2024年7月31日17点至22点（GMT+8），CertiK将于马来西亚区块链周期间，主办“Happy

在之前的文章中，我们讨论了零知识证明的先进形式化验证：如何验证一条ZK指令。通过形式化验证每条zkWasm指令，我们能够完全验证整个zkWasm电路的技术安全性和正确性。在本文中，我们将关注发现漏洞的视角，分析在审计和验证过程中发现的具体漏洞，以及从中得到的经验和教训。如要了解有关零知识证明（ZKP）区块链的先进形式化验证的一般讨论，请参见零知识证明区块链的先进形式化验证一文。在讨论ZK漏洞之前，让我们先来了解CertiK是如何进行ZK形式化验证的。对于像ZK虚拟机（zkVM）这样的复杂系统，形式化验证（FV）的第一步是明确需要验证的内容及其性质。这需要对ZK系统的设计、代码实现和测试设置进行全面的审查。这个过程与常规的审计有所重合，但不同之处在于，审查后需要确立验证的目标和性质。在CertiK，我们称其为面向验证的审计。审计和验证工作通常是一个整体。对于zkWasm，我们对其同时进行了审计和形式化验证。什么是ZK漏洞？零知识证明系统的核心特征在于允许将离线或私密执行的计算（例如区块链交易）的简短加密证明传递给零知识证明验证器，并由其检查和确认，以确信该计算确已按声明的情况发生过。就此而言，ZK漏洞将使得黑客可以提交用于证明虚假交易的伪造ZK证明，并让ZK证明检查器接受。对于zkVM的证明器而言，ZK证明过程涉及运行程序、生成每一步的执行记录，并把执行记录的数据转换成一组数字表格（该过程称为“算术化”）。这些数字之间必须满足一组约束（即“电路”），其中包括了具体表单元格之间的联系方程、固定的常数、表间的数据库查找约束，以及每对相邻表行间所需要满足的多项式方程（亦即“门”）。链上验证可以由此确认的确存在某张能满足所有约束的表，同时又保证不会看到表中的具体数字。zkWasm算术化表每一个约束的准确性都至关重要。任何约束中的一个错误，无论是偏弱或是缺失，都可能使得黑客能够提交一个误导性的证明，这些表格看似代表了智能合约的一次有效运行，但实际并非如此。与传统VM相比，zkVM交易的不透明性放大了这些漏洞。在非ZK链中，交易的计算细节是公开记录在区块之上的；而zkVM则不将这些细节存储于链上。透明度的缺失使得攻击的具体情况很难被确定，甚至连攻击是否已发生都很难确定。执行zkVM指令规则的ZK电路极其复杂。对于zkWasm来说，其ZK电路的实现涉及超过6,000行的Rust代码和数百个约束。这种复杂性通常意味着可能存在多个漏洞正等待着被发现。zkWasm电路架构的确，我们通过对于zkWasm审计和形式化验证发现了多个这样的漏洞。下面，我们将讨论两个具有代表性的例子，并讨论它们之间的差异。代码漏洞：Load8数据注入攻击第一个漏洞涉及zkWasm的Load8指令。在zkWasm中，堆内存的读取是通过一组LoadN指令来完成的，其中N是要加载的数据的大小。例如，Load64应该从zkWasm内存地址读出64位的数据。Load8应该从内存中读出8位的数据（即一个字节），并用0前缀填充以创建一个64位的值。zkWasm内部将内存表示为64位字节的数组，因此其需要“选取”内存数组的一部分。为此使用了四个中间变量（u16_cells），这些变量合起来构成了完整的64位加载值。这些LoadN指令的约束定义如下：这个约束分为Load32、Load16和Load8这三种情况。Load64没有任何约束，因为内存单元正好就是64位的。对于Load32的情况，代码确保了内存单元中的高4个字节（32位）必须为零。对于Load16的情况，内存单元中的高6个字节（48位）必须为零。对于Load8的情况，应该要求内存单元中的高7个字节（56位）为零。遗憾的是，在代码中并非如此。正如你所见，只有高9至16位被限制为零。其他的高48位可以是任意值，却仍然可以伪装成“从内存中读取的”。通过利用这个漏洞，黑客可以篡改一个合法执行序列的ZK证明，使得Load8指令的运行加载这些意外的字节，从而导致数据损坏。并且，通过精心安排周边的代码和数据，可能会触发虚假的运行和转账，从而窃取数据和资产。这种伪造的交易可以通过zkWasm检查器的检查，并被区块链错误地认定为真实交易。修复这个漏洞实际上相当简单。该漏洞代表了一类被称为“代码漏洞”的ZK漏洞，因为它们源于代码的编写，并可以通过较小的局部代码修改来轻松修复。正如你可能会同意的那样，这些漏洞也相对更容易被人看出来。设计漏洞：伪造返回攻击让我们来看看另一个漏洞，这次是关于zkWasm的调用和返回。调用和返回是基本的VM指令，它们允许一个运行的上下文（例如函数）去调用另一个，并在被调用者完成其执行后，恢复调用者上下文的执行。每次调用都预期稍后会返回一次。zkWasm在调用和返回的生命周期中所追踪的动态数据被称为“调用帧（call

SkyInsights正是一款专注于Web3.0合规性和风险管理的创新解决方案。该方案提供全方位的交易监控功能，帮助Web3.0企业和相关利益方满足合规性和风险管理的需求。依托CertiK庞大的实时数据库，识别潜在风险点，提供实用的可操作建议，帮助企业迅速应对和解决问题，并进一步加强Web3.0生态系统的安全性。对于被区块链行业法规定义为虚拟资产服务提供商（VASP）的组织而言，遵守加密货币合规性是至关重要的。但随着监管要求的日益严格，满足这些监管指南所需的基础设施和工具的成本也在增加。多年来，该领域的一些主要平台不断提高服务价格，同时减少了对最需要合规的团队的支持。与这些每年成本不断上升、资源越来越密集的主要平台相比，SkyInsights为加密合规团队提供了同等甚至更优质的服务。SkyInsights采用一种成本效益的定价模型，不包含任何隐藏费用或条款，并通过集成工具箱优化了工作流程设计。它是改变加密合规和风险管理格局的工具，能够将合规成本降低高达一半。SkyInsights平台提供了一系列旨在简化操作、降低平台成本，并最终为企业节省重要资源的工具。加密合规工具比较表注：价格比较基于等量或类似量级定价；价格比较基于入门级定价，这些数字可能会变动，不包括折扣、捆绑或其他促销活动。为什么选择SkyInsights？

None));而alu()这里的传参如下，对应了size、opcode、source、destination、immediate、indirect，immediate_size这里对应0x81

Quest，不仅能够提升自己的知识水平，还将融入一个致力于掌握数字安全未来的活跃社区。扫描下方二维码或点击文末“阅读原文”，立即加入Skynet

为了深入理解形式化验证技术是如何应用于zkVM（零知识虚拟机）之上的，本文将聚焦于单条指令的验证。关于ZKP（零知识证明）先进形式化验证的总体情况，请查阅我们同期发布的“零知识证明区块链的先进形式化验证”文章。什么是ZK指令的验证？zkVM（零知识虚拟机）能够创建简短的证明对象，以作为证据来证明特定程序可以在某些输入上运行、并成功终止。在Web3.0领域，zkVM的应用使得吞吐量变高，这是因为L1节点只需要验证智能合约从输入态到输出态转变过程的简短证明，而实际的合约代码执行则可以在链下完成。zkVM证明器首先会运行程序以生成每一步的执行记录，然后将执行记录的数据转换为一组数字表格（该过程被称为“算术化”）。这些数之间必须满足一组约束（即电路），其中包括了具体表单元格之间的联系方程、固定的常数、表间的数据库查找约束，以及每对相邻表行间所需要满足的多项式方程（亦即“门”）。链上验证可以由此确认的确存在某张能满足所有约束的表，同时又保证不会看到表中的具体数字。每条VM指令的执行都面临很多这样的约束，这里我们将VM指令的这组约束简称为它的“ZK指令”。下面是用Rust语言编写的一个zkWasm内存加载指令约束的示例。ZK指令的形式化验证是通过对这些代码进行形式化推理来完成的，我们首先将其翻译成形式化语言。即便只有单个约束包含错误，攻击者都因此而有可能提交恶意的ZK证明。恶意证明所对应的数据表格并不对应智能合约的合法运行。与以太坊等非ZK链不同，后者有许多节点运行不同的EVM（以太坊虚拟机）实现，从而不太可能在同时同地出现相同的错误，一个zkVM链则只有单一的VM实现。单就这个角度而言，ZK链比传统的Web3.0系统更为脆弱。更糟糕的是，和非ZK链不一样，由于zkVM交易的计算细节并没有被提交并存储在链上，在攻击发生后，不仅是要发现攻击的具体细节非常困难，甚至要识别攻击本身也会变得极具挑战性。zkVM系统需要极为严格的检视，不幸的是，zkVM电路的正确性很难保证。ZK指令的验证为何很难？VM（虚拟机）是Web3.0系统架构中最为复杂的部分之一。智能合约的强大功能是支撑Web3.0能力的核心，其力量源自于底层的VM，它们既灵活又复杂：为了完成通用计算和存储任务，这些VM必须能够支持众多的指令和状态。比如，EVM的geth实现需要超过7500行Go语言代码。类似的，约束这些指令执行的ZK电路也同样庞大而复杂。像在zkWasm项目中，ZK电路的实现需要超过6000行Rust代码。zkWasm

形式化验证是一个数学证明过程，用以证明系统的正确性，确保其在所有可能的条件下都完全符合预期运行。鉴于区块链技术的复杂性和高风险性，其中的缺陷可能导致重大的财务损失或隐私泄露。形式化验证超越了传统的测试或审计，通过数学证明来验证程序的某些性质的正确，从而消除了大量的潜在错误及漏洞。零知识证明（ZKP）对于区块链的扩展性至关重要。未来的智能合约将在先进的零知识虚拟机（zkVM）上运行，例如用于以太坊合约的zkEVM和用于Wasm合约的zkWasm。这是从传统虚拟机向由零知识证明驱动的虚拟机的范式转变，可以适应更广泛的应用范围，如游戏平台和高性能计算解决方案。CertiK最近完成了zkVM（zkWasm电路）的首次全面形式化验证，这是一个重要的里程碑。这一突破在行业中树立了新的标准，证明了对复杂的零知识电路进行全面形式化验证的可行性。通过确保每个验证过的零知识证明都一一对应其预期的智能合约的执行，CertiK在保护下一代区块链应用方面处于领先地位。零知识证明应用的形式化验证对于基于零知识证明的应用而言，形式化验证在解决两类重要的安全性和正确性问题中起着关键作用。第一类问题是关于零知识电路的正确性验证。这一验证过程可确保证明检查器接受的每个零知识证明都精确对应于该应用特定的一个合法交易。由于这种类型的验证对每个零知识电路都是特别的，因此需要对每个应用进行定制。第二类问题是针对零知识证明检查器本身的正确性，包括其底层密码学。形式化验证在这一领域是普适的，它确保了所有应用中作为验证证明的基础组件都是可靠且能正常工作的。尽管这两类形式化验证都至关重要，但因其需要对每个应用进行定制，零知识电路的形式化验证备受关注，且有着大量的需求。CertiK优先考虑这一部分的形式化验证，解决零知识电路的细微差异和特定需求，以确保最高等级的安全性和正确性。对于zkVM电路而言，在VM电路上运行的实际智能合约代码也参与定义了交易的内涵。对这些智能合约代码的安全性和正确性进行形式化验证也是非常必要的。CertiK在这些智能合约的形式化验证方面一直处于行业领先地位。零知识证明的形式化验证现状此前，零知识证明的形式化验证主要在特定应用电路上进行，例如专门用于代币转移的电路。这些验证工作在复杂性上的努力不容忽视。然而，当验证涉及更通用的虚拟机（例如处理智能合约的虚拟机）中使用的zkVM电路时，面临的挑战会急剧增加。zkVM电路本身高度复杂，同时其支持的智能合约执行也有着巨大的规模和动态性，这使得对它们进行完整的形式化验证变得极为困难。一直以来，业界都没有对实际运行中的区块链zkVM电路实现过完整的形式化验证。这一艰巨的任务常常迫使研究人员将验证工作限定在zkVM的很小范围内，只能针对部分子集进行验证；而在尝试更全面地验证之前，往往只能解决一些较为简单的技术问题。一般来说，区块链系统及智能合约的安全性和正确性主要通过审计来建立，而形式化验证则作为一种可选但更为强有力的保障手段。部分原因是在实现去中心化共识的同时，可以运行链的多重实现，从而有助于发现潜在的错误和攻击。然而，在下一代基于零知识证明的区块链领域，形式化验证将不再是奢侈品，而是必需品。由于零知识证明的密码学理论和算法的复杂性，以及在zkVM等通用零知识电路中智能合约执行的动态性，导致只有形式化验证才能提供必要程度的审查。这些零知识电路由于其同实现的相关性而面临额外挑战：它们需要将完整的计算压缩成简洁的证明，这使得它们不太能借助传统区块链的去中心化共识优势来提升安全性。CertiK对zkWasm的开创性形式化验证CertiK对基于Rust实现的zkWasm电路进行了全面的形式化验证，这是一个重要的成就，该成就标志着世界上首次对zkVM实现进行了完整的形式化验证。CertiK的验证过程确保了由zkWasm证明检查器验证的每一个零知识证明都唯一地关联到zkWasm虚拟机上相应智能合约的执行。通过管理动态的zkWasm状态和操作，如内存处理和函数调用/返回，CertiK有效地增强了系统的可靠性。同时，在形式化验证的过程中发现并纠正了一些关键错误，这凸显了形式化验证在zkVM的开发和部署中的关键作用。这种全面验证意味着所有在zkWasm链上运行的智能合约，其零知识证明的存在和正确性都得到了普遍地保障，从而无须对每个智能合约进行单独的零知识证明形式化验证。此外，我们还对zkWasm进行了全面的安全审计。这一并行过程发现并解决了zkWasm早期实现中的一些关键错误，增强了系统的总体可靠性和安全性。zkWasm的先进形式化验证过程CertiK开发了一个模块化的形式化验证框架，专门针对zkWasm电路的复杂性（如Halo2风格的电路算术化）进行建模，从而为zkWasm提供了一种先进的形式化验证方法，该框架旨在反映虚拟机操作的特定保证和固有假设。CertiK通过结合机器自动化的高效性和安全专家的洞察力，得以生成严格且经过机器校验的数学证明。这些证明证实了zkWasm电路的实现满足了所有的指定保证，并完全按预期执行。此外，证明也验证了这些电路生成的零知识证明可以准确地对应于Wasm智能合约的正确执行。这确保了zkWasm上智能合约的部署和功能具有高水平的信任和安全性。zkEVM及未来CertiK的高级形式化验证框架最初是为zkWasm开发的，但该框架也适用其他zkVM，其中也包括零知识以太坊虚拟机（zkEVM）。该框架解决了智能合约虚拟机面临的常见挑战，例如管理动态内存和控制流。这种适应性至关重要，因为它允许框架有效地应用于不同zkVM的独特要求。CertiK在全面验证zkWasm方面取得的成功，证明了该技术能够扩展应用于更广泛的零知识证明电路领域。在处理零知识电路算术化的过程中，CertiK积累了丰富的经验，特别是针对Halo2（一种在众多零知识证明应用中广泛使用的技术）实现的经验。这些经验赋予了CertiK在协助零知识证明项目进行形式化验证的独特优势。下一代区块链技术需要形式化验证，尤其是对于使用了零知识证明的系统。如果你是零知识区块链的开发者或所有者，想了解更多关于CertiK如何证明系统安全性的细节，请与我们联系。想要了解关于zkWasm先进形式化验证的细节，请参阅同期发布的“零知识证明的先进形式化验证：如何验证一条ZK指令”文章。常见用语注释什么是零知识证明？零知识证明是一项重大的技术进步，对隐私和可扩展性有着深远的影响。在Web3.0中，去中心化计算必须在隐私和性能之间取得平衡，零知识证明则提供了一个强大的解决方案。这项技术可以将复杂的计算数据和执行步骤压缩成简洁的证明，这些证明中不包含任何关于输入数据本身的信息。通过这样的方式，零知识证明解决了区块链网络面临的性能和可扩展性的严峻挑战。零知识证明既能增强隐私性又能提高性能，这给区块链技术的广泛采用带来了双重优势。什么是zkVM（零知识虚拟机）？零知识证明可以通过两种主要方式在区块链上实现。第一种方法是创建特定应用“电路”，为特定类型交易（如代币转移）生成零知识证明。这种方法类似于处理像比特币转账这样的基本交易。第二种方法更为复杂，它涉及开发用于智能合约虚拟机的通用电路，例如以太坊虚拟机（EVM）。这些通用电路被称为zkVM，它们能够加载任意智能合约及其输入数据，并为合约的特定执行生成零知识证明。zkVM结合了智能合约的灵活性和零知识证明的隐私保护与高效率，对推动Layer

今年四月，CertiK在多个地区有着十余场活动，本文将介绍这些行业盛事及参与方式。部分活动名额有限，扫描文中二维码即可报名，不要错过。无论你是一位充满热忱与智慧的开发者，还是行走在行业前沿的领军人，抑或是致力于维护区块链安全的守护者，这些活动都将提供一个专业的交流平台，带来众多创新的火花。让我们一起来看看CertiK四月份的活动日程，共同探索这些精彩的活动吧！

Industries#。我们将邀请业界专家和业界人士，就Web3.0安全体系构建、安全风险识别与防范、与监管部门协同工作等方面展开深入交流，以促进

Token攻击事件过去不到一周的时间，Blast上又发生了一起更大的攻击事件，Munchables项目被攻击者一把卷走了17413.96

北京时间2023年10月31日12:39:23，Unibot发生漏洞恶意利用，损失了64万美元的资产。攻击者利用Unibot路由器合约中的“arbitrary

作为Web3智能合约和区块链安全领域的领军企业，CertiK今日正式宣布推出安全工具SkyInsights。SkyInsights旨在满足Web3企业和利益相关者对Web3合规性和风险管理方面的迫切需求，也彰显了CertiK对提升整个行业安全和透明度标准的决心。SkyInsights的发布正值全球反洗钱并打击资助恐怖主义法规政策日益收紧之际，市场对于这款合规风控工具迫切期待。据悉，SkyInsights一经发布，全球领先的数字资产交易平台BitMart即与CertiK达成深层安全合作，并成为SkyInsights的首家采用者。SkyInsights通过CertiK庞大的实时数据库——超过20亿个钱包地址、智能合约标签以及150多个不同的标签类别增强了风险洞察力，协助用户全方位了解交易风险和交易对手风险。早在DeFi等术语成为主流之前，CertiK就已着手收集关键数据、标记钱包、检测安全事件并发布实时预警。随着SkyInsights的推出，这一庞大的数据库将为Web3合规性重新定义标准。该平台具备业内领先的完善钱包筛选功能，让用户能以前所未有的方式深入了解自己的交易。对于正在承担Web3资产风险的企业来说，SkyInsights是不可或缺的，它提供了有效管理交易和交易对手风险所需的清晰度和控制力。该平台与CertiK的一系列端到端安全解决方案完美融合，再次印证了CertiK以端到端安全为中心的战略和愿景。要实现实质性的Web3合规性，就必须全面了解Web3堆栈的各个层面。这包括协议基于的智能合约、与之交互的钱包地址，以及需要时刻监控的链上交易活动。SkyInsights是全方位的交易监控软件，它不仅能识别潜在问题，还能提供实用的可操作见解以便迅速解决问题。它会自动生成审计跟踪，升级只需一键点击。有了SkyInsights，Web3合规性就从一个需要逐项勾选的规范清单转变为一个简化的流程，保护了那些暗含Web3货币风险的企业并加强了行业的诚信度。通过利用CertiK先进的安全事件监测和分析专业技术，以及实时数据库更新，SkyInsights可确保发出准确且及时的安全预警。CertiK首席运营官Jason

locking）机制。CertiK鼓励更多的安全公司和交易所加入这项倡议，为受害者提供全面的追回资产指南。除了标准化资金锁定（fund

近日，CertiK和阿里巴巴集团的数字技术与智能骨干部门阿里云宣布签署合作伙伴关系，为基于云的Web3项目提供区块链安全服务。Web3开发人员现在可以使用CertiK的端到端安全解决方案和阿里云可扩展、高效且安全的基础设施来加速他们的开发过程并保护他们的应用程序和智能合约。基于云的计算服务在过去十年推动了通信技术的发展，其中网络安全发挥了关键作用。在证明自身安全之前，新技术并不适合大规模采用，这正是CertiK为阿里云的区块链即服务

自2020年10月至2023年3月，Web3.0领域中在遭受攻击后仍能收回或部分收回损失资金的事件共有25起。在这25起事件中，被盗资金总计约13.5亿美元，其中的9.92亿美元被返还（73%）。今年我们都有所耳闻的被盗资金返还事件有Euler

Community以及KYC排行榜吧！对了，要是想知道马斯克又说了什么（zuo

此前，CertiK对KYC黑市、演员雇佣以及KYC买卖曾做过一些调研。包括Telegram和Discord的各类平台上都有兜售已通过KYC验证的Web3.0交易所账户服务，包括KYC演员买卖等。不禁让人们怀疑，这样的账户买卖活动是否在暗网上也十分猖獗。通过我们对买卖KYC账户的调查表明，情况可能并非如此：CertiK对300个暗网市场的KYC账户欺诈性买卖分析显示，只有4%与Web3.0

CertiK调查团队在前段时间里注意到，那些恶意的经营者在使用KYC演员的领域里已经越发得心应手了。根据我们的观察，这些欺诈者们变得更加有「组织纪律」，正在不遗余力地招募专业演员或营销人员来规避尽职调查验证。这种类型的KYC欺诈被用来欺骗Web3.0社区，也被用来绕过传统银行的安全流程。在我们本周发布的《2023年第一季度Web3.0行业安全报告》中，2023年第一季度共统计到了90起退出骗局，这些“幕后黑手”共计盗取约3100万（31,043,335）美元的资产。可见如今Web3.0领域中，恶意欺诈者带来的巨大威胁。对此，CertiK的调查团队对KYC演员欺诈进行了全面而彻底的分析，并将在文末就如何检测和避免这种欺诈为社区用户们提供建议。KYC演员的不同「段位」去年，CertiK的网络安全调查员发现了一个地下的KYC演员产业链，欺诈者利用该产业链获得虚假的KYC认证，绕过安全措施并进行一系列诈骗的同时，逃避犯罪追责。为了打击这种日益增长的威胁，CertiK创建了KYC徽章——作为进一步的尽职调查手段，KYC徽章旨在检测KYC演员和其他类型的欺诈行为。这项服务的目标是为那些经过验证的开发团队提供一个代表真实性的标签，并帮助Web3.0社区用户避免成为欺诈事件的受害者。除此之外，CertiK于近日正式推出了Skynet

和其他89起退出骗局退出骗局的持续威胁在第一季度尤为明显。在2023年的前三个月中，89起退出骗局从投资者那里窃取了超过3100万美元。退出骗局，我们俗称的项目跑路。又被形象地称为“拉地毯（Rug

Pull事件负有全部责任。项目②：恶意开发者骗局与项目①整体团队都是骗局参与者不同，项目②的骗局责任人是一个匿名开发者，他独自窃取了所有的项目资金。CertiK与项目②的负责人谈话就发生在Rug

KYC徽章，CertiK将根据项目团队提供的可验证信息和信息等级授予其KYC黄金徽章、KYC白银徽章或KYC青铜徽章。KYC徽章会表明我们知晓项目背后的团队并已经做过了符合CertiK

eDAI。⑥调用`donateToReserves`（该存在漏洞的函数于2022年7月被引入），将1亿eDAI转给Euler。由于没有对这一行为的抵押状况进行适当的检查，"donate"

CertiK调查团队近期注意到，那些恶意的经营者在使用KYC演员的领域里已经越发得心应手了。根据我们的观察，这些欺诈者们变得更加有「组织纪律」，正在不遗余力地招募专业演员或营销人员来规避尽职调查验证。这种类型的KYC欺诈被用来欺骗Web3.0社区，也被用来绕过传统银行的安全流程。对此，CertiK的调查团队对该现象进行了全面而彻底的分析，并将在文末就如何检测和避免这种欺诈为社区用户们提供建议。KYC演员的不同「段位」去年，CertiK的网络安全调查员发现了一个地下的KYC演员产业链，欺诈者利用该产业链获得虚假的KYC认证，绕过安全措施并进行一系列诈骗的同时，逃避犯罪追责。为了打击这种日益增长的威胁，CertiK创建了KYC徽章——作为进一步的尽职调查手段，KYC徽章旨在检测KYC演员和其他类型的欺诈行为。这项服务的目标是为那些经过验证的开发团队提供一个代表真实性的标签，并帮助Web3.0社区用户避免成为欺诈事件的受害者。CertiK的调查人员进一步分析了欺诈者们的企图，并确定了三类不同的KYC演员⬇️🎭

花费的时间总有一天给你回报。CertiK的事件响应团队全年无休，24小时全天候帮助你发现和识别这些类型的骗局。如果你对自己目前的「状态」心存疑虑，欢迎通过点击文章底部【阅读原文】或是直接于公众号对话框

3.0团队缺乏信任，从而产生了实际问题。我们将利用我们特定领域的知识和专长来进行项目团队审查，给团员们进行精准和深入的身份审计。当然，我们与社区分享该风险评估的的结果同时会绝对保护团队的隐私。”——

的流动性被耗尽：账户A有大约有11,537,729.05美元的债务无法收回，账户B有大约1.15亿美元的借贷token。Eisenberg声称他的团队执行了一个“高利润的交易策略”，使Mango

代理模式使智能合约能够升级其逻辑，同时维持其链上地址和状态值。对代理合约的调用会通过delegateCall的方式执行来自逻辑合约的代码，以修改代理合约的状态。本文将为大家概述代理合约的类型、相关的安全事件和建议，以及使用代理合约的最佳实践。可升级的合约和代理模式简介我们都知道区块链的「不可篡改」特质，也说明了智能合约代码在部署于区块链上后就无法被修改。因此当开发者想为逻辑升级、修复错误或因安全更新试图更新合约代码时，他们必须部署一个新的合约，并会生成一个新的合约地址。想要解决这个问题，就可以用代理模式。代理模式实现了合约的可升级性，并且不会改变合约的部署地址，这也是目前最普遍的合约升级模式。代理模式是一个可升级的合约系统，包括代理合约和逻辑实现合约。代理合约处理用户交互和数据及合约状态存储。用户对代理合约的调用会通过delegatecall()执行来自逻辑合约的代码，从而改变代理合约的状态。升级则是通过更新在代理合约预定存储槽里记录的逻辑合约地址来实现。较为常规的三种代理模式分别是透明代理、UUPS代理和Beacon代理。透明代理在透明代理模式中，升级功能是在代理合约中实现的。代理合约的管理员角色被赋予了操作代理合约的直接权限，以更新代理对应的逻辑实现地址。没有管理员权限的调用者则会把他们的调用委托给实现合约。注意：代理合约管理员不能是逻辑实现合约的关键角色，甚至也不能是普通用户，因为代理管理员无法与实现合约进行交互。UUPS代理在UUPS（Universal

自从进入互联网时代同时也是影响力经济时代后，互联网伴随衍生的新型社交媒体占据了民众的视野。任何人都有机会在一夜之内获取巨大的热度和曝光。因此对于大部分品牌来说，选择一位或多位KOL来进行营销是首选项。然而带货本不是KOL真正具备影响力的原因，他们出圈往往源于其所提供的免费且有价值的内容——这一点在那些参与门槛较高的「圈子」里表现得尤为明确，比如Web3.0。在Web3.0，专业的技术知识、繁杂的项目和赛道都是阻碍普通用户参与的壁垒。鉴于这些原因，CertiK选择开发并正式宣布发布一个可以帮助用户进行有效信息分析和筛选的调研工具：Social

一些不良的项目开发团队正利用KYC演员在Web3.0社区进行诈骗。此篇文章中，CertiK将揭露雇佣KYC演员的地下团伙是如何运作的。说明：在本文中，“KYC演员”特指那些受雇于不诚实的项目所有者并替代其进行KYC验证的第三方个人。项目方由此能够在实施内部人员攻击或在退出骗局发生之前赢得社区信任。对话KYC演员基础的KYC验证也许只能停留在遵纪守法散户的层面，却无法有效制止职业犯罪团伙的欺诈行为和洗钱活动。CertiK调查发现，犯罪分子已经想出许多逃避常规检查的办法，而专业“KYC演员”的出现也表明了逃脱责任其实并没有那么困难。CertiK调查员在一个特别案例中发现并确认了一位KYC演员，随后该对象自愿披露了大量关于KYC演员的工作流程及产业细节。下文就让我们走进与该“KYC演员”的访谈内容，并在对Web

随着量子计算机的迅速发展，Web3.0生态系统及更广泛的技术领域都必须及时做好准备，以尽快适应这个势必推动社会各方面产生变革的强大力量。在量子计算机所拥有的诸多优势中，不仅包括其惊人的信息处理速度，还包括为前所未见的新一类问题提供了解决方案。所以有许多人相信量子计算技术将极大促进人工智能、化学、经济学，以及安全领域的发展进程。量子计算机释放了最新发掘的技术力量，但随之而来的是一系列新型的安全风险，并有可能对现有的非量子安全协议造成巨大威胁。显而易见，Web3.0生态系统仍然经常承受着恶意攻击的冲击，这是一个必须在不久的将来进一步解决的关键难题。一些区块链正在着手开发必要的技术和协议来解决后量子密码安全的现实问题，Algorand作为其中主要参与者之一，目前已开发出能够抵御恶意量子计算机攻击的标准和技术。本文将阐述量子计算机给Web3.0带来的安全威胁，并介绍Algorand为此所采取的措施，以及Algorand智能合约审计在后量子密码技术领域的重要意义。量子计算机攻击威胁人们普遍认为，量子计算机可以破解当前绝大多数非对称密码学的安全防线，因为它能以远超其他经典方法的速度对素数进行因式分解。背后的原理早在“肖尔算法”（Shor’s

美国2013年马丁·斯科塞斯导演电影《华尔街之狼》上映，小李子莱昂纳多·迪卡普里奥领衔主演，这一电影讲述了华尔街传奇人物乔丹·贝尔福特作为股票经纪人，游走在法律边缘的发家生涯，以及曾在三分钟内赚取1200万美元，31岁时坐拥亿万家产的故事。然而真正喜剧的是在现实生活中，《华尔街之狼》的制片人就因涉嫌洗钱和贪污公款被逮捕，涉案金额约2.48亿美元(约17亿人民币)，小李子也没能逃过这场风波。挪用资金拍摄电影大肆洗钱的新闻早已屡见不鲜，「一爽」的事件也尚还是大众茶余饭后的谈资，以往对于天价艺术品或收藏品拍卖的疑惑如今多数也变成了在吃瓜群众意味深长的眼神中被打上的「洗钱」💰标签。反洗钱（AML）的前世今生洗钱、逃税、资助恐怖主义是全球性公害的三类金融犯罪。早在4000年前，古中国的商人就已经开始学会隐藏财产以避免被征税，或是通过其它方式将需被征税的财产转变为无需付税的财产。这一行为多年以来转变了各种形式，但本质仍旧殊途同归，在其上还衍变出了洗钱等犯罪行为。说到这里，就不得不提洗钱，也就是「Money

Web3.0的发展历程可以浓缩为一部不断在大规模应用的道路上攻坚克难的历史。首先，比特币克服了最初的障碍——如何创建一个去中心化的分布式账本技术。后来，以太坊推出了一种扩展区块链技术的手段，赋予了智能合约几乎无限的功能性实现。如今的主要障碍是可扩展性问题，但随着近期的以太坊合并以及大量具有极高可扩展性的平台涌现，这个问题也许早已被我们悄然解决。与以往相比，如今Web3.0生态系统的大规模应用已经卓有成效，NEAR协议已经开始着手解决行业所要面对的下一个主要障碍：可用性。根据NEAR协议的联合创始人Alexander

Market里面的市场价格）从0.038美元抬升至0.91美元。这使得攻击者可以利用MNGO大举借贷，最终导致约1.16亿美元的损失，不过，由于项目价格受到影响，这个数字正在波动。攻击步骤①

KYC调查作为Web3.0安全领域的领导者，CertiK致力于保护Web3.0领域项目和用户的安全。因此CertiK推出KYC服务，旨在通过严格的审查程序使项目团队去匿名化，并建立更强大的问责制。该服务通过严格的审查程序为项目团队提供身份和背景验证，从而保护社区。KYC徽章分级项目团队必须经过彻底的尽职调查，并确保有资格获取KYC徽章，才有机会通过CertiK的KYC背景调查。KYC一旦通过，项目将被授予KYC黄金徽章、KYC白银徽章或KYC青铜徽章。三种徽章的尽职调查过程是相同的，但是CertiK会根据项目团队提供的可验证信息和信息的等级对项目的徽章进行分级。以下分别是黄金、白银和青铜徽章：而这些徽章是根据以下框架而确定的：KYC新特性新的KYC徽章还显示了项目的地域风险（Geo

会第一时间进行分享。问：KYC后，被怀疑有欺诈行为的项目会发生什么？答：CertiK有严格的隐私政策，不会公开披露任何个人信息。同时，CertiK也会保留信息与执法部门进行合作，以确保他们拥有起诉犯罪

近日CertiK宣布正式推出CertiK安全排行榜360该排行榜是CertiK为Web3.0社区和投资者们提供的综合且端到端的安全解决方案目前安全排行榜已完成全面升级「安全排行榜360」在进一步简化设计的同时全面、透明地展示了项目的安全信息和市场数据升级后的排行榜使得针对Web3.0项目的投资调研比以往更加便利！同时还有清晰可见的各个维度的项目信任评分等你来查看！欢迎查看文章CertiK安全排行榜360上演「海量珍贵资料片」开启Web3.0终极保护！或者登录CertiK官网查看完整排行榜并根据你心仪项目的评分进行调研！复制链接到浏览器或点击原文即可查看官网：【https://www.certik.com/】

近日，CertiK宣布正式推出CertiK安全排行榜360。安全排行榜是CertiK为Web3.0社区和投资者们提供的综合且端到端的安全解决方案。目前安全排行榜已完成全面升级为「安全排行榜360」，以便进一步简化设计并公开透明地展示项目的安全信息和市场数据。升级后的排行榜，使得针对Web3.0项目的投资调研比以往更加便利。安全排行榜全新功能及优化本次安全排行榜的升级涉及到诸多项重要更新，用户获取关键安全信息将会更加便捷。首先，安全排行榜360汇总了许多基本的安全和市场数据，并将这些数据汇总在了一个「仪表盘」上，用户可随时进行访问。同时，用户可以更容易地获取关键的安全信息。安全排行榜360在更加突出那些积极保护其用户以及注重安全性项目的同时，也可以确保那些没有保护的项目无处遁藏。其次，对于以去中心化为核心的区块链来说，透明度是其采用的基础，但非专业用户并未享受到该特质——安全排行榜360可使得大量复杂的链上数据可视化，为普通用户提供了真正的「透明度」。除此之外，安全排行榜360还可为用户提供简明的安全评分，以确保他们与我们一起，从触手可及之处共同维护Web3.0安全。审计历史及潜在风险所有接受CertiK审计的项目，将会在经过严格安全评估后获取一份详细的审计报告。报告中会详细说明该项目的审计范围、潜在的风险以及漏洞。这些结果将会发布于「安全排行榜-项目页面-审计历史」中，如今这些数据面板的直接展示也将更有益于用户读取和理解信息。此外，用户们也可以随时查看项目审计报告中已有的或者潜在的风险漏洞并查看其是否已被解决。标签分类和推荐目前，安全排行榜界面也已优化——数千个项目均按照以下标签进行分类⬇️生态系统（如Ethereum、BNB、Solana、Avalanche）项目领域细分（如DeFi、NFT、Gaming、DAO等）同时，根据社交媒体上的讨论情况，还会有链接可以将用户推荐到类似的项目中进行查看。而这些标签分类和推荐功能将更方便用户们浏览同类型项目以及挖掘不同生态系统的项目。天网评分系统升级除此之外，我们新一代优化的Skynet天网动态扫描系统也为社区和投资者提供了其迫切需要的360度安全洞察，其中综合信任评分包括安全评分和社区与市场评分两个维度。在对项目开展的尽职调查中的一个重要组成部分就是了解其社区的发展。Skynet天网信任评分由安全评分、社区及市场评分组成。其安全评分可总体上衡量项目的安全风险；社区及市场评分则可衡量项目的社区及市场生态。代币链上监控除以上功能之外，CertiK还开发了代币链上监控和社区分析模块以深入了解Web3.0项目的舆论舆情及市场状态。用户与一个项目互动时往往需要与多个不同的合约进行交互，因此项目的所有合约理应全部经过安全审计。安全排行榜现可支持一个项目绑定多个经审计的智能合约，例如治理合约、质押合约、DEX上不同类型的合约等等。此外，优化后的代币持有数据、钱包分析、链上分析和智能资金流动跟踪等功能也使得追踪交易活动比从前更容易。安全排行榜的价格分析模块和市场流动性、波动性模块则包含着大量用户触手可及的信息，能够帮助用户访问项目代币的实时市场数据。其中价格分析模块可结合其它链上、安全和社区分析数据创建一个全面的TradingView工具，该工具将有助于用户轻松查看其历史价格走势。这一工具也可灵活叠加Skynet数据，将价格变动与链上和社交分析相结合，使用户根据各种组合指标来评估一个项目，并借此选择重要信息进行页面定制。社区分析模块社区分析模块的更新优化将更有助于用户深入了解Web3.0项目的舆论舆情及市场状态，从各个渠道来深入了解人们对项目及其价格的感受。同时这种图文形式的关键词，可帮助用户迅速把握关键话题，用户也将借助该模块易于理解的形式来做进一步的调查研究。其他更新优化安全排行榜360的其他更新优化还包括：在安全排行榜分析中增加了去中心化交易平台（DEX）流动性池（LPs）、中心化交易平台（CEX）交易对的数据维度，以及中心化和去中心化交易所的详细流动性数据。CertiK致力于提高整个Web3.0世界的安全性和透明度，安全排行榜360免费对所有用户开放，将成为我们实现愿景的有力工具。作为区块链安全领域的领军者，CertiK致力于提高Web3.0的安全和透明等级。迄今为止，CertiK已获得了3600家企业客户的认可，保护了超过3600亿美元的Web3.0资产免受损失。欢迎点击CertiK公众号底部对话框，留言免费获取咨询及报价！往期长文回顾Web3安全公司CertiK完成20亿美元估值B3轮融资,Insight

Web3.0领域发展至今，有着大量令人惊叹的创造和衍生，其中GameFi正在成为吸引大批新用户加入新时代的关键催化剂。在追求新型交互及玩法的狂热游戏社区中，GameFi打开了不止是游戏产品，更是游戏形式的新世界大门。

加密做市商Wintermute遭到黑客攻击，造成了1.625亿美元的天价资产损失。CertiK安全专家经过初步调查分析，认为此次攻击是私钥泄漏所导致，而非智能合约漏洞。具体原因概述为：Profanity生成以太坊地址的方式造成了私钥的泄露，而这次泄漏可能是由于9月15日1

听说最近社媒上发起了一个话题#你认为最没可能塌房的公众人物#，各地小伙伴积极提名，到最后获得大家公认的竟然都是已去世的艺术家们（毕竟连虚拟AI歌手洛天依都被爆假唱）。如果当年的大狗仔团队们还在，负责给明星做道德及法律KYC，那粉丝们就可以安安心心磕CP，粉偶像了，现在的明星们也不必个个噤若寒蝉人人自危。毕竟一次塌房事件对明星本人的影响轻则退圈，重则“戴圈”，对社会造成的影响更是尤为恶劣。信任危机不止在娱乐圈，各项本该有的背景审查在Web3.0世界中无疑同样是欠缺的。为了进一步实现下一等级的安全防御，协调隐私性和匿名性所带来的机遇和挑战，并以此为社区构建足够的信任度，CertiK设立了KYC项目背景调查服务，并授予通过该服务的项目团队KYC验证徽章。CertiK

Farming，生态系统项目可以通过与验证者合作，分发代币以保护网络。这样一来，NEAR生态系统中的新项目也可以参与保护网络安全，验证者也可借此吸引更多的资金。通过这种方式，Stake

自从加密世界走上被监管之路，KYC便成为了项目踏入前线不可或缺的一步。一夜之间，数十家KYC验证服务提供机构悄然出现。但是，可千万别因某某社群数百万粉丝或曾上过某大平台或曾被KYC验证过，就认定不会“塌房”跑路。因为所谓的「已通过KYC认证」，很可能是伪造的。那么在项目方不知该如何挑选KYC认证机构，用户更对辨别项目的可靠性一头雾水的同时，该如何确保KYC的真实有效性呢？CertiK总结了如下5条注意事项，以帮助大家识别KYC认证报告的可靠性。伪造KYC证书欺诈项目一般会为自己出具一份伪造的KYC认证证书或是徽章，并发布于其官网。我们可以通过比对任何可疑之处来分辨报告的真伪。比如明显的修图痕迹、拼写错误或是隐瞒了日期及有效期这些关键细节。还有一个比较直截了当的方式是直接咨询KYC认证机构，核实报告是否出自该机构之手。无审计机构如果你点击KYC证书发行方的链接，你有可能会发现这个链接指向的是一个无关的Github页面，要么就是一个不具备任何资质的发行方网站。这就代表这份KYC认证报告毫无参考价值，并未降低任何项目欺诈的风险。无专业调查人员调查项目潜在的欺诈可能性对非专业人士来说十分困难，这需要多年的经验和专业的调查培训。而非专业的KYC认证机构往往缺乏专业的调查员和情报分析团队，但这对于KYC验证服务来说是极其必要的。验证过程不严谨目前的大多数KYC验证过程十分草率，完全谈不上真正完备的背景调查，这意味着欺诈者可以通过使用虚假ID来蒙混过关，或者干脆雇佣别人来通过ID检查——尤其是针对那些把ID审查结果作为主要验证依据的审计机构。这样的KYC认证机构无疑是不可靠的，就算是欺诈项目也可以轻而易举地拿到经认证的报告。不具备全球化能力如果审计机构的规模达不到一定程度，或没有足够的实力聘请精通各国语言及了解各国文化的富有经验地调查员，那么将无法核实地球另一端项目团队的背景信息。大家都知道，在Web3.0世界中，分布于全球的项目团队并不少见，这不仅意味着对其进行KYC验证的难度增加，也意味着需要更加严格地核查其验证结果的真实性。CertiK

作为加密货币安全领域的领导者，CertiK致力于保护区块链及加密货币项目和用户。过去的几年内骤然崛起的大部分团队都是匿名的，这也使得关于匿名方面的高风险比如跑路或其他欺诈行为成为了可能。因此CertiK

用户代币余额：用户持有的代币越多，用户可以获得的奖励就越多。然而，由于没有防止闪电贷的机制，这意味着攻击者可以通过闪电贷大幅增加其代币余额。此外，在L169中，用户的奖励开始时间将被初始化为

https://moonscan.io/tx/0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4c

北京时间2022年7月23日，CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击，损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置，然后提出并执行了一个恶意提案（ID

免责声明:本文旨在传递更多市场信息,不构成任何投资建议。要说互联网当初兴起时和如今的Web3.0有何不同，只需要看看加密世界的发展史就知道。从比特币到以太坊、从DeFi到GameFi、从NFT到元宇宙、再到Web3.0....与互联网突然闯入人们生活不同，Web3.0由一个又一个的小概念逐渐整合为一个完整的生态系统。这对大众来说不是被动的接受，而是主动的汲取。这样的主动在某一方面营造了大量的泡沫，但同时也使得其在不断的测试和修缮中迎来最高点。曾几何时，加密货币还需要靠着马斯克这样的KOL来渲染营销，知名人物的一家之言可在最大程度上操纵市场的潮起潮落。而现在，哪怕马斯克骤然出售其持有的75%比特币，套现近10亿美元也未激起什么浪花——特斯拉消息传出后不久，比特币价格从每日高点24,280美元回落至22,900美元，然后稳定在23,500美元左右。这喻示着加密市场正在逐渐平稳，也喻示着泡沫的逐渐消解。当所有人的目光都从疯狂的投机上转移至区块链底层技术之时，Web3.0的真正价值才有机会得以体现。但疫情和全球经济动荡影响了包括加密行业在内的所有行业，寒冬的到来掀起了恐惧。「在浪潮中抓住更多的机会，实现更高的价值」这样的思考不仅仅来自Web3.0从业者，同样萦绕于黑客的脑中。数不尽的黑客攻击和欺诈成为了市场仓皇情绪的雪上霜。除去恶意项目方的欺诈外，相比于从前复杂的漏洞利用，现在的黑客反而更青睐于钓鱼攻击及闪电贷这样的「轻松」手法。目前，仅第一季度和第二季度的资产损失就超过了20亿美元，这意味着2022年Web3.0领域因黑客攻击及漏洞造成的总损失已超过了2021年全年。···2022年第二季度Web3.0行业具体的损失金额是多少？刷新了最高记录的闪电贷攻击损失金额又是多少？Web3.0行业安全方面的主要痛点是什么？2022年上半年安全趋势是什么，又意味着什么？作为投资者，如何更好地保护自己的资产？···想知道以上问题的答案，请参阅【2022年第二季度Web3.0安全现状报告】。CertiK致力于守护Web3.0世界，将以安全数据为重心，持续分析Web3.0的安全未来及发展。助力用户远离“土狗”以及人为踏空，以科技赋予科技价值和载舟之路。该报告PDF版本已收录并生成链接，欢迎下载查阅。下载方式⬇️1.

Skynet天网扫描系统安全功能，旨在完备Web3.0世界的端到端安全战略。新功能包括Skynet天网信任评分（Skynet