區塊鏈:首發 | CertiK干貨分享—— 避免項目方欺詐？10條硬核準則拿走不謝

春困秋乏夏打盹，睡不醒的冬三月。

自打重新設置了工作日鬧鐘，小伙伴們的心情想必都像自家豬丟了一樣。2月18日，A股市場迎來牛年首個交易日。緊接著，“基金”猝不及防登上熱搜。說好的開門紅呢？就這？

然而近日，手機推送立即再次帶來一記猛擊。“比特幣大跌”登上新浪微博熱搜第4名。

K線震蕩，萬點回調。

正摩拳擦掌的幣圈投資人們當場傻眼。

本以為有馬斯克、比爾·蓋茨強勢帶貨在前，行情一片大好，卻不想現實總讓人猝不及防。

新的一年，如何判定一個項目究竟是你咸魚翻身的大財神，還是設好陷阱的巨坑？

造成行情震蕩的原因多重且復雜，這樣的震蕩尚且在“韭菜們”的接受范圍之內。

而那些由安全攻擊事件導致的一跌到底行情，才使得大部分“韭菜們”作為受害者的同時，真正失去了重啟的希望。

首發 | 歐科云鏈推出“天眼方案”推動鏈上安全系統再升級:8月28日，區塊鏈產業集團歐科云鏈宣布推出區塊鏈“天眼方案”，主要通過鏈上數據追蹤系統研發、對外技術支持、凝聚企業眾力等途徑，全面助力區塊鏈安全提升和產業平穩健康發展。

據了解，在“天眼方案”下，歐科云鏈集團將打造鏈上數據追蹤系統，通過溯源數字資產、監控非法交易等手段，全力遏制洗錢等非法行為；協助執法機關辦案，并為打造法務等區塊鏈系統提供技術支持；為聯盟鏈和基于各類業務的鏈上數據提供區塊鏈+大數據的解決方案。[2020/8/28]

在區塊鏈上鏈項目井噴的2020年，除卻黑客的“辛勤耕耘”外，巨坑也離不開項目方欺詐的“傾情奉獻”。

項目方欺詐——簡而言之就是項目方設計一個項目，而這個項目其中已被設置有利于項目方的漏洞，一旦吸引到韭菜們，項目方就將開啟一頓瘋狂亂割。

CertiK安全技術團隊將為你帶來并分析避免項目方欺詐的十條硬核準則。

首發 | 區塊鏈技術及軟件安全實戰基地正式成立:金色財經報道，今日，中軟協區塊鏈分會、人民大學、菏澤市局相關部門聯合共建的區塊鏈技術及軟件安全實戰基地正式成立。同時聘任中軟協區塊鏈分會副秘書長宋愛陸為區塊鏈技術及軟件安全實戰基地特別專家。

區塊鏈技術及軟件安全實戰基地主要涉及領域為：非法數字貨幣交易與洗錢、區塊鏈傳銷與電信詐騙、網絡賭博、四方支付、冒用商標注冊等，聯合社會治理、城市安全、前沿技術領域的行業專家，進行警協合作。

據公開報道，近期菏澤市下屬機關剛破獲一起特大電信網絡詐騙案，打掉多個涉嫌以網貸和投資“比特幣”為名的詐騙團伙，抓獲犯罪嫌疑人83名，扣押凍結涉案資金2700萬元。[2020/7/21]

CertiK將詳細分析以上十條硬核準則，助你鑒別潛在的項目方欺詐項目，極大減少遭受項目方欺詐的幾率。

首先，我們可以先回顧一下過往的此類型事件。

首發 | 劉堯：百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日，由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講，他指出：2020年將是區塊鏈企業落地的元年，為了支持中國區塊鏈的產業落地，百度將區塊鏈進行平臺化戰略升級，依托百度智能云推出天鏈平臺，就是要賦能360行的鏈上業務創新落地。[2019/12/20]

發生在近期，且數額最大的典型事件非Compounder.Finance莫屬。

Compounder攻擊事件回顧

北京時間12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生數筆大量代幣的交易。經過技術人員研究，發現這些交易是Compounder.Finance項目擁有者內部操作，將大量數額代幣轉移到自己的賬戶中。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊，近日，DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞，攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息，嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件，DVP安全團隊在收到該漏洞后，第一時間通知該平臺進行修復，但未收到回應。DVP提醒相關用戶關注個人信息安全，以免造成損失。[2019/8/13]

經過統計，最終共損失價值約8000萬人民幣的代幣。

詳情鏈接：https://www.jinse.com/news/blockchain/931157.html

在當前DeFi市場火熱的背景下，潛藏著各式各樣的安全漏洞以及隱患，其中項目方欺詐可以算是技術含量最低，門檻最低的一類攻擊方式。

學習如何防范項目方欺詐攻擊的方法并不需要像了解其他那些復雜的基于數學模型的攻擊方法那般耗費心力。

首發 | 百度推動246家博物館線上藏品上鏈:金色財經訊，近日，百度超級鏈聯合百度百科，基于區塊鏈技術創建 “文博藝術鏈”，推動百科博物館計劃中的246家博物館線上藏品上鏈。基于“文博藝術鏈”，百度將與博物館共同推動線上藏品版權的確權與維護，同時探索線上藏品版權數字化交易方式，為合作的博物館提供更全面的服務和更多的權益。據介紹，此項目將分階段進行，一期將完成線上藏品的入鏈確權，為每一件藏品生產專屬的版權存證證書。讓每一名用戶可以在百度百科博物館計劃的PC端和WAP端的藏品頁查看證書。后續，百度還將推動AI與區塊鏈技術在文博領域的結合應用，用來保障上鏈數據與藏品相匹配，為后續進行藏品圖像版權數字化交易奠定基礎。[2019/1/30]

DarkMatter項目分析

首先，根據項目發布者的歷史交易記錄來判斷項目發布者是否有惡意欺詐歷史，是判斷新發布項目是否存在欺詐風險的重要依據。

下面以DarkMatter$DARKM項目為例，詳細分析——如何查看項目發布者是否有惡意欺詐歷史。

DarkMatter項目是一個基于ERC20的發幣項目，代碼中項目方擁有絕對權限，可以任意將任意數目的代幣發送到項目方擁有的地址中。

因此是一個非常明顯的項目方欺詐項目。?

項目方可以將任意數目代幣發送到任意地址中?

查看項目發布者是否有惡意欺詐歷史需要根據區塊鏈上歷史進行查詢。區塊鏈的優勢之一是任意交易歷史都是公開、可溯源的。利用此特點，首先可以依靠DarkMatter項目的區塊鏈地址，查詢項目的發布者地址。本文以Etherscan工具進行介紹，查詢結果如下圖中右下角所示，0x71323c開頭的地址即為DarkMatter項目發布者地址。

第二步，對已知項目發布者地址進行查詢。目標是查詢該地址發布的所有交易歷史記錄的哈希值。通過查詢，DarkMatter項目發布者地址所有交易歷史記錄如下圖所示：

區塊鏈用戶的交易歷史記錄中包括所有的從該賬戶地址發起與被該賬戶接收的交易。

每一條交易都有不同的目的和邏輯。為了查詢項目發布者是否有惡意欺詐歷史，需要從該賬戶所有的交易歷史記錄中查詢是否存在創建以惡意欺詐為目標的智能合約的交易。

通過查詢可以發現該項目方除DarkMatter項目智能合約之外，還創建了另外兩個智能合約，它們的地址為：

1.?0x852B1106ce359ED128451dC753EA4c3289eefadD

2.?0xAdEeE1bcb63F3477c45400249E78Bc4f565A59e0

根據準則第一條，項目發布者是否有惡意欺詐歷史，這兩個智能合約也存在極大的欺詐風險。

經過對這兩個智能合約的源代碼驗證情況以及源代碼進行分析，第2個地址0xAdEeE1bcb63F3477c45400249E78Bc4f565A59e0是名為Rift項目的智能合約地址，并且該項目源代碼中存在與DarkMatter完全一致的安全漏洞。

以上是查詢項目發布者是否有惡意欺詐歷史的步驟。

總結

項目發布者是否有惡意欺詐歷史的查驗過程相對容易理解，難點在于——查詢所有的交易記錄中創建智能合約的交易，以及后續確認這些智能合約中是否真正存在漏洞。

這些工作需要專業的區塊鏈智能合約審計知識與豐富的經驗。

看到這篇文章的讀者中，大概并非100%擁有這樣的專業知識。

如果你有，歡迎你加入CertiK的團隊！

當然，僅僅一文無法將十條準則詳盡講解。請持續關注CertiK，學習更多預防項目方欺詐所需遵循的準則以及準則的應用。

目前，CertiK已將這十條準則的大部分安全驗證功能集成到了CertiK?Skynet天網掃描系統當中。這是一個能夠幫用戶在惡意漏洞發生之前識別并且標記漏洞的動態掃描系統。

簡單概括：Skynet天網=快速掃描=即刻的安全分析

它可以結合CertiK開發的安全預言機，通過實時的安全檢測為智能合約提供實時的鏈上安全評估。所有用戶能夠在與協議進行交互之前評估交互方可能存在的任何潛在風險，從而最大程度地降低安全隱患。

更重要的是，Skynet天網作為CertiK獨立開發的最新工具，也可用于評估智能合約的安全性并提高安全預言機建議的可靠性與可信度。

想知道一次掃描，需要花多長時間嗎？

大概是你起身去接杯水的功夫，短短112秒左右，你還沒有來得及泡杯茶，bug就已經被檢測到了。并且它可以在20-30分鐘內，為用戶出具一個安全情報和評分，每時每刻為你提供鏈上交易的實時防護。

Skynet天網打分測評系統

復制以下鏈接，查看Skynet天網的打分吧！

https://certik.org/

靈活運用安全工具及硬核準則，相信下一個幣圈大佬就是你！

Tags：區塊鏈certikERTCERT區塊鏈的未來發展前景數字化研究certik幣價manitosupertokenAnimal Concerts

SAND