以太坊合約漏洞

『壹』 以太經典是如何誕生的

去年六月，以太坊最熱項目TheDAO被黑客利用智能合約的漏洞，轉移了市值五千萬美元的以太幣。為了挽回投資者資產，以太坊社區最終做出投票表決，大部分參與者同意更改以太坊代碼，希望索回資金。為此，以太坊進行硬分叉，作出一個向後不兼容的改變，讓所有的以太幣——包括被黑客佔有的——都回歸原處。
這里有必要介紹下什麼是硬分叉。區塊鏈也不是一成不變的程序，也會升級系統規則，改變一些代碼。在系統升級的過程中，如果某些節點不接受升級則導致整個網路無法達成統一共識，這時就會出現兩條區塊鏈，這就是硬分叉。即將在8.1日發生的比特幣硬分叉也是這樣的情況，這里我們就不展開講解了。
對於硬分叉這件事，以太坊有一部分人不同意這個做法，他們認為區塊鏈的本質是去中心化、開放性和不可更改，這是它的價值所在，因而拒絕修改交易記錄。以太經典的網站上寫道：「以太坊基金會回應的方式可能是最糟糕的一種，我們相信最初版本的以太坊，作為一個世界電腦，它不會說倒就倒，它運行著不可逆的智能合約。」通過留在未經變動的以太坊版本中繼續挖礦，這些人用自己的方式保護著這些價值。聽上去好像是跟情懷相關的事。
由於此次硬分叉是通過區塊鏈公開進行的，因此雖然存在著反對的意見，但隨著越來越多人對於硬分叉的支持，2016年7月21日，以太坊硬分叉成功。
目前，以太坊的「官方」版本ETH，是由其原始開發者進行維護的;以太經典ETC則是由一個全新團隊進行維護。這是第一次主流區塊鏈為了補償投資人而通過分叉來變更交易紀錄。分叉以前就持有以太幣的人在分叉後會同時持有ETH和ETC，存在交易所或在線錢包中的以太幣也不例外。此次分叉衍生出來的兩個市場，總價值達12億美元以上。
目前，越來越多的以太坊礦工投入大量算力到這款經典區塊鏈中，ETC交易量上漲，不僅僅是因為理念上的符合，更是因為他們看到了保護交易安全及贏得相關挖礦獎勵的價值。以太經典面世後一兩天的數據讓人印象深刻，其網路的哈希率是544GH/s，佔了以太坊網路哈希總量的13%。
「幣匯」是第一家接受ETC幣種的交易所，隨後大部分支持ETH的交易所也開始陸續支持ETC。OKCoin幣行在7月15日開啟ETC充值，並在17日正式上線ETC現貨交易

『貳』 第三代區塊鏈將彌補以太坊留下的 Defi 漏洞

由於ETH 2.0 升級距離全面發布還有數月甚至數年的時間，第三代區塊鏈協議正在迅速趕上取代以太坊作為 dapps 和 defi 的「首選」樞紐。

盡管很多人可能只是最近才發現它，但區塊鏈技術已經存在了足夠長的時間，可以從第一代協議發展到第二代協議，現在已經發展到第三代協議。

第一代區塊鏈始於比特幣，比特幣是中心化金融服務霸權的替代方案。它為去中心化的金融生態系統奠定了基礎，但比特幣網路提供的功能有限，需要巨大的計算能力才能運行，並且嚴重缺乏互操作性。

這導致了 2015 年以太坊的出現，標志著第二代區塊鏈協議的曙光。隨著 Vitalik Buterin 在區塊鏈上引入智能合約功能，它引發了範式轉變，使加密貨幣能夠從金融工具過渡到更實用的目的。

以太坊通過在鏈上實現數據和價值的「有條件轉移」，打開了去中心化的金融 (defi) 的大門。從那以後，以太坊一直在瘋狂發展，鞏固了自己作為啟動 dapps、NFT 和 defi 協議的首選平台的地位。

開發人員和採用者接受了復仇，並開始生成自己的ERC20令牌，這么多的社交媒體平台開始談論的「flippening」 -在ETH將超過BTC市值的條款。

然而，盡管它取得了成功，但問題很快在以太坊區塊鏈上顯現出來。隨著新項目大量進入以太坊生態系統，網路開始面臨可擴展性問題。Gas 費用飆升，有限的交易吞吐量成為日常問題。

以太坊的創造者 Vitalik Buterin 也表達了他對以太坊擴展能力的懷疑，他說：

雖然提議的以太坊 2.0 升級承諾解決當前使以太坊網路蒙上陰影的問題，但事情並沒有按計劃進行。ETH 2.0的第一階段最初定於 2019 年推出，於 2020 年 12 月開始。還有兩個階段，在 2022 年之前完全發布的可能性很小。

因此，聲稱該網路在實現其成為世界「去中心化計算機」的核心願景之前還有很長的路要走，這並不誇張。

盡管比特幣和以太坊帶來了創新，但這些鏈都受到各自的可擴展性和效率問題的困擾。同時，這兩個網路都需要大量的計算資源才能運行。所有這一切都導致了令人痛苦的緩慢吞吐率和過高成本的永久循環。

已經開發了許多地方 2 層次擴展解決方案來克服比特幣和以太坊的固有問題，每個解決方案都取得了不同程度的成功。二層解決方案在一定程度上解決了互操作性和可擴展性問題，但與共識機制和挖礦相關的核心問題還有待解決。

這就是第三代區塊鏈出現的地方。雖然一些第三代協議可以補充現有的區塊鏈網路，但其他一些是全新的區塊鏈，擁有廣泛的特性和功能。從多層架構到創新的共識機制，第三代區塊鏈協議不僅完全能夠解決出現的可擴展性問題，而且還具有高度的互操作性、快速性和成本效益。

不可否認，defi 熱潮是因為以太坊而發生的，並且以太坊仍然主導著 defi 市場。然而，隨著基於第三代區塊鏈協議的新定義項目的出現，以太坊的權威無疑將受到挑戰。

隨著 defi 不斷擴大其市場，下一個「Defi 熱潮」很可能來自於比早期區塊鏈網路創新更敏捷、更專注的新興產業。也就是說，隨著加密世界為「下一次大翻轉」奠定了基礎，有前途的項目正在排隊等待更新的區塊鏈技術。

在市場主導地位方面，Cardano、Solana 和 Polkadot 處於領先地位。每個平台都提供一系列功能，這就是為什麼新項目聯盟正在排隊開始在這些平台上構建他們的想法。

例如，卡爾達諾的穩定幣和 defi 中心Ardana使卡爾達諾能夠擴展到 defi 領域。該平台及其組成協議是從定義宏觀的角度設計的，旨在為用戶提供所需的功能，以幫助維護卡爾達諾鏈上所有類型的去中心化經濟。它將作為一個金融基礎層，通過採用 歷史 證明的可組合性、資本效率和穩定性的協議模型來支持卡爾達諾的去中心化經濟。

作為其戰略路線圖的一部分，Ardana 將很快推出 dUSD。這種可驗證的、鏈上抵押支持的穩定幣將幫助用戶將他們的ADA和其他支持的資產投入使用。該平台還將推出其 AMM dex（去中心化交易所）Danaswap，用於穩定的多資產池。根據 Ardana 團隊的說法，Danaswap 將提供資本高效的掉期，同時以最小的滑點為目標，並使流動性提供者能夠利用低風險的收益機會。

另一項雄心勃勃的計劃是Acala，它是利用第三代區塊鏈協議 Polkadot 的內置功能的 Defi 流動性中心。目前，幾乎所有穩定幣都建立在以太坊網路上，限制了採用和使用。Acala 希望通過利用 Polkadot 的速度、跨鏈互操作性和成本效率來改變這一現實，以提供具有內置流動性和現成的去中心化金融應用程序的 defi 中心。

同樣，Acala 聲稱以其他網路所需的一小部分來結算交易，在 defi 競賽中建立了數量優勢。該平台將通過 Polkadot 基於權重的費用模型支持受交易復雜性影響很小的小額 Gas 費用。此外，Acala 還將引入「演算法風險調整」功能，該功能將自動修改其借貸協議的風險參數，包括利率和抵押品比率。

最後，在這場正在進行的 defi 市場份額爭奪戰中，建立在 Solana 區塊鏈網路上的一體式加密交易平台Atani是另一個需要監控的重量級競爭者。該平台提供免費的加密交易工具，並與 Kucoin、Binance、Okex、Bitfinex、Poloniex 等頂級交易所合作，為用戶提供更低的交易費用。

Atani 最近在 Solana 上推出了新的 dex 聚合器，以提供訂單路由功能，同時提供投資組合跟蹤、價格警報、技術分析等附加組件。有了這個聚合器和 Solana 的嵌入特性，Atani 的計劃是減少分散的 defi 生態系統之間的摩擦，將 cexs（中心化交易所）和 dexs 的流動性提供給 Solana 生態系統，同時確保多鏈支持。

當談到挖掘 defi 的真正潛力時，我們還沒有真正觸及表面。Web 3.0 正在發展，地球村正在變得越來越小。與此同時，defi 服務對於全球沒有銀行賬戶和銀行賬戶不足的人來說都是革命性的，他們需要更多空間來擴展，就像現有協議推動網路容量限制一樣。

從公正的角度來看，Polkadot、Cardano、Solana 和其他幾個第三代區塊鏈平台為阻礙傳統鏈的可擴展性和互操作性提供了急需的解決方案。它們更快、更安全、更具成本效益且資源消耗低，將它們定位為可廣泛使整個加密貨幣行業受益的多合一解決方案。隨著以太坊 2.0 的首次亮相還有很長的路要走，第三代區塊鏈協議已經在這里完成繁重的工作並將 defi 提升到一個新的水平。

您認為哪個網路會贏得 defi 競賽？請在下面的評論部分告訴我們。

#熱議區塊鏈# #數字貨幣# #比特幣[超話]#

『叄』 以太坊區塊鏈ETH目前存在哪些問題

以太坊區塊鏈目前暴露出三大問題，長時間以來其創始人Vitalik Buterin一直無力解讀。第一是以太坊區塊鏈整體很低的性能和TPS；第二是資源不隔離，CryptoKitties虛擬貓咪的事件，一度占據了整個以太坊 20% 的流量，直接造成以太坊網路用戶無法展開及時的交易，就是資源不隔離最大的痛點；第三個問題在於以太坊治理結構的體現，區塊鏈作為去中心化的分布式賬本，以太坊過去以來，創始人團隊主導了其網路發展，過於中心化的治理模式，讓目前的以太坊出現了ETH、ETC、ETF等分叉，以太坊社區目前進入四分五裂的治理狀態。而以太坊網路目前出現的各種弊病，在「aelf」創始人與CEO馬昊伯看來，這是無法接受的。於是，「aelf」定位，就是為對標以太坊的下一代去中心化底層計算平台，重點解決目前以太坊存在的性能不足、資源不隔離、治理結構三方面的問題而誕生的。

『肆』 以太坊開發人員正在應對最壞情況

以太坊准備好迎接「倫敦」硬分叉了嗎？

隨著以太坊准備在8月4日星期三激活其第11次向後不兼容升級，也稱為「硬分叉」，一些開發人員擔心升級可能會在部署前進行更多測試。

在7月23日星期五舉行的每兩周一次的以太坊核心開發者會議之後不久，以太坊基金會的提姆·貝科在所有的核心開發者Discord 聊天室中寫道，「有幾個人已經聯系或發推文說他們不一定對不延遲[硬分叉]感到滿意……我[在會議上]詢問了這個問題，似乎沒有人有強烈的意見，但有些人提到這可能不是正確的方法。」

在回應貝科的評論時，以太坊軟體客戶端開發人員阿列克謝·阿胡諾夫表示，他同意，鑒於最近發生的事件，在每兩周一次的會議上，沒有更多討論可能推遲被稱為「倫敦」的硬分叉。

「我想我知道為什麼，」阿胡諾夫寫道。「推遲 [倫敦] 是一個敏感話題，沒有人願意承受壓力，這是可以理解的。」

聊天室中的其他人懇求以太坊開發人員認真考慮將倫敦再推遲幾周進行進一步測試。

對倫敦升級風險的擔憂—其中包括影響以太坊費用市場的有爭議的代碼更改，稱為以太坊改進提案(EIP)1559—在以太坊軟體客戶端Geth中發現一個錯誤後增長。

作為背景，Geth是最流行的用於連接以太坊的軟體。據Ethernodes.org稱，在所有同步到以太坊網路的計算機（也稱為節點）中，估計有86%運行Geth客戶端軟體。

7月21日星期三，一個月前啟動倫敦硬分叉的以太坊測試網路Ropsten，在運行Geth的節點將無效交易挖入一個區塊，而運行少數客戶Besu和Open以太坊的節點卻拒絕了它。

幾個小時內，Geth團隊發布了一個補丁程序，並鼓勵所有用戶將他們的軟體更新到最新版本號Terra Nova1.10.6。

雖然沒有開發人員認為該漏洞應該在周五的電話會議期間延遲倫敦的主網路激活，但一些開發人員確實討論了如果在以太坊而不是在測試網路上發現此類漏洞的適當行動方案。

「如果像這樣的事情發生在主網上，我們會怎麼做，尤其是在大多數客戶Geth正在生產區塊的地方？顯然需要幾個小時才能修復，」貝科在會議期間說。

以太坊基金會的馬丁·霍爾斯特·斯溫德強調，這些漏洞在Ropsten上並不是前所未有的，雖然解決它們「很麻煩」，但有兩種方法可以解決它們。

首先，如果用戶的節點遵循錯誤的區塊鏈版本，用戶將需要在鏈分裂之前在內部將鏈「倒回」到區塊，並使用修補過的Geth軟體同步到新鏈。其次，如果用戶的節點尚未同步到區塊鏈的某個版本，但正在嘗試連接到網路以收集有關最近交易的數據或執行交易，則用戶最終可能會連接到錯誤版本的鏈。為了避免這種情況，這些用戶需要將以太坊上遵循正確鏈的某些節點「列入白名單」，並與卡在錯誤鏈上的其他節點隔離。

倒帶和白名單以太坊節點都可以通過Geth完成。Ropsten上的礦工能夠使用這些策略解決上周三發生的鏈分裂問題，盡管一位礦工在周五的會議上指出，在周三的事件發生之前，修復鏈分裂的指令沒有得到有效傳達，因此讓許多礦工對如何正確重啟節點感到困惑。

用戶「AlexSSD7」在Discord 聊天室中寫道，作為以太坊礦池的代表，他們「擔心」Geth中的錯誤，並指出，「一分鍾的[網路]停機時間讓我們付出了很多代價。一小時的停機時間對我們來說是2萬美元。」

客戶端軟體中的意外錯誤確實會對在主網路上運行的交易所和企業造成破壞，這就是為什麼開發人員強調需要一個強大的監控系統，該系統可以快速提醒節點運營商鏈分裂並鼓勵他們暫停運營直到進一步調查。

「這似乎是一個非常容易實現的成果，為生態系統提供了一種價值基調。如果你不確定如何開始，請在Discord中詢問，」貝科在周五的會議上說。

如果在主網上部署倫敦後再次發生類似於周三發生的錯誤，這些解決方案肯定會有所幫助，但它們不一定是用於解決更大規模問題的相同解決方案，例如黑客神奇地列印了1億個ETH。

如果發生如此災難性的事情，以太坊基金會的丹尼·瑞安在周五的會議上表示，很難提前知道開發人員將如何進行。

「我認為對於將出現的多種類型的錯誤和多種類型的特性，只有多種選擇，」瑞安說。

網路漏洞的影響越嚴重，解決漏洞的解決方案就越可能具有侵入性——並且對以太坊作為安全區塊鏈的聲譽的損害就越大。

隨著以太坊發展路線圖的近期硬分叉越來越雄心勃勃，找出最壞情況的潛在解決方案以及與網路權益持有人的損害控制計劃可能很快成為開發人員考慮的當務之急。

Fountain聯合創始人馬修·香森說：「傳統市場的DeFi：當安全代幣出現時。」 。 亮點 ： Fountain是以太坊上的一個去中心化交易所，使用戶能夠買賣安全代幣。香森強調了區塊鏈技術提供的流動性和可訪問性，每天24小時可訪問並允許即時結算。證券通證化還有其他一些好處，包括進一步提高可訪問性的資產透明度和分拆。然而，建立一個完全去中心化的證券交易所有很多挑戰。入職客戶和新證券都需要遵守國際法規，包括了解客戶法律和託管許可證。

「信貸授權的力量」，Aave創始人斯坦尼·庫萊霍夫的演講。亮點： Aave是一個建立在以太坊基礎上的去中心化借貸協議。該協議背後的團隊已經開發出一種可以提供零抵押貸款的產品。庫萊霍夫認為，這是在將DeFi流動性引入實體經濟和推動Aave借貸需求方面向前邁出的一步。

以太坊創造者維塔利克·巴特林所說的「DeFi之外的事情」。亮點： 除金融服務外，社交媒體和公共產品融資是以太坊尚未開展的兩項活動。巴特林認為，網路的代幣經濟和抵抗審查是這些活動能夠從建立在去中心化區塊鏈之上獲益的兩個原因。

「Uniswap，DeFi&消費金融的未來」，Uniswap增長負責人Ashleigh Schap的談話。亮點： Uniswap實驗室正試圖與Talos、Paxos和Fireblocks等區塊鏈基礎設施公司建立合作關系，將DeFi解決方案連接到PayPal和E*Trade等知名金融 科技 公司的後端。

Circle協議開發者朱利安·布特盧普談到「為什麼DEX正在吞噬世界」。亮點： 在最好的情況下，[去中心化金融]允許世界公民平等地使用所有貨幣、股票和金融平台。隨著領域的發展，去中心化將成為一種趨勢。監管者將監督傳統金融界使用的協議，用戶仍將有權進入DeFi如今的「狂野西部」試驗場。

#比特幣[超話]# #數字貨幣#

『伍』 DeFi安全嗎

越來越多的人希望通過攻擊智能合約來竊取資金，他們正在利用當智能合約組合在一起時出現的漏洞進行攻擊。

2020年，對DeFi的攻擊中，被套取或盜取的總金額已經達到了3600萬美元。但因為dForce的攻擊者退還了被盜的2500萬美元，所以實際金額大約有 1100 萬美元。

與以太坊早期相比，每次黑客攻擊的平均損失價值已經明顯下降。在2020年的10次攻擊中，有8次的攻擊金額低於100萬美元。

DeFi

在以太坊早期，大多數攻擊都是基於找到個別漏洞，讓攻擊者有能力凍結或耗盡智能合約。2016年臭名昭著的DAO黑客事件就是如此，1.6億美元的ETH被盜，以太坊最終因此分叉。同樣，2017年的Parity多簽襲擊讓黑客盜取了3000萬美元，Parity錢包中1.5億美元被凍結，都是這類漏洞造成的後果。

這類智能合約的漏洞仍不時被人利用。最近，一名攻擊者成功地從代幣合約中竊取了所有的VETH，僅通過耗盡VETH-ETH Uniswap池就獲利了90萬美元。但這是VETH造成的一個簡單失誤，因為VETH修改ERC20代幣標準的方式有邏輯上的錯誤。

總的來說，現在的安全性有所提高，特別是那些關注度比較高的項目。它們的安全性提升是由於用戶對審計的期望和圍繞測試的工具改進推動的。最近DeFi中最大的安全問題是dForce 2500萬美元的數字資產在借貸市場中被盜。然而，由於攻擊者的IP地址被發現並與新加坡警方共享，因此這些資金被退了回去。

鏈喬教育在線旗下學碩創新區塊鏈技術工作站是中國教育部學校規劃建設發展中心開展的「智慧學習工場2020-學碩創新工作站 」唯一獲準的「區塊鏈技術專業」試點工作站。專業站立足為學生提供多樣化成長路徑，推進專業學位研究生產學研結合培養模式改革，構建應用型、復合型人才培養體系。