屋漏偏逢连阴雨,在加密市场持续低迷时,区块链安全事故却层出不穷。
据成都链安统计,今年5月,整个区块链生态发生的典型安全事件超过32起,其中DeFi是重灾区,BSC首当其冲,成为黑客发动闪电贷攻击的“主战场”。
据初步统计,5月因区块链安全事故造成的损失高达3亿美元。毫无疑问,对于投资者、项目方乃至整个DeFi生态来说,这都是空前“灰暗”的一个月。
事实上,大部分安全事故都是因为项目方在部署合约代码时存在漏洞,给黑客以可乘之机。不过,作为整个区块链生态重要的基础设施,公链也难辞其咎。未来,公链如果能在兼顾效率和去中心化的前提下,提供更加安全稳定的链上环境,或许能在一定程度上减少安全事故的发生。
近日,OKExChain与成都链安、PeckShield、知道创宇、慢雾科技等多家安全审计机构达成战略合作,共同发起OEC安全审计联盟,有望解决安全审计团队孤军奋战的现状,同时提高项目方的安全审计意识,共同为链上资产安全加码。
当然,仅仅依靠安全审计还不够。OKExChain号称要打造高性能交易公链,除了发起安全审计联盟外,在提供安全性方面还有哪些杀手锏?
前车之鉴
区块链安全上一次引发全行业关注,还要追溯到2018年5月。
彼时,“当红炸子鸡”EOS在主网上线前夕被曝出史诗级漏洞,这些漏洞可完全控制虚拟货币交易。一时间,EOS成为众矢之的,区块链安全成为绕不过去的行业话题。
在此之后,EOS官方虽修复了漏洞,但链上生态建设过程中依然问题频出,不少DApp隔三差五便会遭遇黑客攻击,EOS被戏称为“黑客提款机”。
究其原因,既与EOS底层技术和社区治理层面有关,也在很大程度上源于项目方在部署智能合约时的疏忽。
有了前车之鉴,其他公链在研发过程中会刻意避开EOS踩过的坑。此后两年多,公链在安全层面有了显著提升,很少出现大规模的安全攻击事件。
作为新兴公链的代表,OKExChain从启动伊始便将安全性放在重要位置。公开资料显示,OKExChain采用Tendermint共识算法,新区块具有最终确定性,一旦交易被包含在区块中并添加到区块链上,该交易就会被立即视为最终确定,这意味着一旦在区块中达成协议,区块就会最终确定,其中的交易也不能被逆转,客观上增加了黑客的攻击成本。
除此之外,为提高节点门槛,OKExChain要求申请者必须抵押一定量的OKT,避免作恶。大家在参与链上治理提交提案时同样需要抵押OKT,以防止恶意发起提议。
在资金安全方面,用户无需交出任何密钥,代理账户获得的只是Token的投票权。把Token质押给代理人是一个链上委托动作,事实上Token的所有权依然在用户的个人地址中。当用户更改在代理人处抵押的Token数量时,代理人的所有投票权重也会同时更新。
简单来说,OKExChain从底层技术、共识算法、社区治理等诸多层面入手,增加了黑客的作恶成本,同时对运营节点进行了严格限制,从而最大程度保证用户资产安全。这也在一定程度上回答了OKExChain为何小步慢跑的原因:只有底层设施够稳,上层建筑才不会摇摇欲坠。
厉兵秣马
区块链安全攻防从本质上来说是一场旷日持久的战争。
在这场战争中,攻防双方需要根据对方的动作针对性部署,稍有疏忽便满盘皆输。对于任何一条公链而言,唯有厉兵秣马,才能最大程度地控制风险,避免潜在的资产损失。
从这个层面来看,OKExChain似乎志在必得。过去3年间,OKExChain除在底层架构和社区治理层面持续优化外,还针对链上的每个细节反复测试,并面向全网白帽开发者发起漏洞奖励计划,联合外部机构成立安全审计联盟。
在业界看来,虽然OKExChain开发进度较慢,但符合公链的完整开发周期,尤其在安全性方面,能够在持续优化中为开发者和用户提供更为全面的保障。
为帮大家全面了解OKExChain在安全方面做的功课,笔者根据公开资料进行梳理和解析:
1.成立安全审计联盟
对于任何一个项目来说,安全审计必不可少。具体来说,这里包含两部分工作,一是团队内审,二是外部机构审计。
具体实践中,部分项目为了尽快吸引流量,往往会直接复制开源的代码,忽视了对这部分代码的安全审计。一旦源代码出问题,该项目自然无法独善其身。在此背景下,邀请外部机构介入审计工作,显得十分有必要。
OKExChain为此与成都链安、PeckShield、知道创宇、慢雾科技等多家安全审计机构达成战略合作,共同发起OEC安全审计联盟,这对于构建安全的公链生态显然大有裨益。
据悉,这些机构作为区块链安全领域的龙头企业,已为全球多家链平台、交易所、钱包、智能合约等项目做出相关安全审计及部署业务,未来将携手OKExChain共同维护生态安全,一起探索区块链安全发展前景。
值得注意的是,除与安全审计机构合作外,OKExChain还在与头部项目在安全领域展开合作。以Chainlink为例,今年4月,OKExChain宣布未来主网将接入Chainlink预言机,确保链上资产喂价机制的安全性,Chainlink预言机的可靠性和可扩展性将为OKExChain智能合约提供安全保证。
2.将测试进行到底
今年3月,为更好地完善公链性能、提升用户体验,OKExChain联合20个项目方共同邀请社区用户进行大规模公测。公测期间,20个项目累计提交169,591条地址记录,社区累计提交47,568份问卷。
事实上,在此次公测之前,OKExChain已进行过无数次内测。之所以开展此次公测,目的有两个:一是为项目方提供大范围测试机会,从而根据反馈结果优化产品;二是开发团队结合项目方和用户反馈,继续进行公链性能等层面的改进。
此次公测之后,OKExChain于5月正式开启生态建设。根据规划,OKExChain生态建设初步分为3个阶段,第一阶段将邀请SushiSwap、Bounce、Chainlink等知名项目进行产品部署,此后将开放部署丰富多彩的创新项目,待运行稳定后完全开放,任何人可以自由部署合约。
不得不说,相对于市面上的其他公链,OKExChain稳扎稳打的风格是一大亮点。短期来看,这或许会丧失掉部分流量,但从长远来看,公链生态的繁荣以及链上资产的安全,再多的测试也不过分。
3.发起漏洞悬赏计划
早在去年9月,OKExChain面向全网白帽子和开发者,正式上线OKExChain漏洞提交页面。当用户在使用过程中,发现OKExChain的系统漏洞时,可及时向社区提交建议,以助力OKExChain生态的进一步稳定运行。
据了解,根据漏洞在危害程度、利用难度两个维度的特征,辅以其他综合因素,OKExChain将漏洞分为「严重」、「高危」、「中危」、「低危」、「非漏洞」五个等级,并对应不同的奖励金额,最高奖励1000 USDT。
虽然OKExChain并未披露具体的提交情况,但此举无疑会吸引一大批白帽开发者加入,他们会持续关注链上运营情况,与潜在的黑客开展“攻防大战”,成为公链系统以及用户资产的守护者。
结语
区块链安全事关公链平台、项目方、投资者等众多主体。任何时候,仅靠一方的努力,都难以应对日渐猖狂的黑客攻击。
从行业层面来看,OKExChain在安全方面动作频频,能够为项目方和用户提供更加安全的公链环境,也为其他公链提供了可供借鉴的方案。不过需要注意的是,公链提供的是仅仅是一个平台,后续的应用开发和运营主要取决于项目方,如果应用代码不过关,黑客依然会趁虚而入。
对于投资者而言,在进行链上挖矿等活动时,首先要选择安全稳定的公链,其次要选择经过市场验证的应用,切勿因追求高年化而遭受损失。