主流加密货币交易所Bybit的一支安全研究团队识别出16条在技术上可以冻结或限制用户资金的区块链网络。
Bybit旗下Lazarus安全实验室周二发布了一份报告,分析了多条区块链中资金冻结能力的影响,共涉及166个网络。
通过AI驱动的分析结合人工审查,Bybit安全团队发现,包括币安支持的BNB链在内的一些网络,其代码中已内置冻结功能。
分析师还指出,Cosmos链是19个可能通过“相对较小协议变更”引入冻结能力的网络之一。
三种主要冻结机制
在16个区块链网络中,Lazarus安全实验室发现了三种不同的协议级别资金冻结机制。
这些机制包括硬编码冻结方法或公共黑名单、基于配置文件的冻结方法或私人黑名单,以及基于链上智能合约的冻结方法。
报告显示,在具备资金冻结能力的16条区块链中,有10条可采用基于配置文件的方式进行管理,这类方式通过本地配置文件(如YAML、ENV或TOML)实现。通常只有验证者、基金会和核心开发者才能访问这些文件。
在基于配置文件进行冻结这一类别下,Bybit安全团队提到了Aptos、Eos和Sui等一层区块链。
而在直接将冻结功能写入源代码的5条区块链中,Bybit分析师识别出了BNB链、唯链、Chiliz、Viction以及XinFin旗下XDC Network。报告引用了这些网络的GitHub仓库,以突出其硬编码被冻结特性。
报告称,Heco链,也称为火币生态链,是唯一通过链上智能合约管理黑名单的区块链。
针对19个可能引入资金冻结机制的区块链,Bybit的安全团队特别关注Cosmos生态系统中的模块账户。
与普通用户账户不同,模块账户由模块逻辑控制而非私钥,可能允许限制交易。
“理论上,这个功能可以在未来被修改以添加黑客地址,但到目前为止,Cosmos生态系统中的区块链尚未以这种方式使用它,”报告称,并补充道:
“实施这样的更改需要硬分叉以及小的调整——可能在anteHandler文件中——或额外的代码修改。”
Bybit研究人员警告称,即便这些机制旨在防止盗窃或攻击,其存在仍然加剧了关于区块链系统审查与中心化控制的问题隐忧。
这一发现进一步加剧了业界关于‘去中心化’网络实际是否依然去中心化的争论,因为越来越多项目集成紧急控制、合规模块和管理员权限,使得安全性与中心化之间界限愈发模糊。
该报告发布前几个月,Bybit曾遭遇15亿美元冷钱包被盗事件,成为加密行业史上最大规模之一。借助Circle、Tether、THORchain及Bitget等合作伙伴协作,社区成功冻结了被盗资金中的4290万美元,而mETH Protocol则追回价值近4300万美元cmETH代币。