主页 > 软件下载imtoken > BEC事件的本质:归根结底是Account和UTXO两种模型体系的较量
BEC事件的本质:归根结底是Account和UTXO两种模型体系的较量
2月23日,Beautychain上线海外交易所OKEx。 该令牌被命名为 BEC。 开市后,BEC涨幅高达4000%,市值一度达到280亿美元。 惊人的趋势引起了巨大的争议。 4月22日中午前后,BEC美密合约被曝出重大漏洞。 黑客通过合约批量转账的方式生成了无限量的代币。 大量BEC从两个地址转出,引发抛售潮。 那一天,BEC的价值几乎为零。
BEC事件并非孤例,智能合约的安全问题很容易被忽视。 不出所料,几天后的26日凌晨,SMT被曝出类似漏洞。 火币Pro和OKEx先后暂停SMT交易,火币Pro同时暂停所有币种的充提。 也就是说,黑客可以用同样的方法利用SMT以太坊智能合约的漏洞进行攻击,SMT很可能成为第二个BEC。 至于以太坊上有没有其他项目也采用了这种方式,甚至在网上交易所上线了大量的韭菜,我不知道,我也很害怕。 因此外管局资深老韭菜再次提醒所有区块链团队和智能合约开发爱好者,合约发布需谨慎。
话说回来,这个漏洞还是比较明显的,属于古老的整数溢出(overflow)攻击。 溢出是由于程序员设计的不足造成的错误。 利用一段未经安全检查的代码,黑客可以通过转账的方式生成合约。 大量不存在于账户中的Token转入正常账户进行交易,与真实Token一模一样。
虽然此次黑客事件造成了BEC价值的巨大损失,但相比于规则漏洞或合约后门问题,整数溢出漏洞并没有那么高级或难以发现。 只需要对计算结果进行safeMath安全验证即可。 因此,BEC事件的发生反映了以太坊智能合约的编程规范、测试标准和验证问题。 目前国内区块链团队如雨后春笋般涌现,但代码上线前可能没有经过专业的审计,也没有设置赏金奖励漏洞。
针对目前以太坊智能合约可能存在的各种问题,国外大部分区块链项目都开发出了较为成熟的处理方式。 合约代码需要测试和审查。 他们一般会在上线前寻求专业的安全审计团队的帮助。 ,一些大型交易所和钱包甚至会要求第三方审计报告。
即便如此,外管局资深老兵李克仍然认为,这样日以继夜的防守终究不是长久之计,效果确实不尽如人意。 可能没有人愿意增加技术和成本的投入来确保智能合约的安全。 还要担心会不会有其他漏洞被黑客利用。 有的朋友可能不明白,为什么仅仅几行智能合约的代码就会出现这么多问题呢? 相信任何一个从事智能合约开发2个多月的开发者都会对EVM和solidity的各种坑深有感触。 追根溯源就是Account和UTXO这两个模型体系的区别。
那么什么是账户? Account的翻译是账户。 比如我的银行卡A账户有1元,那么我们的第一反应就是A账户余额为1元。 这是最典型的账户模型系统,也是我们日常生活中最成熟的。 对于交易模型批量生成以太坊钱包地址,以太坊选择Account账户模型。 以太坊专为智能合约而设计。 除了余额,账户模型中还有智能合约代码、随机数和自定义存储。
那么什么是UTXO? UTXO模型是一种区别于账户的金融交易模型。 UTXO 是未花费交易输出的缩写。 所谓未花费交易输出是指该地址上所有未花费交易金额的总和。 它的最小单位是交易,每笔交易对应一个金额。 UTXO一旦被创建,就不可分割,遵循能量守恒定律,负责实现货币在交易中的价值转移。 因此,我们在比特币钱包中看到的账户余额,其实就是UTXO聚合计算的产物。 UTXO是比特币创造的价值传递的基本单位,其安全性和稳定性得到了运行多年的比特币网络的验证。
总结一下,我们可以大致理解为:
UTXO的优点是:
更私密(如果用户每次交易都更改地址,将很难找到两个地址之间的关联); 潜在的可扩展性;
账户的优点是:
节省大量空间(每笔交易只有一个输入,一个输出,一个签名); 更大的可替代性; 简单性(简单的编码,没有更复杂的脚本); 轻客户端;
UTXO和Account这两种模型各有优缺点。 因此,区块链项目在选择资产发行时,考虑哪种模式更适合自身的应用场景是极其关键的。 目前,绝大多数区块链项目都是基于这两种模式中的一种。 Annet中的安全资本功能采用比特币UTXO模型,无需编写智能合约即可发行代币。 这种模式比以太坊智能合约更方便、更安全。
最近爆出的智能合约漏洞,大部分都是代码问题。 假设资产的发行不需要智能合约,那么安全问题自然就解决了。 Anzi的出现打破了比特币和以太坊社区与开发者之间的壁垒,解决了以下痛点:
(1) 降低发行Token的风险,发行Token不需要编写智能合约,没有代码风险,保障了Token的安全;
(2) 一些数字货币团队会为了获得短期利润而开发数字货币。 Annet 会设计一些规则来增加资产发行的成本,限制接口的滥用。 例如:使用安全资金功能发币必须消耗500 SAFE,并增加应用数据交易手续费,限制交易次数、无用应用和数据; 从而告诫开发者慎重权衡ROI,帮助SAFE成为最好的数字货币。
(3) 发币和技术维护成本太高,没有专业的开发人才,可以由安子代劳,发币全过程由图形化操作界面完成,安全性有保障区块链底层平台;
可以看出安子模型的设计非常完美,比想象中复杂的多。 随着数字货币市场的蓬勃发展,大量的黑客团体也将目光投向了数字货币的安全问题。 除了开头提到的加强安全审计和代码审查之外,还有一种方式是直接交给可追溯的首字母Annet这个验证交易链上所有记录的底层区块链开发平台,把控安全。
严复先生说:“无新则无进,无旧则无守”。 不创新就不能进步,不牢记传统就不能留住胜利的果实。 谨将这句话献给安网。 至于最终的选择批量生成以太坊钱包地址,还是让市场来决定吧!
免责声明:时空财经刊登本文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。 文章内容仅供参考,不构成投资建议。 投资者据此操作,风险自负。
