區塊鏈漏洞報告

㈠ 區塊鏈錢包安全嗎

可以說非常的不安全，區塊鏈錢包相關的技術在國內已經失去了原本的技術意味。現在已經淪為圈錢的一種手段。所以對於這個方面的話，一定要非常的警惕，反正我個人來說不相信。

㈡ ag區塊鏈到底出現了什麼漏洞

終端漏洞風險：
這里的終端指的就是電腦、手機、平板等這些可以接觸到區塊鏈的終端設備。這大概是區塊鏈本身之外最有可能存在的安全漏洞之一。

㈢ 目前區塊鏈技術發展的主要問題

目前區塊鏈技術還處於一個非常早期的階段，不僅尚未形成統一的技術標准，而且各種技術方案還在快速發展中。但是過去被認為基於區塊鏈技術的系統會非常耗費資源（類似於比特幣），或者區塊鏈技術的系統處理數據有限制之類的問題已經在技術上獲得了突破。但是，對於區塊鏈技術的可擴展性，還沒有經過大規模的實踐考驗，而現在主要還停留在原型設計階段，此外區塊鏈行業極其缺乏人才。如果你想了解區塊鏈可以去鏈播看看，那裡每天都更新大量區塊鏈資訊，並且還有區塊鏈技術培訓以及區塊鏈相關活動，感興趣的可以去看看。

㈣ 以太坊區塊鏈ETH目前存在哪些問題

以太坊區塊鏈目前暴露出三大問題，長時間以來其創始人Vitalik Buterin一直無力解讀。第一是以太坊區塊鏈整體很低的性能和TPS；第二是資源不隔離，CryptoKitties虛擬貓咪的事件，一度占據了整個以太坊 20% 的流量，直接造成以太坊網路用戶無法展開及時的交易，就是資源不隔離最大的痛點；第三個問題在於以太坊治理結構的體現，區塊鏈作為去中心化的分布式賬本，以太坊過去以來，創始人團隊主導了其網路發展，過於中心化的治理模式，讓目前的以太坊出現了ETH、ETC、ETF等分叉，以太坊社區目前進入四分五裂的治理狀態。而以太坊網路目前出現的各種弊病，在「aelf」創始人與CEO馬昊伯看來，這是無法接受的。於是，「aelf」定位，就是為對標以太坊的下一代去中心化底層計算平台，重點解決目前以太坊存在的性能不足、資源不隔離、治理結構三方面的問題而誕生的。

㈤ 買了虛擬幣卻賣不出去！揭秘「百倍幣」騙局

最近一段時間，虛擬貨幣的監管力度不斷升級。5月21日，國務院金融穩定發展委員會明確提出要「打擊比特幣挖礦和交易行為，堅決防範個體風險向 社會 領域傳遞」。不久前，互聯網金融協會、銀行業協會、支付清算協會聯合發布公告，要求會員機構不得展開虛擬貨幣交易兌換以及其他相關金融業務。

國家的禁令之下，一場虛擬幣清退行動立即展開。虛擬幣挖礦最為集中的地區之一「內蒙古」，5月25日公布了《關於堅決打擊懲戒虛擬貨幣「挖礦」行為八項措施（徵求意見稿）》，嚴格禁止虛擬幣挖礦行為。

賣不掉的虛擬幣

這並不是國家第一次這么大力度來監管虛擬幣了。2013年，人民銀行等5部委印發《關於防範比特幣風險的通知》，禁止金融機構和支付機構開展比特幣相關業務。2017年，人民銀行等7部委發布《關於防範代幣發行融資的公告》，指導地方政府排查清退涉嫌非法發行證券、非法集資的虛擬貨幣交易和代幣發行融資平台。但此後，一些平台如火幣、歐易等轉移到境外，仍然面向境內居民提供服務。

今年上半年，隨著虛擬幣整體市值的暴漲，虛擬幣已經成為了圈錢詐騙的重災區，不少人都在高收益的誘惑之下參與境外平台組織的交易炒作活動，落入了別人精心布局的陷阱。

李女士：你看這是我當時截的圖，賣出的時候它就顯示交易失敗。

李女士正在展示的這種虛擬幣名叫TRTC，今年年初，這種虛擬幣從一文不值，價格一路飆升。熟悉虛擬幣投資交易的李女士看準了這個機會，在境外平台上用約合六千元人民幣，買入了這種TRTC幣。

李女士：我們都把這種幣叫百倍幣，你可以想想這個最開始的時候行情有多好，覺得它能漲一百倍。

李女士：沒有懷疑，因為這個幣主打的概念叫流動性挖礦，算是現在幣圈一個新的投資風口吧，大家都在炒，沒想過竟然最後不讓賣了。

這位玩家告訴，這種TRTC幣只能用另一種數字加密貨幣「以太坊」來購買。視頻中，這位玩家正在通過手機上的App訪問虛擬幣交易平台，來買進以太坊，再買入TRTC幣。但是在嘗試把它賣掉時，系統出現了交易失敗的提醒頁面。

買了「百倍幣」緣何不能賣？

這個虛擬幣到底存在著什麼問題？是交易系統出了臨時故障，還是人為設計的圈套呢？

某區塊鏈技術公司安全工程師李旋：池子里已經被全部掏空了，價值歸零了，相當於把交易池裡面所有的以太坊拿走，差不多有59個以太坊吧，價值是10萬美金。

李旋：當時應該有挺多人來參與購買，但是賣出的話，我們其實可以看到只有這個尾號799的信息。

為何只有交易地址尾號是799的這名用戶能夠成功賣掉了幣，而像李女士一樣的其他投資者，卻無一人成功賣出呢？這位799到底是誰？帶著疑問，我們對TRTC幣的源代碼展開了分析。經過仔細的研究篩查，我們在長長的代碼中，發現了這樣一行小字。

李旋：在轉賬的函數里，其實有一個條件。最下邊這一行能看到，發送者等於owner，也就是說只有owner（發行者）能賣出去，但是其他用戶的話就只能買不能賣。正常的代碼是沒有這個限制的。

所謂的owner就是這個虛擬幣的創造者。這處精心設計，讓他自己成為了唯一一個有權賣出的人。不難看出，這位創造者正是尾號799的神秘用戶。交易記錄顯示，最後一筆轉走了資金池裡所有以太坊的，也正是此人。

李旋：這種操作就把別人有價值的幣詐騙過來了。普通用戶不太懂的情況可能很快就會被吸引進去。

如何炮製「百倍幣」？

看到這兒您肯定明白了，這是新技術之下一個徹頭徹尾的騙局，利用的就是投資者們不懂區塊鏈技術，卻又盲目跟風投機的心理。那麼這樣騙錢的虛擬幣到底是怎麼發行上線的？為什麼還能製造出暴漲的假象、引人上鉤呢？

某區塊鏈技術安全工程師馮昌盛：預計三分鍾之內可以發行這個幣。

馮昌盛：首先我們從主網隨便復制一個代幣代碼，然後放到線上的IDE（編程軟體）上，只要輸入代幣的名稱，我們起一個名字叫ABCD。然後只需要點擊「部署」，在交易所上架，設定一個初始價格1枚以太坊可以換10枚ABCD。現在已經成功了，那我們普通用戶就可以在交易頁面，直接找到這枚代幣。

復制一段代碼，改一個名字，設定一個價格，只需要幾個簡單的步驟，一枚虛擬幣就成功上線交易平台進行買賣了。然而更讓人意想不到的是，這種毫無價值的虛擬幣不僅可以隨意上線，還能肆意操控價格。

馮昌盛：我們代幣發行，基本上所有的代幣都在我們手上，就可以用我們手上巨量的代幣去操控市場價格，相當於左手倒右手，把價格給拉高。

在這位技術人員的演示中，當他自己買進這種ABCD虛擬幣的時候，交易平台的K線圖立刻出現大幅上漲。反之自己賣出的時候，K線圖又立即出現了下降。

左邊是操作，右邊是K線反饋

馮昌盛：在一個項目方的宣傳洗腦之下，普通用戶一看到價格升高，普通用戶就會盲目跟風購買這個代幣。當大量用戶湧入購買這個代幣的時候，項目方就會使用他持有的代幣去砸盤。發布這種幣是沒有任何門檻的，去中心化的交易平台，任何用戶都可以在這兒進行交易、發布代幣，也不會核實代碼有沒有問題。

2020年虛擬幣安全事件增長240%

國家計算機網路應急技術處理協調中心的統計數據顯示，隨著上半年虛擬幣交易量的活躍，各類風險隱患也是層出不窮。

國家計算機網路應急技術處理協調中心吳震：很多不法分子利用虛擬數字貨幣進行洗錢或者非法資金轉移，可能會對國家的經濟秩序造成擾亂。甚至還有一些不法分子打著區塊鏈的旗號進行詐騙。同時，現在我們收錄了400多個漏洞，有漏洞就會被不法分子利用竊取相關的數字資產。

國家區塊鏈漏洞庫發布的報告指出，據不完全統計，2020年度區塊鏈領域發生的安全事件數量達555起，相比於2019年安全事件增長了近240%；主要包括詐騙/釣魚事件204起、勒索軟體事件143起、交易平台安全事件31起。所造成的經濟損失高達179億美元，環比2019年增長了130%。

自新冠疫情以來，境外虛擬貨幣交易平台上的各類非法金融活動更加活躍。除了李女士遭遇的涉嫌非法發行證券的代幣發行融資外，比較火熱的還有虛擬貨幣遠期合約交易，有數十倍到上百倍的杠桿率，本質上不過是「賭多空」的 游戲 。這類非法期貨活動給參與群眾帶來巨額財產損失，時常有投機者爆倉的新聞報道，但虛擬貨幣交易平台在背後賺得盆滿缽滿。

別讓炒作之風干擾區塊鏈 健康 發展

炒幣投機不等於高大上的理財，而是高風險的賭博，有的甚至是違反法律的行為。

對普通投資者而言，面對境外交易平台和莊家掌握信息、資金、籌碼，擁有巨大的信息優勢，最終難逃「被割韭菜」的命運，還需多一分冷思考。而對區塊鏈的從業者而言，區塊鏈技術創新也不等於炒作虛擬貨幣，如何讓區塊鏈技術脫虛向實，讓「區塊鏈+」在各個應用場景落地生根，為中國經濟轉型升級、實現高質量發展注入新動能，這才是技術創新的應有之義。

㈥ 360發現了區塊鏈哪些史詩級漏洞

5月29日消息，近日，360公司Vulcan（伏爾甘）團隊發現了區塊鏈平台EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。

區塊鏈網路安全隱患亟待關注

EOS是被稱為「區塊鏈3.0」的新型區塊鏈平台，目前其代幣市值高達690億人民幣，在全球市值排名第五。

在區塊鏈網路和數字貨幣體系中，節點、錢包、礦池、交易所、智能合約等都存在很多的攻擊面，360安全團隊此前已經發現和揭露了多個針對數字貨幣節點、錢包、礦池和智能合約的嚴重安全漏洞。

此次360安全團隊在EOS平台的智能合約虛擬機中發現的一系列新型安全漏洞，是一系列前所未有的安全風險，此前尚未有安全研究人員發現這類問題。這類型的安全問題不僅僅影響EOS，也可能影響其他類型的區塊鏈平台與虛擬貨幣應用。

360表示，希望通過這一漏洞的發現和披露，引起區塊鏈業界和安全同行在這類問題的安全性上更多的重視和關注，共同增強區塊鏈網路的安全。

內容來源 澎湃新聞

㈦ 第三代區塊鏈將彌補以太坊留下的 Defi 漏洞

由於ETH 2.0 升級距離全面發布還有數月甚至數年的時間，第三代區塊鏈協議正在迅速趕上取代以太坊作為 dapps 和 defi 的「首選」樞紐。

盡管很多人可能只是最近才發現它，但區塊鏈技術已經存在了足夠長的時間，可以從第一代協議發展到第二代協議，現在已經發展到第三代協議。

第一代區塊鏈始於比特幣，比特幣是中心化金融服務霸權的替代方案。它為去中心化的金融生態系統奠定了基礎，但比特幣網路提供的功能有限，需要巨大的計算能力才能運行，並且嚴重缺乏互操作性。

這導致了 2015 年以太坊的出現，標志著第二代區塊鏈協議的曙光。隨著 Vitalik Buterin 在區塊鏈上引入智能合約功能，它引發了範式轉變，使加密貨幣能夠從金融工具過渡到更實用的目的。

以太坊通過在鏈上實現數據和價值的「有條件轉移」，打開了去中心化的金融 (defi) 的大門。從那以後，以太坊一直在瘋狂發展，鞏固了自己作為啟動 dapps、NFT 和 defi 協議的首選平台的地位。

開發人員和採用者接受了復仇，並開始生成自己的ERC20令牌，這么多的社交媒體平台開始談論的「flippening」 -在ETH將超過BTC市值的條款。

然而，盡管它取得了成功，但問題很快在以太坊區塊鏈上顯現出來。隨著新項目大量進入以太坊生態系統，網路開始面臨可擴展性問題。Gas 費用飆升，有限的交易吞吐量成為日常問題。

以太坊的創造者 Vitalik Buterin 也表達了他對以太坊擴展能力的懷疑，他說：

雖然提議的以太坊 2.0 升級承諾解決當前使以太坊網路蒙上陰影的問題，但事情並沒有按計劃進行。ETH 2.0的第一階段最初定於 2019 年推出，於 2020 年 12 月開始。還有兩個階段，在 2022 年之前完全發布的可能性很小。

因此，聲稱該網路在實現其成為世界「去中心化計算機」的核心願景之前還有很長的路要走，這並不誇張。

盡管比特幣和以太坊帶來了創新，但這些鏈都受到各自的可擴展性和效率問題的困擾。同時，這兩個網路都需要大量的計算資源才能運行。所有這一切都導致了令人痛苦的緩慢吞吐率和過高成本的永久循環。

已經開發了許多地方 2 層次擴展解決方案來克服比特幣和以太坊的固有問題，每個解決方案都取得了不同程度的成功。二層解決方案在一定程度上解決了互操作性和可擴展性問題，但與共識機制和挖礦相關的核心問題還有待解決。

這就是第三代區塊鏈出現的地方。雖然一些第三代協議可以補充現有的區塊鏈網路，但其他一些是全新的區塊鏈，擁有廣泛的特性和功能。從多層架構到創新的共識機制，第三代區塊鏈協議不僅完全能夠解決出現的可擴展性問題，而且還具有高度的互操作性、快速性和成本效益。

不可否認，defi 熱潮是因為以太坊而發生的，並且以太坊仍然主導著 defi 市場。然而，隨著基於第三代區塊鏈協議的新定義項目的出現，以太坊的權威無疑將受到挑戰。

隨著 defi 不斷擴大其市場，下一個「Defi 熱潮」很可能來自於比早期區塊鏈網路創新更敏捷、更專注的新興產業。也就是說，隨著加密世界為「下一次大翻轉」奠定了基礎，有前途的項目正在排隊等待更新的區塊鏈技術。

在市場主導地位方面，Cardano、Solana 和 Polkadot 處於領先地位。每個平台都提供一系列功能，這就是為什麼新項目聯盟正在排隊開始在這些平台上構建他們的想法。

例如，卡爾達諾的穩定幣和 defi 中心Ardana使卡爾達諾能夠擴展到 defi 領域。該平台及其組成協議是從定義宏觀的角度設計的，旨在為用戶提供所需的功能，以幫助維護卡爾達諾鏈上所有類型的去中心化經濟。它將作為一個金融基礎層，通過採用 歷史 證明的可組合性、資本效率和穩定性的協議模型來支持卡爾達諾的去中心化經濟。

作為其戰略路線圖的一部分，Ardana 將很快推出 dUSD。這種可驗證的、鏈上抵押支持的穩定幣將幫助用戶將他們的ADA和其他支持的資產投入使用。該平台還將推出其 AMM dex（去中心化交易所）Danaswap，用於穩定的多資產池。根據 Ardana 團隊的說法，Danaswap 將提供資本高效的掉期，同時以最小的滑點為目標，並使流動性提供者能夠利用低風險的收益機會。

另一項雄心勃勃的計劃是Acala，它是利用第三代區塊鏈協議 Polkadot 的內置功能的 Defi 流動性中心。目前，幾乎所有穩定幣都建立在以太坊網路上，限制了採用和使用。Acala 希望通過利用 Polkadot 的速度、跨鏈互操作性和成本效率來改變這一現實，以提供具有內置流動性和現成的去中心化金融應用程序的 defi 中心。

同樣，Acala 聲稱以其他網路所需的一小部分來結算交易，在 defi 競賽中建立了數量優勢。該平台將通過 Polkadot 基於權重的費用模型支持受交易復雜性影響很小的小額 Gas 費用。此外，Acala 還將引入「演算法風險調整」功能，該功能將自動修改其借貸協議的風險參數，包括利率和抵押品比率。

最後，在這場正在進行的 defi 市場份額爭奪戰中，建立在 Solana 區塊鏈網路上的一體式加密交易平台Atani是另一個需要監控的重量級競爭者。該平台提供免費的加密交易工具，並與 Kucoin、Binance、Okex、Bitfinex、Poloniex 等頂級交易所合作，為用戶提供更低的交易費用。

Atani 最近在 Solana 上推出了新的 dex 聚合器，以提供訂單路由功能，同時提供投資組合跟蹤、價格警報、技術分析等附加組件。有了這個聚合器和 Solana 的嵌入特性，Atani 的計劃是減少分散的 defi 生態系統之間的摩擦，將 cexs（中心化交易所）和 dexs 的流動性提供給 Solana 生態系統，同時確保多鏈支持。

當談到挖掘 defi 的真正潛力時，我們還沒有真正觸及表面。Web 3.0 正在發展，地球村正在變得越來越小。與此同時，defi 服務對於全球沒有銀行賬戶和銀行賬戶不足的人來說都是革命性的，他們需要更多空間來擴展，就像現有協議推動網路容量限制一樣。

從公正的角度來看，Polkadot、Cardano、Solana 和其他幾個第三代區塊鏈平台為阻礙傳統鏈的可擴展性和互操作性提供了急需的解決方案。它們更快、更安全、更具成本效益且資源消耗低，將它們定位為可廣泛使整個加密貨幣行業受益的多合一解決方案。隨著以太坊 2.0 的首次亮相還有很長的路要走，第三代區塊鏈協議已經在這里完成繁重的工作並將 defi 提升到一個新的水平。

您認為哪個網路會贏得 defi 競賽？請在下面的評論部分告訴我們。

#熱議區塊鏈# #數字貨幣# #比特幣[超話]#

㈧ Chainge技術沙龍（0414）-區塊鏈技術的安全隱患

虛擬機設計

零錢整理

慢霧科技介紹

01| The Dao事件
以太坊第一個安全大事件
智能合約的取款
新建一個Bank，存入一部分錢，用Dao框架不停取錢。
取款-判斷余額-取款操作框架-轉空該賬戶下的所有錢。
簡單的例子就是，你的銀行卡有餘額100萬，你需要買一個10塊錢的飲料，但是支付的過程有漏洞，所以你銀行卡的所有錢都被轉走。

一、外部調用

02| 以太坊黑色情人節
起源：第一轉賬時間是2.14

ETH節點統計
客戶端、客戶端版本、OS系統。整個系統的龐雜

蜜罐檢測 （部署陷阱能檢測出黑客的點來）

net_version
判斷是主網還是測試網，只攻擊主網
3000+主網節點完全暴露

eth_accounts
獲取錢包賬號，涉及錢包賬號

eth_getBanlance
獲取有多少錢，被盜46000+ETH

why?
unlockAccount 函數介紹
該函數將使用密碼從本地的keystore 里提取private key 並存儲在內存中,函數第三個參數ration 表示解密後private key 在內存中保存默認是300 秒; 如果設置為0,則表的時間，示永久存留在內存，直至Geth/Parity 退出。
詳見:
https://github.com/ethereumgethereum/wiki/Management-APIs#personal_unlockaccount

節點存用戶的keystore信息（嚴重危險）

eth_getBlockByNumber
墨子掃描引擎，掃描有問題的節點，慢霧的以太坊安全事件的披露
被盜ETH，市值，被盜錢包數
具體內容可以查看慢霧發布的 以太坊黑色情人節專題

生態相關
ETH：礦池、錢包、web3、smart contract、dapp
BTC:礦池、錢包、Lightning Network

BTC RPC
防禦建議

管理數十萬用戶安全的接近百萬的比特幣

華人世界唯一被bitcoin.org網站展示的錢包

比特派多種區塊鏈資產（BTC、ETH、Token、分叉）
冷熱結合，確保安全
比特派-熱錢包
比特護盾-冷錢包/硬體錢包

區塊鏈安全事件

私鑰決定了區塊鏈資產的所有權，丟了私鑰也就相當於丟了一切。私鑰就是一個隨機數，這個隨機數的概率空間很大(256 位，即2^256)

錢包=生態入口
需要在安全的同時做到盡可能的開放

玩法的開放，技術的開放，通用的技術介面，生態的開放，把自己的資源進行導入。合作夥伴計劃：技術咨詢、區塊鏈技術支持、開放平台、入口支持、生態支持、海外市場合作。幫助夥伴實現區塊鏈轉型或區塊鏈項目孵化，安全、便捷實現真正落地的區塊鏈應用場景。

聯系方式 [email protected]

用戶風控系統，數百萬的數字貨幣用戶。
最大可能保持我們的數字資產

騙子故事：搶數字貨幣份額，錢沒到賬，冒充官方，交出助記詞

惡意錢包地址庫
詐騙錢包、黑客錢包、羊毛黨錢包

惡意網站庫
釣魚網站、空投網站、交易所、眾籌

風險合約庫
重名幣、空格幣、風險合約

安全事件庫
歷史安全事件提醒
最新事件提醒

盜幣風險監控

安全意識教育

可能出現被盜的情況

游戲即資產，稀缺資源，成為游戲運營者。最後大BOSS死於暴露了自己的密鑰。
通過社工（社會工程學）【欺騙的藝術】黑客攻擊手法，虛擬景象做出錯誤判斷讓自己陷入危機。

人始終是系統中最薄弱的環節，幣安背鍋的黑客事件。大客戶泄露自己的賬戶，調用API介面，自動交易。雖然沒丟幣但是黑客在期貨市場盈利。

關於安全錢包的帖子（來自小白憤怒控訴，實際沒有理解整個機制）：
1、我沒私鑰和交易密碼，東西都在你們那我不知道安全在哪裡
2、密語算個毛，你告訴我拿著你們的密語能做什麼。

汽車和自行車事件，出了問題之後，弱勢的一方被原諒。負責的是更大的一方。平台替沒有安全意識的用戶背鍋。

對於大部分用戶來說，交易所的安全性比普通用戶自己管理的安全性要高，用戶的安全意識沒有提高，交給交易所幫助、協助你來管理你的錢包提示很多風險操作。

為什麼要隨機生成256位的密鑰，為什麼不能用戶自己去設置，如果自己設置會處於一個集中的區域，隨機值不夠，私鑰生成時就處於危險的狀態。

自己的安全認識不夠，所以自己造成的損失，先懟交易所先懟錢包。先想到得是你們的問題和漏洞造成的，不是我的操作失誤和密鑰泄露造成的。

幣派做的是大神和小白的交流之間的翻譯，做畫漫畫，寫段子的逗比。

幣小寶防騙指南漫畫，貢獻題材和內容。

㈨ 區塊鏈怎麼解決電子存證中的自證問題

電子存證是指通過時間戳，哈希演算法，電子簽名指紋認證信息保密技術手段來實現自證問題的，都是具有法律效力的。
1.時間戳：真實的事件記錄，證明事件在什麼時間、什麼地點發生過，它是由我國中科院國家授時中心與北京聯合信任技術服務有限公司負責建設的我國第三方可信時間戳認證服務。由國家授時中心負責時間的授時與守時監測
2.哈希演算法： 比如，我們在一個乘法網注冊一個賬號，如果網站把密碼保存起來，那這個網站不論有多安全，也會有被盜取的風險。但是如果用保存密碼的哈希值代替保存密碼，就沒有這個風險了，因為哈希值加密過程是不可逆的。
當前也有很多有遠見企業涉足這個領域，他們普遍都是通過一個第三方機構在乘法網存證，創建商業保密體系，他們卻無法從技術上修改過數據，目前可以通過「區塊鏈」技術很好的解決這一自證問題。