m o c . 5 h t i g b u 1 m o c . 5 b u h t i g @2020 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印， 或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信 息获取、非商业用途；(b) 本文内容不得篡改； (c)本文不得转发；(d)该商标、版权或其他声明不得 删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云 安全联盟大中华区。 2 致谢 云安全联盟大中华区（简称：CSA GCR）区块链安全工作组在 2020 年 2 月份成立。 由黄连金担任工作组组长，9 位领军人分别担任 9 个项目小组组长，分别有：知道创宇 创始人&CEO 赵伟领衔数字钱包安全小组，北大信息科学技术学院区块链研究中心主任 陈钟领衔共识算法安全小组，赛博英杰创始人&董事长谭晓生领衔交易所安全小组，安 比实验室创始人郭宇领衔智能合约安全小组，世界银行首席信息安全架构师张志军领衔 Dapp 安全小组，元界 DNA 创始人兼 CEO 初夏虎领衔去中心化数字身份安全小组，北理 工教授祝烈煌领衔网络层安全小组，武汉大学教授陈晶领衔数据层安全小组，零时科技 m o c . 5 CEO 邓永凯领衔 AML 技术与安全小组。 区块链安全工作组现有 100 多位安全专家们，分别来自中国电子学会、耶鲁大学、 北京大学、北京理工大学、世界银行、中国金融认证中心、华为、腾讯、知道创宇、慢 雾科技、启明星辰、天融信、联想、OPPO、零时科技、普华永道、安永、阿斯利康等六 b u 十多家单位。 h t i g 本白皮书主要由 DApp 安全小组专家撰写，并由 DApp 安全小组及区块链数据安全 和数字钱包工作组的专家共同审核，感谢以下专家的贡献： 本白皮书贡献者名单：陈晶，黄连金，李岩，马红杰，王登辉，姚昌林，张志军， 周庆松（按照字母排序） 贡献单位：知道创宇，武汉大学 关于研究工作组的更多介绍，请在 CSA 大中华区官网（https://c-csa.cn/research/） 上查看。 如本白皮书有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱： [email protected]; 云安全联盟 CSA 公众号： 3 序言 去中心化应用（即 Decentralized Application，以下简称 DApp）作为区块链的重要实 现载体。DApp 继承了传统应用的优势，结合区块链的特点，极大地扩展了区块链的应 用场景与现实意义。DApp 可以被广泛地应用于金融(DeFi)、游戏、保险、物联网、共享 经济、人工智能等多个领域。 但同时也面临着严重的安全风险，例如：2019 年 EOS DApp 安全成为重灾之地，截 止 2019 年 5 月被盗 EOS 达到 93 万。相比于普通应用程序而言，DApp 的安全性不仅影 m o c . 5 响参与多方的公平性，还影响 DApp 所管理的庞大数字资产的安全性。因此对 DApp 的 安全性及相关安全漏洞开展研究显得尤为重要。 CSA GCR 对于 DApp 的安全进行系统化研究，从不同的角度去分析 DApp 的安全。 根据 2020 年初统计，DApps 应用中最受欢迎的是 DeFi，本文针对 DeFi 的安全应用场景 b u 进行了重点分析。 h t i g 李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2020 云安全联盟大中华区-版权所有 4 目录 致谢............................................................................................................................................ 3 序言............................................................................................................................................ 4 1. DApp 与安全概述................................................................................................................. 6 1.1 DApp 概述..................................................................................................................... 6 1.2 DApp 安全简介............................................................................................................. 7 1.3 DApp 安全攻防............................................................................................................. 8 2. DeFi 的安全......................................................................................................................... 8 2.1 DeFi 概述..................................................................................................................... 8 m o c . 5 2.2 DeFi 的功能特性......................................................................................................... 9 2.3 DeFi 的生态堆载....................................................................................................... 11 2.4 DeFi 项目的安全概述............................................................................................... 12 2.5 DeFi 的智能合约安全案例分析............................................................................... 14 b u 2.6 DeFi 通证经济设计方面的安全案例分析............................................................... 26 2.7 DeFi 监管安全的案例分析....................................................................................... 32 h t i g 3. DApp 安全测试建议与工具............................................................................................... 34 3.1 安全架构分析............................................................................................................ 34 3.2 静态代码扫描............................................................................................................ 35 3.3 动态应用扫描............................................................................................................. 36 3.4 手工渗透测试............................................................................................................. 37 3.5 生产环境中的测试与追踪......................................................................................... 37 3.6 针对智能合约的安全测试工具................................................................................ 38 4. DApp 安全最佳实践与案例............................................................................................... 39 4.1 DApp 的基本架构....................................................................................................... 39 4.2 安全开发与测试的要点............................................................................................. 40 4.3 DApp 开发采用 DevSecOps 流程.....................