近年來,區塊鏈技術受到廣泛採用,橫跨各個機構、政府、散戶投資者和用戶。然而,區塊鏈使用和加密貨幣投資的激增引起了政府和監管機構的關注。區塊鏈的去中心化性質和跨境能力,加上詐騙、黑客入侵和其他非法活動的增加,凸顯了對其進行審查的必要性,這種關注因缺乏全面的監管措施而加劇。
本篇博文旨在為個人和組織在考慮採用或投資區塊鏈、加密貨幣和代幣時,提供風險盡職調查的基本指引。重要的是,本指南並非財務建議,而是旨在幫助用戶識別和規避可能帶來重大風險的詐騙和投資。不過,針對個人情況的財務建議,讀者應尋求合格專業人士的諮詢。
採納和投資區塊鏈及加密貨幣的風險增加,主要源於對其網絡安全和可靠性方面缺乏透明度和理解。加上針對區塊鏈環境的獨特攻擊類型不斷湧現,這些攻擊與傳統安全問題有所不同。區塊鏈安全本質上常常偏離標準網絡安全實踐,這是由於其去中心化、不可篡改和加密特性。
這種背離導致新威脅不斷湧現,許多用戶可能並不熟悉其中細節。例如51%攻擊、智能合約漏洞、Finney攻擊和Vector76攻擊等,這些通常不在傳統網絡安全措施的防護範圍內。大多數針對區塊鏈的攻擊都涉及智能合約和共識機制的利用,而這在當代集中式數字環境中並不存在。
為了凸顯對區塊鏈和加密貨幣安全性和可靠性的深入理解的必要性,我們將檢視兩起真實的區塊鏈攻擊案例。這些攻擊造成了可觀的財務損失,成為投資潛在風險的警示。這些事件包括Poly Network跨鏈合約利用和以太坊經典51%攻擊。
案例一:Poly Network跨鏈合約利用Poly Network被黑事件發生於2021年8月10日,價值6億美元的12種不同加密貨幣被盜。黑客利用了一個漏洞,錯誤地管理了兩個智能合約之間的存取權限,這兩個合約負責處理不同橋接(鏈接)區塊鏈之間的代幣轉移,並將資金轉移到三個惡意錢包地址。
攻擊者利用了"EthCrossChainData"功能,該功能記錄了一份來自區塊鏈的公鑰清單,用於驗證數據的真實性。攻擊者修改了該清單,使其與自己的私鑰相匹配,從而將資金重新導向到選定的惡意錢包。這種黑客事件本可以通過對源代碼進行徹底的漏洞評估來預防。值得注意的問題是,對跨鏈交易所固有的風險,投資者和採用者獲得的相關資訊不足。這些風險源自執行此類操作所需的複雜編碼,這往往無法被參與者完全理解。
案例二:以太坊經典51%攻擊
以太坊經典區塊鏈遭受了四次"51%攻擊",在這些攻擊中,單個實體獲得了網絡大部分的算力,通過引入許多具有高計算能力的網絡節點,遮蓋了合法節點的算力。這使得攻擊者能夠操縱網絡交易並盜取以太坊經典幣。投資者和採用者往往不瞭解工作量證明共識機制所蘊含的風險,這使得低算力的區塊鏈容易受到攻擊。
算力來自驗證節點貢獻的算力,用於驗證和保護區塊鏈交易。當算力低於一定程度時,攻擊者就可以利用自身算力壓倒網絡。這對投資者影響重大,可能導致重大財務損失。此類事件可以通過監控區塊鏈網絡的算力來預防,一旦算力跌破臨界值,即採取主動措施,同時監控鏈上行為以防止雙重支付。
區塊鏈評估方法
採納者、投資者和大型組織首要關注的是選擇可靠和安全的數字資產,以避免因欺詐或其他意外而導致價值流失。因此,我們將提出一種經驗性的評估方法,以降低相關風險,指導選擇可靠和安全的區塊鏈、加密貨幣和代幣,為投資和採納決策提供框架。
這種方法的核心包含九大基本支柱:區塊鏈類型、共識機制、團隊、白皮書、源代碼、歷史駭客和漏洞、錢包分佈、政府和法律審查以及流動性。儘管目前用於評估區塊鏈和加密貨幣的屬性被認為足夠,但重要的是要認識到,這些標準很可能會隨著區塊鏈技術和加密貨幣的發展而演變。未來這些技術的變化和改進,可以從開發人員在白皮書或GitHub頁面上介紹的區塊鏈系統和加密貨幣的新功能中推斷出來。
總體而言,本報告詳盡地介紹了用於對區塊鏈和加密貨幣進行盡職調查的重要方法和因素,包括區塊鏈類型、共識機制、團隊背景、白皮書內容、源代碼審查、漏洞史、錢包分佈、監管審查和流動性等。這些因素有助於識別和規避詐騙和高風險投資。通過仔細評估和權衡這些關鍵指標,投資者和採用者能夠做出更明智的決策,選擇可靠、安全和有前景的加密貨幣項目。
詳情請看:
Cryptocurrency and Blockchain security due diligence: A guide to hedge risk