報告聚焦Move、TON、比特幣拓展以及Cosmos 應用鏈這4大方向,從技術創新、安全挑戰、歷史安全事件3 個方向展開詳細解讀,為投資者、開發者、白帽駭客提供了一些經驗與思考方向:
Move 生態(Aptos、Sui 等)
報告介紹了Move 語言如何在資源管理、模組化設計、內建安全機制上革新智慧合約編程,並對Aptos、Sui 各自的創新點與安全架構進行深入剖析。
Move 語言最初由Facebook(現Meta)為Diem(Libra)專案開發,旨在解決傳統智慧合約語言的效能和安全瓶頸。 Move 的設計強調資源的明確性與安全性,確保區塊鏈上每個狀態變化的可控性。這款創新程式語言具備以下顯著優勢:
資源管理模型:Move 將資產視為資源,使其不可複製或銷毀。這種獨特的資源管理模型避免了智慧合約中常見的雙重支付或意外銷毀資產問題。
模組化設計:Move 允許智慧合約以模組化的方式構建,提高程式碼復用性,並且降低了開發複雜度。
高安全性:Move 在語言層面內建了大量的安全檢查機制,防止常見的安全漏洞,例如重入攻擊(reentrancy attacks)等。
此外,報告也回顧了2023 年至2024 年末Move 虛擬機器與Aptos 網路發生的典型安全事件,以此提醒社群警惕網路中潛在的無限遞歸DoS 漏洞、記憶體池驅逐機制缺陷等問題。
TON 生態
TON(The Open Network)是由Telegram 創建的區塊鏈和數位通訊協議,旨在建立一個快速、安全且可擴展的區塊鏈平台,為用戶提供去中心化的應用和服務。透過結合區塊鏈技術和Telegram 的通訊功能,TON 實現了高性能、高安全性和高可擴展性的特性。它支援開發者建構各種去中心化應用,並提供分散式儲存解決方案。與傳統的區塊鏈平台相比,TON 具有更快的處理速度和吞吐量,並採用了Proof-of-Stake 共識機制。
TON 採用了權益證明共識機制,並透過其圖靈完備的智慧合約和非同步區塊鏈實現了高效能和多功能性。 TON 的閃電般快速且低成本的交易由鏈的靈活且可分片的架構支持。這種架構允許其在不損失效能的情況下輕鬆擴展。動態分片涉及初步開發的具有各自目的的單獨分片,這些分片可以同時運作並防止大規模積壓。 TON 的區塊時間為5 秒,最終確定時間少於6 秒。
現有基礎設施分為兩個主要部分:
●主鏈(Masterchain):負責處理協議的所有重要和關鍵數據,包括驗證者的地址以及驗證的幣量。
●工作鏈(Workchain):連接到主鏈的次級鏈,包含所有交易資訊及各種智慧合約,每個工作鏈可以有不同的規則。
TON 基金會是由TON 核心社區運營的DAO,為TON 生態系統中的項目提供各種支持,包括開發者支持和流動性激勵計劃。報告詳細梳理了2024 年TON 社區在多個方面取得了顯著進展,報告同時也揭示了近期惡意合約能透過嵌套結構導致虛擬機資源耗盡的漏洞,以警示各方持續強化合約安全審計。
比特幣拓展生態
包括閃電網路(Lightning Network)、Liquid Network、Rootstock(RSK)、B² Network、Stacks 等Layer 2 與側鏈方案,正推動比特幣在交易擴容與可程式性上的突破。閃電網路提升交易效率,Liquid Network 加速機構間交易,而Rootstock 結合安全性與智慧合約拓展了dApp 生態。此外,B² Network 和Stacks 進一步深化了比特幣的功能與應用場景。
閃電網路是比特幣Layer 2 最成熟、應用最廣泛的解決方案之一。它透過建立支付通道,將大量小額交易從主鏈移到鏈外,從而大幅提升比特幣的交易速度和降低手續費。
圖片來源:https ://lightning.network/lightning-network-presentation-time-2015-07-06.pdf
Liquid Network 是一個基於開源的Elements 區塊鏈平台運行的側鏈,專為在交易所和機構之間實現更快的交易而設計。它由比特幣公司、交易所和其他利害關係人組成的分散式聯盟治理。 Liquid 使用雙向錨定機制,將BTC 轉換為L-BTC,反之亦然。
圖片來源:https ://docs.liquid.net/docs/technical-overview
Rootstock 自2015 年誕生以來,是運行時間最長的比特幣側鏈,並在2018 年啟動了其主網。它的獨特之處在於將比特幣的工作量證明(PoW)安全性與以太坊的智慧合約結合。作為一個開源、兼容EVM 的比特幣Layer 2 解決方案,Rootstock 為不斷增長的dApp 生態系統提供了入口,並致力於完全去信任化。
B² Network 的技術架構包括兩層結構:Rollup 層、資料可用(DA)層。 B² Network 旨在重新定義用戶對比特幣第二層解決方案的看法。
自2018 年以Blockstack 名義在主網上推出以來,Stacks 已成為領先的比特幣Layer 2 解決方案。 Stacks 直接連接到比特幣,允許在比特幣上建立智慧合約、dApps 和NFT,顯著擴展了比特幣的功能,使其不僅僅是一個價值儲存工具。它採用了一種獨特的轉移證明(PoX)共識機制,將其安全性直接與比特幣掛鉤,而無需修改比特幣本身。
圖片來源:https ://docs.stacks.co/stacks-101/proof-of-transfer
Babylon 的願景是將比特幣的安全性擴展到保護去中心化世界。透過利用比特幣的三個面向— — 其時間戳服務、區塊空間和資產價值— — Babylon能夠將比特幣的安全性傳遞到眾多權益證明(PoS)鏈,從而創造更強大、統一的生態系統。
雖然這些技術為比特幣生態帶來更多可能性,也面臨如閃電網路「替代循環攻擊」、UTXO 運算錯誤、PoW 回溯機制風險等挑戰。
Cosmos 應用鏈生態
以Tendermint 共識、Cosmos SDK 及IBC 跨鏈通訊為核心,在區塊鏈互聯網的設計思路上擁有多項技術創新。
Cosmos 的架構採用了Hub 和Zone 的模式,Hub(中心)作為跨鏈的核心節點,連接並協調多個Zone(獨立區塊鏈)。這種架構的創新點在於:
去中心化管理:每個Zone 都是獨立的、自治的區塊鏈,不需要依賴單一中心化的管理節點。
高效率的跨鏈連接:透過Hub,Zone 之間可以無縫進行跨鏈通訊和資產流動,實現了真正的互聯互通。
報告從多模組調用順序到跨鏈訊息傳遞,深度分析了Cosmos 應用鏈潛在的安全隱患,並結合流動性質押模組(LSM)的安全爭議及治理流程問題,為更多應用鏈項目提供警示與啟示。
多年漏洞研究成果
報告詳細梳理了區塊鏈產業中普遍存在的九大安全漏洞類型,這些漏洞不僅貫穿不同的技術層面,還涉及了多個區塊鏈生態系統的核心組件,涵蓋了從跨鏈通訊到經濟學模型設計的方方面面。
1、 L2/L1 跨鏈通訊漏洞:跨鏈通訊是提升區塊鏈生態系統互通性的重要手段,但在其實現過程中也存在許多安全隱患。例如L2 未考慮L1 的區塊回溯、鏈上事件偽造、L2 未偵測發送給L1 的交易是否成功等
2、Cosmos 應用鏈漏洞:Cosmos 作為一個以區塊鏈互通性為核心的生態系統,允許不同的區塊鏈透過IBC(跨鏈通訊協定)進行連接。然而,Cosmos 應用鏈在實現過程中也可能存在一些漏洞和安全隱患,例如BeginBlocker 和EndBlocker 崩潰漏洞、本地時間使用不正確、隨機數使用不正確等11 個漏洞以及安全隱患。
3.比特幣拓展生態漏洞:包括比特幣腳本構造漏洞、未考慮衍生性資產導致的漏洞、UTXO 金額計算錯誤漏洞等
4.程式語言常見漏洞(如死迴圈、無限遞迴、整數溢位、競爭條件等)
5.P2P 網路漏洞:P2P(點對點)網路在區塊鏈系統中用於分散式節點間的直接連接與通訊。儘管P2P網路為去中心化系統提供了網路基礎,但其也面臨一系列如異形攻擊漏洞、 缺乏信任模型機制、缺乏節點數量限制機制等常見漏洞類型
6、DoS 攻擊:包括記憶體耗盡攻擊、硬碟耗盡攻擊、核心句柄耗盡攻擊、持續性記憶體洩漏等
7.密碼漏洞:密碼漏洞會破壞資料的保密性和完整性,為系統帶來潛在的安全威脅。主要的密碼學漏洞類型包括使用已經被證明不安全的哈希演算法、使用不安全的自訂哈希演算法、不安全的使用所導致的哈希碰撞等
8.帳本安全漏洞:(如交易記憶體池漏洞、區塊哈希碰撞漏洞、孤兒區塊處理邏輯漏洞、梅克爾樹哈希碰撞漏洞等)
9.經濟學模型漏洞:經濟學模型在區塊鏈和分散式系統中起著至關重要的作用,影響網路的激勵機制、治理結構和整體可持續性,報告中列出的經濟學模型漏洞需要特別被關注。
常見攻擊面列表
報告也列舉了13 大常見攻擊面,每個環節都可能成為駭客攻擊的突破口,值得開發者和專案方加倍重視:
1、虛擬機
2、P2P 節點發現與資料同步模組
3、區塊解析模組
4、交易解析模組
5、共識協議模組
6、“其他攻擊面請在報告裡查看”
…
安全開發最佳實踐
透過豐富的案例複盤與攻防實踐,報告提煉出系統化的安全應對思路。
在安全防護層面,本報告特別就鏈開發的最佳實務給予詳盡建議,涵蓋區塊與交易處理、智慧合約虛擬機器、日誌系統與RPC 介面、防範DoS 攻擊的P2P 協定設計、傳輸層的加密與認證、模糊測試(Fuzzing)與靜態程式碼分析、第三方安全審計流程等各方面,力求為區塊鏈專案的全生命週期提供清晰可行的安全指引。
報告寫作背景:
2025 年伊始,回顧過去一年,區塊鏈技術在全球範圍內持續高速迭代:從交易處理性能到跨鏈交互,再到智能合約語言與節點擴展方案,整個行業正邁入更為多元與複雜的新階段。同時,各大新興生態公鏈也迅速崛起,憑藉著靈活的網路架構、創新的程式設計模式和豐富多元的應用場景,持續引領Web3 世界的科技潮流與生態繁榮。
然而,安全隱患卻在不斷浮現,一旦發生攻擊或漏洞利用,不僅會導致鏈上資產損失,也有可能引發網路癱瘓,危及整個區塊鏈生態的穩定。為此,全球領先、專注於守護並建立新興Web3 生態系統的安全組織BitsLab 重磅發布了《2024 新興生態公鏈全景觀察及安全研究報告》 致力於幫助業界各方精準預判風險並製定有效的防護策略。
報告連結:https://bitslab.xyz/reports-page
公司介紹
BitsLab 長期專注於區塊鏈與Web3 產業安全,累積了豐富的審計經驗和技術沉澱。從Move 生態、TON 網絡,到比特幣拓展領域和Cosmos 應用鏈生態,BitsLab 先後為許多區塊鏈專案提供了安全審計及基礎設施支援。此次發布的報告既是BitsLab 不斷研究與實戰積累的成果,也是一份面向全行業的專業指導:希望更多專案方、投資機構、研究人員以及社區成員讀到這份報告後,能在快速迭代的科技浪潮中穩步前行,讓去中心化的世界在保證安全的基礎上實現健康可持續的發展。
《2024 新興生態公鏈全景觀察及安全研究報告》現已正式上線,歡迎有興趣的朋友透過BitsLab 官方官網及合作平台獲取報告完整版本,深度洞察區塊鏈安全前沿動態,與BitsLab 一起攜手共築新興公鏈的堅實防線。讓我們共同迎接Web3 世界更廣闊的發展前景,協助去中心化生態走向更繁榮與穩健的未來!
關於BitsLab
BitsLab 是一家致力於守護和建構新興Web3 生態系統的安全組織,願景是成為備受業界和使用者尊敬的Web3 安全機構。旗下擁有三個子品牌:MoveBit、ScaleBit 和TonBit。
BitsLab 專注於新興生態系統的基礎設施開發與安全審計,涵蓋但不限於Sui、Aptos、TON、Linea、BNB Chain、Soneium、Starknet、Movement、Monad、Internet Computer 和Solana 等生態。同時,BitsLab 在審計多種程式語言方面展現了深厚的專業能力,包括Circom、Halo2、Move、Cairo、Tact、FunC、Vyper 、Rust和Solidity等。
BitsLab 團隊匯聚了多位頂尖漏洞研究專家,他們曾多次榮獲國際CTF 獎項,並在TON、Aptos、Sui、Nervos、OKX 和Cosmos 等知名專案中發現了關鍵漏洞。
造訪BitsLab 官方網站:https://bitslab.xyz/
造訪BitsLab 以及旗下子品牌官方X 帳號:
BitsLab: https://x.com/0xbitslab
MoveBit: https://x.com/MoveBit_
ScaleBit: https://x.com/scalebit_
TonBit: https://x.com/tonbit_
加入BitsLab 官方Telegram 社群:https://t.me/BitsLabHQ
