区块链损失多少美元(区块链理赔)

（OWASP）区块链安全TOP10

近几年，区块链技术的发展非常迅猛，安全形势也越来越严峻，仅安全事件导致的直接经济损失就高达35亿美元，很多公司甚至因此倒闭，给行业带来了巨额的经济损失和惨痛的教训。基于此，OWASP中国成立专门研究小组， 收集、整理和分析了2011年至2019年间共160个典型区块链安全事件，并在本文档中给出了排列和描述，希望能帮助到广大的区块链从业者和关注区块链安全的人们 。

在参考了 类似CVSS（Common Vulnerability Scoring System）等安全威胁评估方法之后 ，本文以每类威胁历史安全事件所导致的 直接经济损失总额为依据 ，通过客观数据评估威胁大小。

直接经济损失总额包含了威胁评估的两个重要因素，

所以，直接经济损失足以表示威胁的大小，且数据相对客观，避免了主观数据导致评估结果误差较大问题，同时，该评估方式更具有良好的解释性。

阅读本文档时需注意以下三点：

（1）安全事件导致的经济损失以案件发生时的虚拟币价格计算；

（2）统计分析过程中只计算了直接经济损失，未计算间接经济损失；

（3）24.3%的安全事件（39个）未公布经济损失，因而未计入损失统计。

1）高级可持续威胁

2）失控的币值通胀

3）失效的权限控制

4）不安全的共识协议

5）考虑不充分的程序逻辑

6）不严谨的业务策略

7）校验不严格的交易逻辑

8）脆弱的随机数机制

9）存在缺陷的激励机制

10）日志记录和监控不足

主编在研究区块链安全的过程中，发现并没有权威的指导性安全文档，所以联合了各区块链安全公司和各一线企业的安全专家，一起给出了区块链安全的Top10，由于作者们时间和水平有限，如有任何错误的地方，或者更好的方案，请立即联系（项目组邮箱： project@owasp.org.cn ），我们可以不断改进和提升文档的质量。

程序员误把7500个比特币当垃圾扔掉，他损失了多少？

英国IT工程师詹姆斯·豪威尔斯近日发现自己曾把藏有7500枚比特币私钥的硬盘当垃圾扔掉了。詹姆斯从2009年开始，就在个人电脑上共开采7500枚比特币。没有了私钥，虽然自己的比特币没有消失，但是却没法用比特币进行交易了。按照3.2万美元的现价估算，相当于损失了超2.6亿美元，近17亿人民币。他表示后悔莫及。

比特币密钥丢失很常见，有区块链分析公司于2020年发布报告，距今五年的时间内，至少有370万比特币没被触及。也就是说拥有者没有登录过账户，这些账户基本上被拥有者闲置了或忘记了密钥。 不光是比特币，其它的数字货币也面临着这些安全隐患。今后，这些问题也许能够得到解决，例如能够像银行卡挂失一样找回密匙甚至可以手机验证，但难点在于数字货币本身是匿名的，这就需要在密钥安全性和匿名之间寻求平衡。加密数据公司Glassnode估计，大约有300万个比特币将永远丢失。不过幸运的是，自2020年10月牛市以来，约70亿美元的比特币已被重新找到。

2021年伊始，比特币又创新高！截至1月3日12:38，比特币价格为3.27万美元。数据显示，近一个月比特币涨幅高达72.99%，24小时涨幅达11.09%。 近日，比特币价格不断创出新高。1月6日，比特币盘中一度突破三万五千美元，相当于买一枚比特币需要近23万元人民币。 今年以来，比特币涨幅已经超23%。如果把时间拉长，在2020年年初在7000多美元的价位买进，如今收益已经超过500%！再把时间拉的更长，比特币自2009年诞生后，其第一次产生价格是2010年被购买所对应约0.0025美元，比特币诞生以来的价格涨幅已超1400万倍！

美国上市公司由第三方审计作为公司状况的顾问是否具有可借鉴性？

第三方审计 工作是由具备资质的会计师所进行审计，那么所谓的第三方，就是中立的一方，注册会计师正好具备这个特点。因为 第三方具有中立的特点 ，所以在对上市公司做审计工作的同时可以做到公平、公正、公开，不偏袒任何方面。可以最大程度的做到就事论事，以提高投资者对审计报告的认可度。

对于美国上市公司来说， 有效的财务会计报告内部控制对公司管理及其事务，尽到对其投资者的责任，有至关重要的作用。 公司管理当局、公司所有者、投资公众和其他相关方都需依赖公司承保的财务信息来制定决策。那么需要做到这些，自己来审计自己，显然是做不到足够的公平公正与公开，也不可能得到各方面的对报告的认可。 所以把这些交给具有中立性的第三方来做是最合适的事情。

那么 审计的独立性 ，就是说注册会计师不受那些削弱或总是有合理的估计，仍会削弱注册会计师做出无偏审计决策能力的压力及其他因素的影响。这对审计工作来说，至关重要，因为涉及到市场经济的，利益公平，独立性。这个独立性，也应当保持形式上的独立和实质上的独立，也就是说注册会计师与被审计单位或个人没有任何直接或间接的利益关系。不受到个人或外界因素的约束，影响和干扰，保持客观且无私的精神及工作态度。

而第三方审计，在我国也是非常有必要的。我们不仅是借鉴，而且也正在使用第三方审计的工作。而且 我国有明确的法律规定，上市公司的年度报告必须要经过第三方的审计。 这么做也是为了能够让上市公司的审计报告能够更加的客观，公平，公正，公开，做到不掺杂任何利益关系和个人 情感 关系。

全球第三大审计机构certik为众多知名项目保驾护航

据统计，2018年全球区块链130领域93706165发生近百起安全事件，损失超20亿美元，相较于2017年增长了538%。比特币的底层技术“区块链”面临着来自数据层、网络层、共识层、激励层、合约层、应用层的安全风险，安全攻击方式层出不穷，防不胜防。安全攻击主要发生在应用层，其中智能合约是区块链安全的重灾区。

而且还发生了很多的安全事件，影响较大的例如MtGox事件，MtGox是当时全球最大比特币交易平台，处理的比特币交易占全球70%。2014年，MtGox遭遇了最严重的黑客攻击，随后MtGox宣布暂停交易，理由是其安全软件存在漏洞。两周后，网站突然关闭，MtGox申请破产。

据MtGox估计，公司的比特币投资损失约合4.8亿美元，其中包括客户的75万单位比特币和公司自己持有的10万单位，合计约占全球比特币发行量的7%。此次事件导致投资者信心受挫，比特币直接暴跌36%。

还有非常多别的项目同样受到巨大的损失，仔细研究不难发现：在区块链的安全事件中，大多都是由于源代码存在漏洞而使黑客趁虚而入。智能合约受到区块链本身保护，所以智能合约代码可以最大限度的开源和让人阅读。但是代码的公开性使得黑客容易掌握代码的缺陷，进一步利用代码缺陷触发条件改变智能合约执行结果，使得区块链项目存在巨大的经济隐患。所以智能合约代码的开源性需要代码的高可靠性，这种可靠性要求100%的正确。

但是，对于程序员来说，写一个完全没有漏洞的代码实在是太难了，即使采取了所有可能的预防措施，在复杂的软件中也总会出现没有预料到的漏洞。所以，代码审计的重要性不言而喻。

通过代码审计，检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

目前已经服务的有交易所、钱包、公链和智能合约等代码审计，为区块链行业保驾护航，合作的慢雾 科技 ，Certik等全球知名审计公司，我们有着优质的服务满足客户的需求，欢迎合作伙伴合作交流，共同探讨！

发生过的案例：

一、区块链代码审计可以解决哪些问题：让黑客无孔可入

随着BTC、ETH、EOS等区块链项目的迅速发展，区块链项目已经进入了智能合约时代，但是智能合约自身的正确性和安全性却面临着巨大的问题。

也就是说任何一个项目在使用区块链时都有可能走向歧途，不能完全保证代码的准确性。就像每个人在电脑打字时都会打错字一样，程序员在输入代码时也会存在笔误和错漏。

而区块链中的基础：智能合约代码的开源性需要代码的高可靠性，这种可靠性要求100%的正确。

差之毫厘，谬以千里。

用专业的术语来说：

类似比特币这样的代码全部公开，用智能合约代码存储在区块链上，与交易数据一样受到区块链的加密保护，要想修改智能合约代码需要掌握51%的算力，因此，智能合约代码的防篡改性得到大大提升。

智能合约受到区块链本身保护，所以智能合约代码可以最大限度的开源和让人阅读。智能合约解决了可以公开代码并保障其安全的问题，但是代码的公开性使得黑客容易掌握代码的缺陷，进一步利用代码缺陷触发条件改变智能合约执行结果，使得区块链项目存在巨大的经济隐患。

就像，我们在银行里转账，每一个账户的信息都是对的，转账才能够是正确的，你的财产才可以安全被保护，所以：区块链代码中一个字都不能错。

二、区块链代码错误导致的严重后果

区块链中的智能合约代码质量不好造成了许多严重的后果。

目前来看，许多交易所和代币项目在上交易所之前没有经过区块链代码审计，造成了许多虚拟货币被盗窃的黑客事件。

1、SMT项目方与美国BEC代币的安全漏洞

2018年4月25日凌晨，SmartMesh(SMT)项目方反馈发现其交易存在异常问题，经初步排查，SMT的以太坊智能合约存在漏洞。受此影响，火币Pro目前暂停所有币种的充提币业务。

另据媒体报道，发现SMT与美图BEC代币存类似的安全漏洞，即可通过溢出攻击可以收到大量的代币。

2、美图BEC的异常交易漏洞

2018年4月22日，美图BEC出现异常交易，据分析，BEC 智能合约中的batchTransfer批量转账函数存在漏洞，攻击者可传入很大的value数值，使cnt * value后超过unit256的最大值使其溢出导致amount变为0。

3、Parity多签名钱包漏洞

2017年7月，Parity多签名钱包由于其智能合约代码中存在漏洞，被黑客盗取时价超过3000万美金的ETH。

4、黑客盗币漏洞

2016年6月由于智能合约的一个错误，黑客从DAO偷走了价值5500万美元的ETH。

代码的安全缺陷倒逼智能合约的代码自动审计。

三、区块链代码审计成就完美合约

区块链智能合约通过代码建立一套“法律合同”，软件工程师创造一个完全无误差的代码是不可能的，程序员总存在疏忽的地方。红岸 科技 和国防 科技 大学的Ulord区块链项目研究团队对市面上的区块链智能合约进行了审计，他们的研究发现：

对所有的程序员来说，写一个没有bug的代码实在是太难了，即使采取了所有可能的预防措施，在复杂的软件中也总会出现没有预料到的执行路径或可能的漏洞。

这是为什么要代码审计最重要的原因之一。

区块链中的 “法律合同”是一项受解释和仲裁的约束，程序员很难去创造一个缜密的合约。在任意一个大的合约里，可能出现的文稿错误以及一些条款需要解释和仲裁。

同时，软件工程师不是法律专家，反之亦然。起草一份好的合约需要各种各样的技能，不一定与编写的计算机程序兼容。

因此，智能合约代码在一定程度上都可能存在安全隐患。传统的智能合约代码审计主要利用人工，依靠code reviewer阅读智能合约代码。人工代码审计最终还是依赖人的经验，代码审计效果不明显，针对目前ETH大量代币的智能合约，人工审计工作量大，难以高效的完成工作。

在区块链领域从事代码审计业务的项目公司较少，目前每个代币在上交易所之前，其区块链智能合约代码由交易所进行审察和判定，但交易所有时并不能完全有效地判断合约是否完美。

智能化代码审计，利用计算机进行稳健性检验是当前代码审计最重要的方式，掌握该项技术标准的国内公司并不多。

但，区块链代码审计的重要性不言而喻，区块链世界本身是相当安全的，但是由于人为撰写代码的问题，不可能完美，必须加强代码有效性的识别。

区块链行业在2022年都发生了什么？

从俄乌战争中用于救济到行业动荡的爆发， 2022 年是数字资产领域又一个多事之年。

Crypto 年度时刻

如果你让一位路人来总结 2022 年的加密货币市场，他们很有可能会告诉你 2022 年是区块链技术消亡的一年。

在 Twitter Crypto 空间里，成千上万名因去年牛市而来的投资者发誓，随着他们“酒醒”，他们将在 2022 年永远离开这个市场。

但是，对于那些选择留下的人来说，今年并不是平静的一年。当然，由于加密市场损失了 2 万亿美元的市值，所有代币价值暴跌，但仍有许多重大事件让我们开心，或者，至少有事可做。

与以往的熊市一样，今年的一些标志性事件也成为了最具灾难性的事件。很少有人会辩解 2022 年不是加密货币行业最坎坷的年份之一。我们目睹了价值百亿美元的 Terra、三箭资本和 FTX 相隔仅几个月连番倒下。投资者遭受了惊人的损失，感觉这个行业倒退了很多年。

尽管如此， 2022 年还是给了我们一些积极的发展。虽然 ETH 的价格表现不佳，但以太坊今年表现不错，因为“合并”终于完成。我们还看到一些国家在战争、受制裁和法币通胀飙升的背景下承认了加密货币的潜力。

2022 年是加密货币有史以来最动荡的年份之一，但行业幸存了下来。在这个注定艰难的熊市期间，生态系统能否渡过难关，成为了最大的问题。

不过，就目前而言， 2022 年对于加密生态系统来说，即使是艰难的一年，但也是令人难忘的一年。

我们盘点了本年度的 10 个最重要的时刻。

加拿大冻结自由车队资金

2022 年的第一场重大加密事件并没有发生在链上，甚至也没有发生在网上，而是发生在加拿大首都渥太华。1 月 22 日，数百名加拿大卡车司机从全国各地出发，开始聚集在国会山，抗议政府出台的新冠疫苗接种强制令。政府拒绝与他们谈判，于是所谓的“自由车队”控制了街道。由于车队的规模庞大，导致执法部门难以驱散抗议者。

2 月 14 日，为了应对抗议和封堵活动，总理贾斯汀·特鲁多(Justin Trudeau)启动了能够短暂赋予政府额外权力的《紧急情况法》，命令加拿大金融机构冻结抗议者以及任何通过捐款支持他们的人的银行账户——以削减他们的资金。然而，抗议者并没有被吓倒，而是转而使用加密货币，这导致加拿大当局将至少 34 个与“自由车队”相关的加密货币钱包地址列入了黑名单。此后不久，一支联合警察部队将卡车司机强行赶出街头，到 2 月 20 日，渥太华市区已完全清场。

对于加密货币行业来说，渥太华的抗议表明，即使是西方民主国家也可以轻而易举地利用其金融部门对付本国公民。在这种情况下，比特币的使命脱颖而出。加密爱好者指出，比特币提供了一种无需许可、抗审查的全球支付系统。尽管存在许多缺点，但去中心化的加密货币提供了一个至关重要的保证：你的钱真的是你自己的，没有人可以阻止你使用它。正如 Arthur Hayes 在博客中所写的：如果你完全依赖传统银行业，“你可能认为你的净资产为 100 美元，但如果银行或政府出于某种原因决定你不能再访问数字网络，你的净资产将变为 0 美元。 ”

乌克兰开始接受加密货币捐赠

俄罗斯-乌克兰冲突今年对全球市场产生了重大影响，其中也包括加密货币。在这场战争中，加密货币成为了焦点。

在冲突刚刚爆发的几天内，乌克兰政府的官方 Twitter 帐户发布了一个帖子，其中包括比特币和以太坊的钱包地址，希望捐款者可以捐赠 BTC 和 ETH。这条推文一经发出，便立马引发了混乱，以太坊联合创始人 Vitalik Buterin 警告人们该 Twitter 帐户可能已被黑客入侵。

然而，乌克兰政府的数字化转型部随即确认 Twitter 并未被盗，该帖子也是正确的，因为他们确实希望通过接受加密货币捐款来为战争救济工作提供资金。

随后，捐款如潮水般涌入，乌克兰政府在三天内筹集了价值超过 3000 万美元的 BTC、ETH、DOT 和其他数字资产。甚至有人捐了一个 CryptoPunk NFT。

最初的捐款活动只是政府在危机时期拥抱加密货币的历史性举措之一。3 月 26 日，乌克兰数字化转型部还推出了 NFT 博物馆，出售记录战争事件的 NFT，以此来筹集更多的资金。

在这个年度时刻中，加密货币的作用比以往任何时候都更加清晰地展示了“无国界”的力量。乌克兰对捐赠使用加密货币的要求是世界首创，但可以肯定地说，在未来，我们也将来会看到其他国家采用加密货币。

以上内容为新媒号(sinv.com.cn)为大家提供！新媒号，坚持更新大家所需的区块链知识。希望您喜欢！