# [講座分享] 區塊鏈應用安全
- 講者:李婷婷
- 主辦協辦:逢甲大學黑客社、逢甲大學資工系、教育部先進資通安全人才培育計畫
- 直播地點:https://discord.gg/VCfC43Te3T
- 日期:2022/05/07
- 分享請註明出處~
---
# 自我介紹
- 2017 開始區塊鏈接案,擔任 self token 開發者與客串聖人大盜電影
- 曾是 Evernew Capital 的 Research Consultant 協助評估新興區塊鏈項目投資機會,也參與多項私募
- 曾至加州柏克萊大學區塊鏈實驗室 Berkeley Blockchain Xcelerator 擔任第一屆特邀學者和技術導師
- 先後在 Microsoft、Chainlink、Certik、Status.im 和 Stacks 基金會等公司工作過
- 擔任 JP Morgan, Deloitt, HTC, Acer, KPMG, 中華電信等知名企業之內訓講師
- 發表過三篇區塊鏈論文於權威論壇 ACM 與 IEEE ,並在德國慕尼黑 MobiSys 獲頒全球最佳論文
- 經手總鎖倉量近十億美金 DeFi 項目的資安審計
- GitHub 上有多項開源項目,喜歡參加比賽,曾獲 ConsenSys 頒發第一屆 ETHSanFranciso 黑客松獎項(當時做了 ETH 與 BTC 的跨鏈橋)
- 現為 The Z Institue 創辦人,與團隊積極開班培訓區塊鏈產業人才,盼能將台灣的人才輸出至全世界,區塊鏈工程師職缺媒合成功率 67%
- 線上課程累績學員數逾兩千人
- 最近在學 Tomboy 跟 Love Dive 💗
---
# Agenda
- 區塊鏈資安與傳統資安的比較
- 區塊鏈資安漏洞的種類
- 駭客社交攻擊
- 智能合約漏洞
- 資安審計概覽
- 身為用戶如何避免受騙
- Q&A
---
# 區塊鏈資安與傳統資安的關係
| 傳統資安 | 區塊鏈資安 |
| -------- | -------- |
| 網站有洞可修改 | 合約部署後不能改 |
| 金流系統通常跟主伺服器分開 | 錢就鎖在合約裡! |
| 程式碼通常不開源 | 通常開源,漏洞馬上會被發現|
| 有較多過去案例參考 | 常有全新漏洞手法被發現 |
| 較多跟作業系統相關漏洞 | 較多邏輯漏洞,作業系統常是同個 |
| 需要學的工具與和語言較多 | 需要學的工具和語言較少 |
| 不是很容易借錢來攻擊 | 可以低成本借錢當大戶來攻擊 |
---
# 區塊鏈資安漏洞的種類
- 駭客社交攻擊
- 智能合約漏洞
- 項目方 rug pull
---
# 駭客社交攻擊
- https://medium.com/p/d32af04a934b/edit
- https://discordapp.com/channels/893532013355741254/958408290159714404/958733778380021770
---
# 智能合約漏洞
- 語法漏洞(較少發生)
- 通常編譯跟測試時就會發現
- 邏輯漏洞(最常發生)
- https://hackmd.io/K9Ac30jrTuCvU2LfewOsAw?view
- 匯率漏洞(假裝大戶之閃電貸攻擊)
- https://www.smartcontractresearch.org/t/research-summary-attacking-the-defi-ecosystem-with-flash-loans-for-fun-and-profit/260
- 程式範例:https://github.com/z-institute/Flashloan-Example
- 過去總損失排行
- https://rekt.news/leaderboard/
---
# 資安審計
- Stader Labs: https://arweave.net/U_pyiBeWnxUN0hWQGcQpSMdXOrs9DkzK6mgbcoKCZ_w
- Edge Protocol: https://arweave.net/BgqQgkt6Kq7mxhlck-NcJ59lxnarFxFE5_pqBNh78j4
- QuickSwap: https://arweave.net/WdVz3HOLhVyx04RPZmHywLWZY-wvaVoqGUaSuh4QBdE
- Tron BTT: https://arweave.net/9ltyUdeWj8kvzFydMvv8Xyk46VdPY7aaj96dtShNC5A
---
# 身為用戶如何避免受騙
- 不要相信來路不明的網站
- 若項目沒有經過資安審計要特別小心,有也要親自去讀審計報告
- 多閱讀新聞了解資金盤運作模式(許多 DeFi 項目)
- 連接錢包前觀察清楚再動作,不要按太快
---
# Q&A
故事時間(?
---
# Contact us :D
- https://www.facebook.com/the.z.institute/
- https://linktr.ee/tinaaaaalee
- https://zinstitute.net/
- https://www.youtube.com/channel/UCm-8zk6og4ncIyo8cF7Lr7A
<style>
.reveal {
font-size: 24px;
}
</style>
{"metaMigratedAt":"2023-06-17T00:29:06.670Z","metaMigratedFrom":"YAML","title":"[講座分享] 區塊鏈應用安全","breaks":true,"contributors":"[{\"id\":\"70927155-f7c2-4750-93e4-c2c89523ac4b\",\"add\":2636,\"del\":170}]"}