『壹』 浠ュお鍧婂備綍澶勭悊鏅鴻兘鍚堢害鐨勮嚜鐢卞害闂棰
浠ュお鍧婂備綍澶勭悊鏅鴻兘鍚堢害鐨勮嚜鐢卞害闂棰橈紵
浠ュお鍧婃槸褰撳墠鏈嫻佽岀殑鍖哄潡閾句箣涓錛屽叾鏅鴻兘鍚堢害鎶鏈琚騫挎硾搴旂敤浜庡悇縐嶅満鏅銆傜劧鑰岋紝鏅鴻兘鍚堢害鐨勮嚜鐢卞害闂棰樹粛鐒舵槸涓涓鍊煎緱鍏蟲敞鐨勮瘽棰樸傚湪浠ュお鍧婄敓鎬佺郴緇熶腑錛屾櫤鑳藉悎綰︾殑鎵ц岀粨鏋滃彈鍒板氭柟闈㈠洜緔犵殑褰卞搷錛屽傚悎綰︿唬鐮佺殑澶嶆潅搴︺佷氦鏄撹垂鐢ㄧ殑璁劇疆銆佸悎綰﹂棿鐨勪氦浜掔瓑絳夈傛湰鏂囧皢鎺㈣ㄤ互澶鍧婂湪澶勭悊鏅鴻兘鍚堢害鑷鐢卞害闂棰樻椂閲囧彇鐨勭瓥鐣ャ
浠ュお鍧婃櫤鑳藉悎綰︾殑鑷鐢卞害涓昏佸寘鎷浠ヤ笅涓ゆ柟闈錛
涓鏄鍚堢害鐨勭紪鍐欒嚜鐢卞害銆備互澶鍧婃敮鎸佸氱嶇紪紼嬭璦錛屽紑鍙戣呭彲浠ュ湪涓嶅悓鐨勮璦鍜屾嗘灦閲岃嚜鐢遍夋嫨錛岃繖寰堝ぇ紼嬪害涓婂炲己浜嗗悎綰︾殑鍙鎵╁睍鎬у拰鐏墊椿鎬с傜劧鑰岋紝榪欎篃甯︽潵浜嗗畨鍏ㄦх殑鎸戞垬銆傚洜涓轟笉鍚岀殑璇璦鍜屾嗘灦鏈韜灝卞瓨鍦ㄦ紡媧烇紝濡傛灉鍚堢害緙栧啓鑰呮病鏈変粩緇嗚冭檻榪欎簺闂棰橈紝灝卞彲鑳藉艱嚧涓ラ噸鐨勫畨鍏ㄩ棶棰樸
浜屾槸鍚堢害鐨勬搷浣滆嚜鐢卞害銆備互澶鍧婁笂鐨勬櫤鑳藉悎綰﹀彲浠ヨ鍏朵粬鍚堢害鎴栬呭栭儴璐︽埛璋冪敤錛岃繖鎰忓懗鐫鍚堢害鐨勬墽琛岀粨鏋滀細鍙楀埌鍏朵粬鍚堢害鎴栬呰處鎴風殑褰卞搷銆傛ゅ栵紝浜ゆ槗璐圭敤銆佺綉緇滄嫢濉炵瓑鍥犵礌涔熶細瀵瑰悎綰︾殑鎵ц岀粨鏋滀駭鐢熷獎鍝嶃傝繖浜涘洜緔犵殑鑷鐢卞害寰堝ぇ紼嬪害涓婂炲姞浜嗗悎綰︾殑澶嶆潅搴︼紝鍚屾椂涔熷炲姞浜嗗悎綰︽墽琛岀殑椋庨櫓銆
涓轟簡搴斿規櫤鑳藉悎綰﹁嚜鐢卞害闂棰橈紝浠ュお鍧婇噰鍙栦簡涓緋誨垪鎺鏂姐傚叾涓鏈閲嶈佺殑涓欏規槸浠ュお鍧婅櫄鎷熸満錛圗VM錛夈侲VM鏄浠ュお鍧婁笂鐨勮櫄鎷熸満錛屾棬鍦ㄥ疄鐜板悎綰︾殑蹇閫熴佸彲闈犮佸畨鍏ㄦ墽琛屻侲VM閫氳繃瀛楄妭鐮佺殑鏂瑰紡鎵ц屾櫤鑳藉悎綰︼紝閬垮厤浜嗚璦鍜屾嗘灦鐨勯檺鍒躲傚悓鏃訛紝EVM榪樻彁渚涗簡涓瀹氱殑鏈哄埗鏉ラ槻姝㈠悎綰︽墽琛屼腑鐨勫紓甯告儏鍐碉紝姣斿傚唴瀛樻孩鍑恆侀櫎闆剁瓑銆傝繖浜涙満鍒舵湁鍔╀簬鎺у埗鏅鴻兘鍚堢害鐨勮嚜鐢卞害錛屾彁楂樺叾鎵ц岀殑鍙闈犳у拰瀹夊叏鎬с
姝ゅ栵紝浠ュお鍧婅繕鎻愪緵浜嗕竴浜涢珮綰у姛鑳芥潵鎺у埗鏅鴻兘鍚堢害鐨勬墽琛屻傚叾涓鏈甯哥敤鐨勬槸鍚堢害鎵ц岀殑Gas闄愬埗銆傛瘡涓鏅鴻兘鍚堢害鎵ц岀殑鏈闀挎椂闂磋闄愬埗鍦ㄤ竴瀹氭暟閲忕殑Gas鍐咃紝榪欐牱鍙浠ラ伩鍏嶅悎綰︽墽琛岃繃闀挎椂闂磋屽艱嚧鍏朵粬鍚堢害鍜岃處鎴風殑絳夊緟銆傚悓鏃訛紝鍚堢害鎿嶄綔鐨凣as娑堣椾篃琚闄愬埗鍦ㄤ竴瀹氳寖鍥村唴錛岃繖鏈夊姪浜庨槻姝㈡伓鎰忓悎綰﹀崰鐢ㄥお澶氱殑璁$畻璧勬簮銆
鎬諱箣錛屾櫤鑳藉悎綰﹁嚜鐢卞害鏄浠ュお鍧婃櫤鑳藉悎綰﹂潰涓寸殑涓涓鎸戞垬錛屼絾榪欎篃鏄鍖哄潡閾炬妧鏈鍙戝睍鐨勫繀緇忎箣璺銆備互澶鍧婇氳繃EVM鍜孏as闄愬埗絳夋満鍒舵潵鎺у埗鍚堢害鐨勬墽琛岋紝鎻愰珮浜嗗悎綰︾殑鍙闈犳у拰瀹夊叏鎬э紝鍚屾椂涔熶負寮鍙戣呮彁渚涗簡鏇村氱殑鑷鐢卞害鍜岀伒媧繪с傜浉淇¢殢鐫鍖哄潡閾炬妧鏈鐨勪笉鏂鍙戝睍錛屾櫤鑳藉悎綰︾殑鑷鐢卞害闂棰樹篃灝嗗緱鍒版洿濂界殑瑙e喅銆
『貳』 詳解 EVM 生態多簽錢包 Gnosis Safe 產品特性
Gnosis Safe,一款在以太坊生態上廣受歡迎的鏈上多簽錢包解決方案,由Gnosis在2018年推出。憑借其自託管解決方案,Safe已成為當今最受信賴的數字資產管理平台,處理超過60萬筆交易,保護價值超過400億美元的數字資產,包括13%的所有Cryptopunks。自成立以來,Safe為超過90%的Dapp、DAO以及機構提供了服務,2022年承載的資產價值高達760億美元,超越了同期最大的中心化託管商Coinbase。
Safe的多簽管理、Spending limit等功能,不僅提供了基本的安全保障,還通過集成Zerion等應用,提升了用戶體驗的便捷性和可組合性。通過「Add custom ap」按鈕,用戶可以擴展使用范圍,甚至通過Wallet Connect來訪問更多應用。盡管Safe已經在多簽錢包領域取得了顯著成就,但仍有建議指出,Safe團隊應更深入地探索智能合約賬戶的潛力,將其作為賬戶的內核,以實現賬戶的可編程化。
智能合約賬戶,或稱Programmable account,是將賬戶編程為用戶所需的形式或賦予特定特徵的系統,本質上是基於以太坊底層賬戶體繫上的智能合約。當前以太坊支持兩種類型的賬戶,而智能合約賬戶則允許用戶實現更多Web2級別的賬戶體驗。由於EOA(以太坊普通賬戶)在支持用戶需求方面存在局限性,智能合約賬戶成為了解決方案之一。
智能合約賬戶能夠實現的特異功能包括但不限於資金管理、自動化執行、數據存儲等。這些功能通過智能合約的靈活性和圖靈完備性得以實現,為用戶提供更高級別的安全性、透明性和個性化體驗。此外,通過Web3 OS的演變,智能合約賬戶被認為是可能演化出Web3操作系統的路徑。
Gnosis Safe在Web3 OS的衍化中已經做了大量准備,包括定義智能合約的核心開發框架,並提供與之配套的指引和擴展形式。作為多簽賬戶應用的Safe,已經開始作為一個中間件對外輸出能力,通過生態夥伴的影響力和Safe作為多簽賬戶的資產規模,為Web3操作系統的未來鋪路。基於Gnosis Safe開源框架搭建的項目,如金融相關業務和訪問管理的創新,為用戶提供更多選擇和便利。
『叄』 浠ュお鍧婂備綍紜淇濋摼涓婅祫浜х殑瀹夊叏
浠ュお鍧婂備綍紜淇濋摼涓婅祫浜х殑瀹夊叏錛
浠ュお鍧婃槸鍏ㄧ悆鑼冨洿鍐呮渶鐭ュ悕鐨勬櫤鑳藉悎綰﹀鉤鍙頒箣涓錛屽畠鍙浠ョ敤浜庡紑鍙戝垎甯冨紡搴旂敤紼嬪簭錛圖Apps錛夊拰鏁板瓧璧勪駭銆備互澶鍧婁笂鐨勬暟瀛楄祫浜э紙浠ュお甯佸拰浠e竵錛変互鍙婃櫤鑳藉悎綰﹀緢瀹規槗琚鏀誨嚮鑰呯獌鍙栵紝鍥犳や繚鎶よ繖浜涙暟瀛楄祫浜ф槸鑷沖叧閲嶈佺殑銆
鍦ㄤ互澶鍧婁腑錛岃祫浜у畨鍏ㄧ殑涓昏佷緷闈犱互涓嬪嚑涓鏂歸潰錛
1.鏅鴻兘鍚堢害浠g爜鐨勫畨鍏ㄦ
鏅鴻兘鍚堢害鍖呭惈浜嗘墽琛屾煇浜涙搷浣滅殑浠g爜銆傜敱浜庝唬鐮侀敊璇鎴栬呮伓鎰忔敾鍑伙紝鏅鴻兘鍚堢害鐨勮祫浜у彲鑳戒細鍙楀埌濞佽儊銆傚洜姝わ紝浠ュお鍧婂紑鍙戜漢鍛樺繀欏葷『淇濆湪閮ㄧ講鏅鴻兘鍚堢害涔嬪墠榪涜屼弗鏍肩殑瀹夊叏瀹℃煡錛岄氳繃闈欐佷唬鐮佸垎鏋愬伐鍏風瓑鎵嬫墊鏌ュ悎綰︾殑浠g爜鏄鍚﹀瓨鍦ㄦ紡媧炪傛ゅ栵紝鍦ㄩ儴緗叉櫤鑳藉悎綰﹀悗錛岄渶瑕佸畾鏈熺洃鎺у悎綰︾殑浜ゆ槗騫舵鏌ユ槸鍚﹀瓨鍦ㄥ紓甯告儏鍐點
2.鍑忓皯鏅鴻兘鍚堢害鏀誨嚮鐨勯庨櫓
浠ュお鍧婂紑鍙戜漢鍛樺彲浠ラ噰鐢ㄥ悇縐嶆柟娉曞噺灝戞櫤鑳藉悎綰﹁鏀誨嚮鐨勯庨櫓銆備緥濡傦紝浣跨敤澶氶噸絳懼悕鏉ラ檺鍒朵氦鏄撶殑鏁伴噺鍜岄噾棰濓紝浠ラ槻姝㈡敾鍑昏呯洍鍙栬祫浜с傛ゅ栵紝寮鍙戜漢鍛樺彲浠ヤ嬌鐢ㄤ互涓嬫帾鏂芥潵紜淇濆悎綰︾殑楂樺彲鐢ㄦэ細
闄愬埗鍚堢害鐨勬搷浣滄潈闄愶紝鍙鍏佽哥壒瀹氱敤鎴瘋繘琛屾搷浣滐紱
鍔犲己鍚堢害鐨勮韓浠介獙璇侊紝浠ョ『淇濅氦鏄撶殑鍚堟硶鎬э紱
閲囩敤寮婧愪唬鐮侊紝榧撳姳鍚堢害鐨勪嬌鐢ㄨ呮彁渚涘弽棣堝拰鎶ュ憡娼滃湪鐨勬紡媧炪
3.浠ュお鍧婄綉緇滅殑鍘諱腑蹇冨寲鐗規
浠ュお鍧婁笉鍚屼簬浼犵粺緗戠粶錛屽畠鐨勫幓涓蹇冨寲鐗圭偣鍙浠ラ槻姝㈠崟鐐規晠闅滃拰鏀誨嚮錛岃繖涔熸槸紜淇濋摼涓婃暟瀛楄祫浜у畨鍏ㄧ殑閲嶈侀儴鍒嗐備互澶鍧婄綉緇滀笂鏈夎稿氬尯鍧楅摼鑺傜偣錛屾瘡涓鑺傜偣閮芥嫢鏈夊畬鏁寸殑鍖哄潡閾炬嫹璐濄傝繖鎰忓懗鐫鍗充嬌鏌愪釜鑺傜偣鍑虹幇鏁呴殰錛屽叾浠栬妭鐐逛粛鐒跺彲浠ヤ繚鎸佺綉緇滅殑紼沖畾榪愪綔銆傛ゅ栵紝浠ュお鍧婄殑鏅鴻兘鍚堢害鏄鍩轟簬鍖哄潡閾炬妧鏈瀹炵幇鐨勶紝鎵鏈夌殑浜ゆ槗閮介渶瑕佽鎸夐『搴忚板綍鍦ㄥ尯鍧楅摼涓婏紝榪欎篃鏄淇濇姢鏁板瓧璧勪駭瀹夊叏鐨勪竴縐嶄繚闅溿
鎬諱箣錛屼互澶鍧婇噰鍙栦簡澶氱嶆帾鏂芥潵紜淇濋摼涓婅祫浜х殑瀹夊叏銆傚紑鍙戜漢鍛橀渶瑕佷弗鏍兼寜鐓у畨鍏ㄦ爣鍑嗙紪鍐欐櫤鑳藉悎綰︿唬鐮侊紝騫墮伒寰鏈浣崇殑瀹夊叏瀹炶返銆傚悓鏃訛紝浠ュお鍧婄綉緇滅殑鍘諱腑蹇冨寲鐗規т篃涓烘暟瀛楄祫浜х殑瀹夊叏鎻愪緵浜嗗熀鏈淇濋殰銆
『肆』 以太坊的智能合約
智能合約是運行在計算機裡面的,用於保證讓參與方執行承諾的代碼,般情況下,普通合約上記錄了甲方與乙方各方面的關系條款,並通常是通過法律強制執行或保護的,而「智能合約」則是用密碼或密鑰來執行關系。以更加直接的角度來理解的話,即「智能合約」的程序內容將同-開始大家一起設定好的那樣百分百執行,並且零差錯。
舉個例子,以太坊用戶可以使用智能合約在特定日期向朋友發送10個以太幣。在這種情況下,用戶可以操作創建一個合約,然後將程序推人該合約中進行特殊計算,以便它能夠執行所需的命令。而以太坊就是專門把精力集中在這件事上的這么一個平台。
比特幣是第一個支持「智能契約」的資源幣種,因為網路的價值在於把價值或數據從一個點或人轉移到另一個點或人身上。節點網路只在滿足某些條件時才會進行驗證,但是,比特幣僅限於貨幣用例。相反,以大坊取代了比特幣那種帶有不小限制性的編程語言,取而代之的是一種允許開發人員編寫自己程序的語言。以太坊允許開發人員編寫他們自己的「智能契約」,即「自主代理」或「自治代理」,正如ETH白皮書所稱的那樣。該編程語言是「圖靈完備」語言,這意味著它支持一組更廣泛的計算指令。智能合約能做些什麼呢?
1.「多簽名」賬戶功能,只有在一定比例的人同意時才能使用資金。這個功能經常用在與眾籌或募捐類似的活動中。
2.管理用戶之間所簽訂的協議。例如,一方從另一方購買保險服務3.為其他合同提供實用程序。
4.存儲有關應用程序的信息,如「域注冊信息」或「會員信息記錄」。概念有時候比較晦澀,我們舉一個募捐的智能合約的例子來幫助理解:假設我們想向全網用戶發起募捐,那就可以先定義一個智能賬戶,它有三個狀態:當前募捐總量,捐款目標和被捐贈人的地址,然後給它定義兩個函數:接收募捐函數和捐款函數。
接收募捐函數每次收到發過來的轉賬請求,先核對下發送者是否有足夠多的錢(EVM會提供發送請求者的地址,程序可以通過地址獲取到該人當前的區塊鏈財務狀況),然後每次募捐麗數調用時,都會比較下當前募捐總量跟捐款目標的比較,如果超過目標,就把當前收到的捐款全部發送到指定的被捐款人地址,否則的話,就只更新當前募捐總量狀態值。
捐款函數將所有捐款發送到保存的被捐贈人地址,並且將當前捐款總量清零。每一個想要募捐的人,用自己的ETH地址向該智能賬戶發起一筆轉賬,並且指明了要調用接受其募捐函數。於是我們就有一個募捐智能合約了,人們可以往裡面捐款,達到限額後錢會自動發送到指定賬戶,全世界的礦工都在為這個合約進行計算和擔保,不再需要人去盯著看有沒有被挪用,這就是智能合約的魅力所在。
『伍』 什麼叫以太坊
以太坊是一種區塊鏈技術平台,用於構建去中心化應用。它是全球最知名的智能合約平台之一,支持多種數字資產的交易和去中心化應用的部署。以下是關於以太坊的詳細解釋:
以太坊是一個開源的區塊鏈平台,提供了一個虛擬環境,用於運行復雜的智能合約,並且能執行分布式應用所需要的交易功能。它提供了一個去中心化的網路,允許開發者在平台上創建自己的去中心化應用。這些應用可以在以太坊網路內部運行,實現價值轉移、數字身份驗證、數據所有權管理等操作。
通過以太坊的智能合約功能,開發者還可以創建各種自定義規則和邏輯,使應用能夠在不同場景下進行靈活的自動化操作。由於其具備安全性和透明度等特性,以太坊在金融交易、供應鏈管理、物聯網等領域得到了廣泛應用。此外,以太坊的加密貨幣以太幣作為平台上的主要支付和激勵手段,擁有廣泛的市場需求和流動性。目前以太坊已成為區塊鏈技術領域的領導者之一,推動著全球去中心化應用的快速發展。隨著其生態系統的不斷壯大和技術的不斷進步,以太坊將繼續在未來發揮重要作用。
總的來說,以太坊是一個基於區塊鏈技術的開放平台,它提供了智能合約功能和去中心化應用的運行環境,允許開發者創建各種創新的數字化解決方案。由於其在安全性、透明度和可擴展性方面的優勢,以太坊在多個領域得到了廣泛應用,並推動了全球區塊鏈技術的發展。
『陸』 回首Delegatecall漏洞下的Parity多重簽名合約
回顧2017年7月19日,Parity Multisig錢包合約曝出漏洞,黑客從三個安全級別高的多重簽名合約中竊取了15萬余以太坊,金額約3000萬美元。Parity錢包以其運行速度快、資源佔用少、同步效率高、支持定時轉賬交易等優勢備受贊賞,但也存在對代幣支持不足的問題。用戶可通過導入imToken來彌補這一缺陷。然而,這次事件暴露出一個嚴重漏洞。
delegatecall函數是關鍵,它允許合約調用另一個合約的代碼,但不使用當前合約的存儲、余額等信息。這設計初衷是為了利用其他合約的庫代碼,但也為黑客提供了一條途徑。黑客通過delegatecall調用initWallet函數,使得initMultiowned函數可以被執行,從而將Parity錢包庫合約轉變為普通多重簽名錢包,並控制所有權。黑客利用這一漏洞,可以將錢包變成自己的,然後執行轉賬操作。
訪問控制問題普遍存在,智能合約也不例外。不當的訪問控制設置可能導致攻擊者直接訪問合約的私有價值或邏輯。更復雜的是,訪問控制旁路可能發生在合約使用已棄用的tx.origin驗證調用者、長時間處理大型授權邏輯後,魯莽使用delegatecall在代理庫或代理合約中。
深入分析發現,initWallet函數能夠改變合約的所有權,而代碼中使用delegatecall函數,導致所有public函數對所有人可見,且沒有設置任何防護措施。攻擊者首先獲取所有權,將轉賬指令存入Data,隨後執行execute獲取所有資金。
針對這一漏洞,建議採取如下防範措施:謹慎使用delegatecall函數,明確函數可見性,避免public類型,可使用external類型限制外部調用;加強許可權控制,設置onlyOwner等修飾器保護敏感函數,確保只有合約所有者能執行特定操作。