这里观看回顾视频
会议三:项目小组讨论 - 项目如何应对风险?普通用户如何自我保护?
分享嘉宾:Cream、dForce、Autofarm、Ogle
评估与减轻抵押风险
隔离多协议交互风险
闪电贷和流动性池的风险
具有风险性的合约有哪些共同特征?[铸造无限量代币、将流动性池或质押挖矿资产进行迁移、费率变化无时间锁]
在DeFi环境下的日常自我保护 , 用户可采取什么实用措施?
【DeFi|BSC & DeFi 安全第一: 币安智能链安全吗】以及更多
推荐阅读
- 娱乐|SensorTower:视频&直播 App 成 2021年娱乐类主流,TikTok占最多
- 人工智能|正片来了!五期「AI大咖说」第一期,探秘清华大学AI&机器人实验室
- Microsoft|微软收购AT&T广告部门:迎接“后Cookie”时代
- 演讲|T11数据智能峰会完整议程&精彩主题 抢先看!
- 数字货币|DeFi与衍生品推动2021“稳定币”供应量增长388%
- 场景|5G&智能,想象有限,未来无限
- 媒体播放器|神级老软件竟要重返江湖 Winamp还能成功吗?
- 货运|日本航空公司获得CHAMP的5年期扩展合作
- 摄影|征稿启事 | 「协力&适应」 理光、海大、富图宝邀请大家投稿2021年度作品
- 通信运营商|AT&T推出“贪吃蛇”AR滤镜以努力推广其5G网络的功能