8月17日,区块链安全公司peckshield联合火星财经共同推出“peckshield安全评级”,为区块链行业提供公共安全服务。peckshield安全团队本着“客观、权威、专业”的准则,参考当token市值排行,选取了350个基于erc20标准的主流可交易token,历时2个月,结合peckshield 安全评级模型,为token 设立了a、a-、b、b-、c、c-、d、d- 、f 九个安全等级,帮助投资者和交易所判断可交易token的安全情况,特别是识别那些存在高风险的token,进而规避可能存在的安全风险。
安全问题在当前区块链生态各个环节中普遍存在,包括底层公链、交易所、数字钱包、智能合约等,早已成为影响区块链企业成长的关键因素。据公开数据显示,仅在2018年上半年,黑客就窃取了价值7.31亿美元(约合人民币48亿元)的加密货币。日本coincheck交易所在1月份遭受攻击,损失了价值5亿美元的加密货币;而韩国coinrail交易所也在6月份遭受攻击,损失超过4000万美元。面对层出不穷的安全事件,市场亟需一个能够协助排查隐患并提供风险预警的公共服务平台,保障投资者的数字资产安全。而将可交易的token进行评级排行,也能促使交易所加强上币审查和问题修复,从根本上降低投资者的安全风险。
peckshield安全评级可应用于下列三个场景:
1、投资者可参考评级信息,深入了解相关token安全情况并做好风险评估;2、交易所和钱包可依据评级信息,评估可交易token的安全风险,保障平台用户数字资产安全;3、关联项目方(token)可索取合约审计报告,及时修复漏洞,避免造成经济损失。
为了让所选评级token尽可能反映当前数字货币市场的真实安全现状,我们根据coinmarketcap市值排名,选取了市值最高的250个token,又随机抽样选取了100个token,最终参考owasp风险评级方法进行标准化定级。
此次安全评级属于客观、独立的第三方安全审计,由区块链安全团队操刀完成,并且由火星财经全程参与监督,最大程度确保评级结果的客观、公正以及参考价值。
最终,经过我们安全人员的严密排查和审计,我们将审计结果做汇总公布如下:
(图1:350个可交易token漏洞评级分布情况)
1、已审计350个token,均存在不同程度的安全隐患2、存在高危漏洞的token占比13.7%,总市值高达12亿美元,其中市值最大的token达到255,577,012美元;3、56%以上的token仅存在低危漏洞,安全性相对较好4、已审计350个token中共有9个尚未开源,占比2.5%;5、主流交易所普遍存在一些问题token,且高危token平均占比15%左右。
(图2:已审计token各大交易所覆盖情况)
我们的安全评级网站(peckshield/securityrating)已经全球同步上线,用户可登陆一键查询目标token的安全情况,包括合约漏洞安全评级情况、合约运行状况(持有者总数、24h调用次数、24h活跃地址、开源状态)、交易基本信息(24h市值、24h交易额,交易所数量)以及评级历史信息等。这些信息能直观地反映目标可交易token的安全状况,帮助投资者了解投资风险,协助交易所及时修复处理问题token,以便降低安全风险。
关于peckshield
peckshield(派盾)是面向全球的业内顶尖区块链安全团队,由前360 首席科学家、美国北卡州立大学终身教授蒋旭宪博士创办,团队核心成员为海归博士及清华博士,过去在移动端系统安全方面有深厚的积累。公司以提升区块链生态整体的安全性、隐私性以及可用性为己任,通过发布行业趋势报告、实时监测生态安全风险,负责任曝光0day 漏洞,以及提供相关的安全解决方案和服务等方式帮助社区抵御新兴的安全威胁。2018上半年因连续发现并命名了bec、smt、edu 等智能合约的重大安全漏洞,而广受业内关注,此外在以太坊底层漏洞排查,eos主网映射、eosrescuer高危账户自助查询等公链级服务上奠定了自身的行业影响力,不仅进入了etherscan.io 智能合约安全审计推荐名单,另凭借多个独立的漏洞发现,跻身“以太坊赏金猎人”全球排行top 5。