网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

众所周知,元宇宙是最近几年互联网、资本和科技领域最火的概念。而受此影响,作为元宇宙世界的重要基础形式之一和入门级应用、流量入口,数字藏品也火遍全球,不仅各大科技巨头争夺元宇宙入场券的首选和优选的场景,也吸引着各路势力的入局。

北京冬季体育赛事之后,中国的数字藏品热如烈火烹油一般达到高潮。据《数字藏品应用参考》发布的数据,截至2022年7月上旬,国内数字藏品平台已超过700家。其中不乏资质不齐全、资金实力弱小、技术能力不完备的小平台。

不过就在数字藏品热席卷大江南北的同时,各种安全事故也如影随形地出现。3月,数字藏品平台“唯一艺术”的服务器频遭违规软件和DDoS攻击,导致系统出现故障,部分订单出错;

5月17日凌晨,天穹数藏App上的藏品价格突涨千倍,暴涨后价格千万的藏品也能被“秒卖”,平台发布公告称遭遇大量恶意攻击,导致数据异常;6月28日夜间,有多个玩家在社群中表示光艺数藏“一度暴跌80%、无法提现、涉及洗钱,导致玩家银行卡显示异常、跑路等问题,甚至有数藏玩家爆料,已拿到光艺数藏负责人梁某某账号,发现其账号中持有大量数字藏品,涉嫌操纵数藏二级寄售市场的价格……

类似的信息层出不穷。截至目前,仅黑猫投诉平台上涉及“数字藏品”的相关投诉就累计超过2500条,其中数据丢失、购买藏品被盗是主要的问题之一。

在数字藏品安全风险章节,《数字藏品应用参考》指出,数字藏品是依托于区块链这一新兴互联网技术而产生的,虽然区块链技术通过分布式共识机制拥有天然防篡改特性,但是由于信息系统建设及应用管理的复杂性,如果考虑不周,仍然会存在一定的安全风险。数字藏品中面临的最大技术风险,是区块链系统特有的安全问题。而在这当中,很大一部分又是智能合约安全问题。

我们都知道,数字藏品的底层支撑技术是区块链。而智能合约,则是一段写在区块链上的代码——大到一条公链,小到一个项目,都是由代码写成。

根据知名学者Nick Szabo在1990年代提出的概念,智能合约(Smart Contract)是一套以数字形式定义的承诺.commitment),包括合约参与方可以在上面执行这些承诺的协议。根据协议,一旦某个事件触发合约中的条款,代码就会自动执行,无需人为操控。所以,智能合约就是合约数字化——当满足一定条件后,由程序自动执行的技术。这种技术更易于合约保存,并且由确定的算法运行,给定输入,就得到对应的输出,极大保障了合约的执行力。

图片来自于网络

但凡事都有两面性。当我们享受智能合约强制自动执行优势所带来的颠覆性变革时,也不得不承受其缺点造成的影响。由于智能合约的代码在区块链环境上执行是不可修改的,一旦代码本身出现bug,就必须修改合约代码后重新部署新的合约。如果项目的业务模型十分复杂,合约中的代码就难以修改,缺陷会一直存在,这就很容易出现安全漏洞,从而有可能导致链上资产的损失。

不光如此,由于智能合约的代码往往是公开的,编译后的二进制数据,也是所有人都可以访问的。假如智能合约的代码存在漏洞,那么漏洞就很容易被他人利用,导致隐私数据泄露,导致资产面临丢失风险。

数字藏品的智能合约安全漏洞频出,还与区块链平台自身的不成熟有关。目前,业界常见的区块链平台仍处于不断开发、迭代过程中。随着版本的更新,各类区块链平台也会出现或大或小的变化,进而带来安全风险。