以太坊合约漏洞

『壹』 以太经典是如何诞生的

去年六月，以太坊最热项目TheDAO被黑客利用智能合约的漏洞，转移了市值五千万美元的以太币。为了挽回投资者资产，以太坊社区最终做出投票表决，大部分参与者同意更改以太坊代码，希望索回资金。为此，以太坊进行硬分叉，作出一个向后不兼容的改变，让所有的以太币——包括被黑客占有的——都回归原处。
这里有必要介绍下什么是硬分叉。区块链也不是一成不变的程序，也会升级系统规则，改变一些代码。在系统升级的过程中，如果某些节点不接受升级则导致整个网络无法达成统一共识，这时就会出现两条区块链，这就是硬分叉。即将在8.1日发生的比特币硬分叉也是这样的情况，这里我们就不展开讲解了。
对于硬分叉这件事，以太坊有一部分人不同意这个做法，他们认为区块链的本质是去中心化、开放性和不可更改，这是它的价值所在，因而拒绝修改交易记录。以太经典的网站上写道：“以太坊基金会回应的方式可能是最糟糕的一种，我们相信最初版本的以太坊，作为一个世界电脑，它不会说倒就倒，它运行着不可逆的智能合约。”通过留在未经变动的以太坊版本中继续挖矿，这些人用自己的方式保护着这些价值。听上去好像是跟情怀相关的事。
由于此次硬分叉是通过区块链公开进行的，因此虽然存在着反对的意见，但随着越来越多人对于硬分叉的支持，2016年7月21日，以太坊硬分叉成功。
目前，以太坊的“官方”版本ETH，是由其原始开发者进行维护的;以太经典ETC则是由一个全新团队进行维护。这是第一次主流区块链为了补偿投资人而通过分叉来变更交易纪录。分叉以前就持有以太币的人在分叉后会同时持有ETH和ETC，存在交易所或在线钱包中的以太币也不例外。此次分叉衍生出来的两个市场，总价值达12亿美元以上。
目前，越来越多的以太坊矿工投入大量算力到这款经典区块链中，ETC交易量上涨，不仅仅是因为理念上的符合，更是因为他们看到了保护交易安全及赢得相关挖矿奖励的价值。以太经典面世后一两天的数据让人印象深刻，其网络的哈希率是544GH/s，占了以太坊网络哈希总量的13%。
“币汇”是第一家接受ETC币种的交易所，随后大部分支持ETH的交易所也开始陆续支持ETC。OKCoin币行在7月15日开启ETC充值，并在17日正式上线ETC现货交易

『贰』 第三代区块链将弥补以太坊留下的 Defi 漏洞

由于ETH 2.0 升级距离全面发布还有数月甚至数年的时间，第三代区块链协议正在迅速赶上取代以太坊作为 dapps 和 defi 的“首选”枢纽。

尽管很多人可能只是最近才发现它，但区块链技术已经存在了足够长的时间，可以从第一代协议发展到第二代协议，现在已经发展到第三代协议。

第一代区块链始于比特币，比特币是中心化金融服务霸权的替代方案。它为去中心化的金融生态系统奠定了基础，但比特币网络提供的功能有限，需要巨大的计算能力才能运行，并且严重缺乏互操作性。

这导致了 2015 年以太坊的出现，标志着第二代区块链协议的曙光。随着 Vitalik Buterin 在区块链上引入智能合约功能，它引发了范式转变，使加密货币能够从金融工具过渡到更实用的目的。

以太坊通过在链上实现数据和价值的“有条件转移”，打开了去中心化的金融 (defi) 的大门。从那以后，以太坊一直在疯狂发展，巩固了自己作为启动 dapps、NFT 和 defi 协议的首选平台的地位。

开发人员和采用者接受了复仇，并开始生成自己的ERC20令牌，这么多的社交媒体平台开始谈论的“flippening” -在ETH将超过BTC市值的条款。

然而，尽管它取得了成功，但问题很快在以太坊区块链上显现出来。随着新项目大量进入以太坊生态系统，网络开始面临可扩展性问题。Gas 费用飙升，有限的交易吞吐量成为日常问题。

以太坊的创造者 Vitalik Buterin 也表达了他对以太坊扩展能力的怀疑，他说：

虽然提议的以太坊 2.0 升级承诺解决当前使以太坊网络蒙上阴影的问题，但事情并没有按计划进行。ETH 2.0的第一阶段最初定于 2019 年推出，于 2020 年 12 月开始。还有两个阶段，在 2022 年之前完全发布的可能性很小。

因此，声称该网络在实现其成为世界“去中心化计算机”的核心愿景之前还有很长的路要走，这并不夸张。

尽管比特币和以太坊带来了创新，但这些链都受到各自的可扩展性和效率问题的困扰。同时，这两个网络都需要大量的计算资源才能运行。所有这一切都导致了令人痛苦的缓慢吞吐率和过高成本的永久循环。

已经开发了许多地方 2 层次扩展解决方案来克服比特币和以太坊的固有问题，每个解决方案都取得了不同程度的成功。二层解决方案在一定程度上解决了互操作性和可扩展性问题，但与共识机制和挖矿相关的核心问题还有待解决。

这就是第三代区块链出现的地方。虽然一些第三代协议可以补充现有的区块链网络，但其他一些是全新的区块链，拥有广泛的特性和功能。从多层架构到创新的共识机制，第三代区块链协议不仅完全能够解决出现的可扩展性问题，而且还具有高度的互操作性、快速性和成本效益。

不可否认，defi 热潮是因为以太坊而发生的，并且以太坊仍然主导着 defi 市场。然而，随着基于第三代区块链协议的新定义项目的出现，以太坊的权威无疑将受到挑战。

随着 defi 不断扩大其市场，下一个“Defi 热潮”很可能来自于比早期区块链网络创新更敏捷、更专注的新兴产业。也就是说，随着加密世界为“下一次大翻转”奠定了基础，有前途的项目正在排队等待更新的区块链技术。

在市场主导地位方面，Cardano、Solana 和 Polkadot 处于领先地位。每个平台都提供一系列功能，这就是为什么新项目联盟正在排队开始在这些平台上构建他们的想法。

例如，卡尔达诺的稳定币和 defi 中心Ardana使卡尔达诺能够扩展到 defi 领域。该平台及其组成协议是从定义宏观的角度设计的，旨在为用户提供所需的功能，以帮助维护卡尔达诺链上所有类型的去中心化经济。它将作为一个金融基础层，通过采用 历史 证明的可组合性、资本效率和稳定性的协议模型来支持卡尔达诺的去中心化经济。

作为其战略路线图的一部分，Ardana 将很快推出 dUSD。这种可验证的、链上抵押支持的稳定币将帮助用户将他们的ADA和其他支持的资产投入使用。该平台还将推出其 AMM dex（去中心化交易所）Danaswap，用于稳定的多资产池。根据 Ardana 团队的说法，Danaswap 将提供资本高效的掉期，同时以最小的滑点为目标，并使流动性提供者能够利用低风险的收益机会。

另一项雄心勃勃的计划是Acala，它是利用第三代区块链协议 Polkadot 的内置功能的 Defi 流动性中心。目前，几乎所有稳定币都建立在以太坊网络上，限制了采用和使用。Acala 希望通过利用 Polkadot 的速度、跨链互操作性和成本效率来改变这一现实，以提供具有内置流动性和现成的去中心化金融应用程序的 defi 中心。

同样，Acala 声称以其他网络所需的一小部分来结算交易，在 defi 竞赛中建立了数量优势。该平台将通过 Polkadot 基于权重的费用模型支持受交易复杂性影响很小的小额 Gas 费用。此外，Acala 还将引入“算法风险调整”功能，该功能将自动修改其借贷协议的风险参数，包括利率和抵押品比率。

最后，在这场正在进行的 defi 市场份额争夺战中，建立在 Solana 区块链网络上的一体式加密交易平台Atani是另一个需要监控的重量级竞争者。该平台提供免费的加密交易工具，并与 Kucoin、Binance、Okex、Bitfinex、Poloniex 等顶级交易所合作，为用户提供更低的交易费用。

Atani 最近在 Solana 上推出了新的 dex 聚合器，以提供订单路由功能，同时提供投资组合跟踪、价格警报、技术分析等附加组件。有了这个聚合器和 Solana 的嵌入特性，Atani 的计划是减少分散的 defi 生态系统之间的摩擦，将 cexs（中心化交易所）和 dexs 的流动性提供给 Solana 生态系统，同时确保多链支持。

当谈到挖掘 defi 的真正潜力时，我们还没有真正触及表面。Web 3.0 正在发展，地球村正在变得越来越小。与此同时，defi 服务对于全球没有银行账户和银行账户不足的人来说都是革命性的，他们需要更多空间来扩展，就像现有协议推动网络容量限制一样。

从公正的角度来看，Polkadot、Cardano、Solana 和其他几个第三代区块链平台为阻碍传统链的可扩展性和互操作性提供了急需的解决方案。它们更快、更安全、更具成本效益且资源消耗低，将它们定位为可广泛使整个加密货币行业受益的多合一解决方案。随着以太坊 2.0 的首次亮相还有很长的路要走，第三代区块链协议已经在这里完成繁重的工作并将 defi 提升到一个新的水平。

您认为哪个网络会赢得 defi 竞赛？请在下面的评论部分告诉我们。

#热议区块链# #数字货币# #比特币[超话]#

『叁』 以太坊区块链ETH目前存在哪些问题

以太坊区块链目前暴露出三大问题，长时间以来其创始人Vitalik Buterin一直无力解读。第一是以太坊区块链整体很低的性能和TPS；第二是资源不隔离，CryptoKitties虚拟猫咪的事件，一度占据了整个以太坊 20% 的流量，直接造成以太坊网络用户无法展开及时的交易，就是资源不隔离最大的痛点；第三个问题在于以太坊治理结构的体现，区块链作为去中心化的分布式账本，以太坊过去以来，创始人团队主导了其网络发展，过于中心化的治理模式，让目前的以太坊出现了ETH、ETC、ETF等分叉，以太坊社区目前进入四分五裂的治理状态。而以太坊网络目前出现的各种弊病，在「aelf」创始人与CEO马昊伯看来，这是无法接受的。于是，「aelf」定位，就是为对标以太坊的下一代去中心化底层计算平台，重点解决目前以太坊存在的性能不足、资源不隔离、治理结构三方面的问题而诞生的。

『肆』 以太坊开发人员正在应对最坏情况

以太坊准备好迎接“伦敦”硬分叉了吗？

随着以太坊准备在8月4日星期三激活其第11次向后不兼容升级，也称为“硬分叉”，一些开发人员担心升级可能会在部署前进行更多测试。

在7月23日星期五举行的每两周一次的以太坊核心开发者会议之后不久，以太坊基金会的提姆·贝科在所有的核心开发者Discord 聊天室中写道，“有几个人已经联系或发推文说他们不一定对不延迟[硬分叉]感到满意……我[在会议上]询问了这个问题，似乎没有人有强烈的意见，但有些人提到这可能不是正确的方法。”

在回应贝科的评论时，以太坊软件客户端开发人员阿列克谢·阿胡诺夫表示，他同意，鉴于最近发生的事件，在每两周一次的会议上，没有更多讨论可能推迟被称为“伦敦”的硬分叉。

“我想我知道为什么，”阿胡诺夫写道。“推迟 [伦敦] 是一个敏感话题，没有人愿意承受压力，这是可以理解的。”

聊天室中的其他人恳求以太坊开发人员认真考虑将伦敦再推迟几周进行进一步测试。

对伦敦升级风险的担忧—其中包括影响以太坊费用市场的有争议的代码更改，称为以太坊改进提案(EIP)1559—在以太坊软件客户端Geth中发现一个错误后增长。

作为背景，Geth是最流行的用于连接以太坊的软件。据Ethernodes.org称，在所有同步到以太坊网络的计算机（也称为节点）中，估计有86%运行Geth客户端软件。

7月21日星期三，一个月前启动伦敦硬分叉的以太坊测试网络Ropsten，在运行Geth的节点将无效交易挖入一个区块，而运行少数客户Besu和Open以太坊的节点却拒绝了它。

几个小时内，Geth团队发布了一个补丁程序，并鼓励所有用户将他们的软件更新到最新版本号Terra Nova1.10.6。

虽然没有开发人员认为该漏洞应该在周五的电话会议期间延迟伦敦的主网络激活，但一些开发人员确实讨论了如果在以太坊而不是在测试网络上发现此类漏洞的适当行动方案。

“如果像这样的事情发生在主网上，我们会怎么做，尤其是在大多数客户Geth正在生产区块的地方？显然需要几个小时才能修复，”贝科在会议期间说。

以太坊基金会的马丁·霍尔斯特·斯温德强调，这些漏洞在Ropsten上并不是前所未有的，虽然解决它们“很麻烦”，但有两种方法可以解决它们。

首先，如果用户的节点遵循错误的区块链版本，用户将需要在链分裂之前在内部将链“倒回”到区块，并使用修补过的Geth软件同步到新链。其次，如果用户的节点尚未同步到区块链的某个版本，但正在尝试连接到网络以收集有关最近交易的数据或执行交易，则用户最终可能会连接到错误版本的链。为了避免这种情况，这些用户需要将以太坊上遵循正确链的某些节点“列入白名单”，并与卡在错误链上的其他节点隔离。

倒带和白名单以太坊节点都可以通过Geth完成。Ropsten上的矿工能够使用这些策略解决上周三发生的链分裂问题，尽管一位矿工在周五的会议上指出，在周三的事件发生之前，修复链分裂的指令没有得到有效传达，因此让许多矿工对如何正确重启节点感到困惑。

用户“AlexSSD7”在Discord 聊天室中写道，作为以太坊矿池的代表，他们“担心”Geth中的错误，并指出，“一分钟的[网络]停机时间让我们付出了很多代价。一小时的停机时间对我们来说是2万美元。”

客户端软件中的意外错误确实会对在主网络上运行的交易所和企业造成破坏，这就是为什么开发人员强调需要一个强大的监控系统，该系统可以快速提醒节点运营商链分裂并鼓励他们暂停运营直到进一步调查。

“这似乎是一个非常容易实现的成果，为生态系统提供了一种价值基调。如果你不确定如何开始，请在Discord中询问，”贝科在周五的会议上说。

如果在主网上部署伦敦后再次发生类似于周三发生的错误，这些解决方案肯定会有所帮助，但它们不一定是用于解决更大规模问题的相同解决方案，例如黑客神奇地打印了1亿个ETH。

如果发生如此灾难性的事情，以太坊基金会的丹尼·瑞安在周五的会议上表示，很难提前知道开发人员将如何进行。

“我认为对于将出现的多种类型的错误和多种类型的特性，只有多种选择，”瑞安说。

网络漏洞的影响越严重，解决漏洞的解决方案就越可能具有侵入性——并且对以太坊作为安全区块链的声誉的损害就越大。

随着以太坊发展路线图的近期硬分叉越来越雄心勃勃，找出最坏情况的潜在解决方案以及与网络权益持有人的损害控制计划可能很快成为开发人员考虑的当务之急。

Fountain联合创始人马修·香森说：“传统市场的DeFi：当安全代币出现时。” 。 亮点 ： Fountain是以太坊上的一个去中心化交易所，使用户能够买卖安全代币。香森强调了区块链技术提供的流动性和可访问性，每天24小时可访问并允许即时结算。证券通证化还有其他一些好处，包括进一步提高可访问性的资产透明度和分拆。然而，建立一个完全去中心化的证券交易所有很多挑战。入职客户和新证券都需要遵守国际法规，包括了解客户法律和托管许可证。

“信贷授权的力量”，Aave创始人斯坦尼·库莱霍夫的演讲。亮点： Aave是一个建立在以太坊基础上的去中心化借贷协议。该协议背后的团队已经开发出一种可以提供零抵押贷款的产品。库莱霍夫认为，这是在将DeFi流动性引入实体经济和推动Aave借贷需求方面向前迈出的一步。

以太坊创造者维塔利克·巴特林所说的“DeFi之外的事情”。亮点： 除金融服务外，社交媒体和公共产品融资是以太坊尚未开展的两项活动。巴特林认为，网络的代币经济和抵抗审查是这些活动能够从建立在去中心化区块链之上获益的两个原因。

“Uniswap，DeFi&消费金融的未来”，Uniswap增长负责人Ashleigh Schap的谈话。亮点： Uniswap实验室正试图与Talos、Paxos和Fireblocks等区块链基础设施公司建立合作关系，将DeFi解决方案连接到PayPal和E*Trade等知名金融 科技 公司的后端。

Circle协议开发者朱利安·布特卢普谈到“为什么DEX正在吞噬世界”。亮点： 在最好的情况下，[去中心化金融]允许世界公民平等地使用所有货币、股票和金融平台。随着领域的发展，去中心化将成为一种趋势。监管者将监督传统金融界使用的协议，用户仍将有权进入DeFi如今的“狂野西部”试验场。

#比特币[超话]# #数字货币#

『伍』 DeFi安全吗

越来越多的人希望通过攻击智能合约来窃取资金，他们正在利用当智能合约组合在一起时出现的漏洞进行攻击。

2020年，对DeFi的攻击中，被套取或盗取的总金额已经达到了3600万美元。但因为dForce的攻击者退还了被盗的2500万美元，所以实际金额大约有 1100 万美元。

与以太坊早期相比，每次黑客攻击的平均损失价值已经明显下降。在2020年的10次攻击中，有8次的攻击金额低于100万美元。

DeFi

在以太坊早期，大多数攻击都是基于找到个别漏洞，让攻击者有能力冻结或耗尽智能合约。2016年臭名昭著的DAO黑客事件就是如此，1.6亿美元的ETH被盗，以太坊最终因此分叉。同样，2017年的Parity多签袭击让黑客盗取了3000万美元，Parity钱包中1.5亿美元被冻结，都是这类漏洞造成的后果。

这类智能合约的漏洞仍不时被人利用。最近，一名攻击者成功地从代币合约中窃取了所有的VETH，仅通过耗尽VETH-ETH Uniswap池就获利了90万美元。但这是VETH造成的一个简单失误，因为VETH修改ERC20代币标准的方式有逻辑上的错误。

总的来说，现在的安全性有所提高，特别是那些关注度比较高的项目。它们的安全性提升是由于用户对审计的期望和围绕测试的工具改进推动的。最近DeFi中最大的安全问题是dForce 2500万美元的数字资产在借贷市场中被盗。然而，由于攻击者的IP地址被发现并与新加坡警方共享，因此这些资金被退了回去。

链乔教育在线旗下学硕创新区块链技术工作站是中国教育部学校规划建设发展中心开展的“智慧学习工场2020-学硕创新工作站 ”唯一获准的“区块链技术专业”试点工作站。专业站立足为学生提供多样化成长路径，推进专业学位研究生产学研结合培养模式改革，构建应用型、复合型人才培养体系。