鸵鸟区块链

SharkTeam发布2021年智能合约安全态势感知年报

SharkTeam 2022-01-08 10:16
摘要:

SharkTeam发布2021年智能合约安全态势感知年报

2021年,是区块链行业高速发展却又危机四伏的一年。一方面加密货币总体市值首次突破2万亿美元,DeFi锁仓量首次突破2500亿美元,DeFi2.0、NFT、GameFi、元宇宙等新业态不断出圈;另一方面各类安全事件近400起,损失金额近200亿美元,市场投机、Rug pull、闪电贷攻击等风险不断显现。

安全态势方面,呈现两个典型特征。一方面已形成不同的公链阵营,不同公链的风险类型差别较大,这与不同公链差异化的业务布局和底层架构有较大关联;另一方面已形成不同的业务生态,DeFi、NFT、GameFi等业务生态所面对的安全风险和攻击类型相互之间差别很大,这与自身业务模型和开发者生态建设有关。

多链发展,风险态势不同

2021年,一改ETH一家独大的局面,BSC、Heco、Polygon、Solana、Fantom、Avalanche、Terra等公链相继爆发。

ETH:锁仓1500亿美元,活跃项目390个,主要业态为Defi、Defi2.0和NFT。

BSC:锁仓170亿美元,活跃项目269个,主要业态为Defi和GameFi。

Heco:锁仓11亿美元,活跃项目34个,主要业务为Defi和GameFi。

Polygon:锁仓52亿美元,活跃项目161个,主要业务为Defi。

Solana:锁仓100亿美元,活跃项目48个,主要业务为GameFi和DeFi。

Fantom:锁仓58亿美元,活跃项目110个,主要业务为DeFi。

Avalanche:锁仓110亿美元,活跃项目131个,主要业务为DeFi和DeFi2.0。

Terra:锁仓170亿美元,活跃项目15个,主要业务为DeFi和DeFi2.0。

(数据来源:https://defillama.com/ )

可以看出虽然从锁仓和活跃项目数量上ETH仍然占据绝对优势,但是2021年内锁仓超过10亿美元且已形成自己的业务生态和开发者生态的公链已超过10个。其他公链在性能和友好性上与ETH的差异化竞争也为项目方和用户提供了更多参与区块链的选择,这一趋势也必然会在2022年继续持续下去。

多链发展的趋势不会变,每个公链上由于业务布局和底层架构上的不同呈现的风险趋势也不同。2021年以太坊生态的攻击事件明显减少,究其原因,以太坊生态上的项目逐渐成熟、迭代放慢,并且在经历2020年众多的安全事件洗礼后,项目方的安全意识更加强烈,在安全保护上的投入更大,这意味黑客攻击的成本与门槛升高了。其他公链则处于流动性原始积累阶段,迭代较快,安全系数相对也较低。以BSC为例,5月中旬开始遭到频繁攻击,甚至很多是相同的攻击手法,据统计,就单一个5月而言,BSC链上攻击损失金额超2.6亿美元,公开的攻击事件11起,史称“BSC黑色五月”。此外,不同公链所采用的底层架构和开发语言不同,也会影响智能合约的安全性,例如RUST智能合约比Solidity智能合约的语法层漏洞就会少很多(RUST编译时自带语法安全检查),但业务层面的安全风险仍然相同,想要真正有效提高平台整体的安全性还是需要从项目本身和审查机制上下功夫。

多业务发展,风险特点不同

2021年,一方面是DeFi业务真正发展和被认知的一年,从2021年1月初180亿美元总锁仓发展到12月31日的2430亿美元,翻了13倍多;另一方面也是NFT、GameFi、DeFi2.0开始发展的一年,尤其是NFT和GameFi,从年中开始短短2个季度就发展到了130亿美元的体量,基本快赶上年初DeFi的整体体量,快速完成了从0到1、从1到N的蝶变发展。

DeFi、NFT、GameFi因为各自的业务模型不同,所面对的安全风险类型也有很大的差别。例如,DeFi和DeFi2.0通常是以一个金融模型为核心,为用户提供资产流动性并产生价值,这也带来大量的基于影响市场价格和模型参数的攻击方式,相对较复杂,例如闪电贷攻击;NFT和GameFi则是以收藏品或道具本身的交易价值为核心,构建交易场景或游戏场景,并没有复杂的金融模型,攻击方式和风险点也相对直接,例如私钥泄漏、重入攻击等。

安全态势不容乐观,对风险时刻保持敬畏

此次2021年智能合约安全分析年报,SharkTeam从市场上选取了头部的155个区块链项目,单个项目锁仓量基本均超过1亿美元,覆盖ETH、BSC、Heco、Polygon、Fantom、Avalanche、Terra等公链平台(详见附录),并对覆盖高级语言层、虚拟机层、区块链层、业务层的115项常见安全问题进行了安全扫描和态势感知。共计发现安全问题1395项,下文将从漏洞位置、危害等级、项目类型、是否审计、是否开源等维度进行分析。

不管是项目方还是公链平台,不论是DeFi业务还是GameFi业务,都应该对产品和用户的资产安全负责。作为项目方,应该对对风险有更高的敬畏心,对项目代码进行多轮审计检查,同时设立应急响应机制;作为公链平台,应提高项目准入门槛,做好把关工作。共同为建设安全的区块链发展生态而努力。

完整报告下载:

链接: https://pan.baidu.com/s/1PkawXrG1VGe_Pi9M7U5Wig

提取码: xnft 

==

欢迎加入鸵鸟区块链Telegram社群

中文社区 https://t.me/tuoniaox

英文社区 https://t.me/tuoniaoGroup

声明: 鸵鸟区块链所有发布内容均为原创或授权发布,如需转载,请务必注明文章作者以及来源:鸵鸟区块链(微信公众号:MyTuoniao),任何不尊重原创的行为鸵鸟区块链都将进行责任追究!鸵鸟区块链报道和发布内容,不构成任何投资建议。

SharkTeam

——

77 篇 作品