BitsLab 重磅發布安全研究成果：2024 新興公鏈安全全景洞察

報告聚焦Move、TON、比特幣拓展以及Cosmos 應用鏈這4大方向，從技術創新、安全挑戰、歷史安全事件3 個方向展開詳細解讀，為投資者、開發者、白帽駭客提供 了一些經驗與思考方向：

Move 生態（Aptos、Sui 等）

報告介紹了 Move 語言如何在資源管理、模組化設計、內建安全機制上革新智慧合約編程，並對 Aptos、Sui 各自的創新點與安全架構進行深入剖析。

Move 語言最初由 Facebook（現Meta）為Diem（Libra）專案開發，旨在解決傳統智慧合約語言的效能和安全瓶頸。 Move 的設計強調資源的明確性與安全性，確保區塊鏈上每個狀態變化的可控性。 這款創新程式語言具備以下顯著優勢：

資源管理模型：Move 將資產視為資源，使其不可複製或銷毀。 這種獨特的資源管理模型避免了智能合約中常見的雙重支付或意外銷毀資產問題。

模組化設計：Move 允許智慧合約以模組化的方式構建，提高程式碼復用性，並且降低了開發複雜度。

高安全性：Move 在語言層面內建了大量的安全檢查機制，防止常見的安全漏洞，例如重入攻擊（reentrancy attacks）等。

此外，報告也回顧了 2023 年至 2024 年底 Move 虛擬機器與 Aptos 網路發生的典型安全事件，以此提醒社群警惕網路中潛在的無限遞歸 DoS 漏洞、記憶體池驅逐機制缺陷等問題。

詳細 Move 生態安全事件回顧請下載報告查看閱讀

TON 生態

TON（the open network）是由 Telegram 創建的區塊鏈和數位通訊協議，旨在建立一個快速、安全且可擴展的區塊鏈平台，為用戶提供去中心化的應用和服務。 透過結合區塊鏈技術和 Telegram 的通訊功能，TON 實現了高性能、高安全性和高可擴展性的特性。 它支援開發者建構各種去中心化應用，並提供分散式儲存解決方案。 與傳統的區塊鏈平台相比，TON 具有更快的處理速度和吞吐量，並採用了 Proof-of-Stake 共識機制。

TON 採用了權益證明共識機制，並透過其圖靈完備的智慧合約和非同步區塊鏈實現了高效能和多功能性。 TON 的閃電般快速且低成本的交易由鏈的靈活且可分片的架構支持。 這種架構允許其在不損失效能的情況下輕鬆擴展。 動態分片涉及初步開發的具有各自目的的單獨分片，這些分片可以同時運作並防止大規模積壓。 TON 的區塊時間為 5 秒，最終確定時間少於 6 秒。

現有基礎設施分為兩個主要部分：

●主鏈（Masterchain）：負責處理協議的所有重要和關鍵數據，包括驗證者的地址以及驗證的幣量。

●工作鏈（Workchain）：連接到主鏈的次級鏈，包含所有交易資訊及各種智慧合約，每個工作鏈可以有不同的規則。

TON 基金會是由 TON 核心社區運營的 DAO，為 TON 生態系統中的項目提供各種支持，包括開發者支持和流動性激勵計劃。 報告詳細梳理了 2024 年 TON 社區在多個方面取得了顯著進展，報告同時還揭示了近期惡意合約能透過嵌套結構導致虛擬機資源耗盡的漏洞，以警示各方持續強化合約安全審計。

更多 TON 生態詳細內容請下載報告查看

比特幣拓展生態

包含閃電網路（lightning network）、Liquid Network、Rootstock（RSK）、B² Network、Stacks 等 Layer 2 與側鏈方案，正推動比特幣在交易擴容與可程式性上的突破。 閃電網路提升交易效率，Liquid Network 加速機構間交易，而 Rootstock 結合安全性與智慧合約拓展了 dApp 生態。 此外，B² Network 和Stacks 進一步深化了比特幣的功能與應用場景。

閃電網路是比特幣 Layer 2 最成熟、應用最廣泛的解決方案之一。 它透過建立支付通道，將大量小額交易從主鏈移到鏈外，從而大幅提升比特幣的交易速度和降低手續費。

圖片來源：https ://lightning.network/lightning-network-presentation-time-2015-07-06.pdf

Liquid Network 是一個基於開源的 Elements 區塊鏈平台運行的側鏈，專為在交易所和機構之間實現更快的交易而設計。 它由比特幣公司、交易所和其他利害關係人組成的分散式聯盟治理。 Liquid 使用雙向錨定機制，將 BTC 轉換為 L-BTC，反之亦然。

圖片來源：https ://docs.liquid.net/docs/technical-overview

Rootstock 自 2015 年誕生以來，是運行時間最長的比特幣側鏈，並在 2018 年啟動了其主網。 它的獨特之處在於將比特幣的工作量證明（PoW）安全性與以太坊的智慧合約結合。 作為一個開源、兼容 EVM 的比特幣 Layer 2 解決方案，Rootstock 為不斷增長的 dApp 生態系統提供了入口，並致力於完全去信任化。

B² Network 的技術架構包括兩層結構：Rollup 層、資料可用（DA）層。 B² Network 旨在重新定義用戶對比特幣第二層解決方案的看法。

自 2018 年以 Blockstack 名義在主網上推出以來，Stacks 已成為領先的比特幣 Layer 2 解決方案。 Stacks 直接連接到比特幣，允許在比特幣上建立智慧合約、dapps 和 NFT，顯著擴展了比特幣的功能，使其不僅僅是一個價值儲存工具。 它採用了一種獨特的轉移證明（PoX）共識機制，將其安全性直接與比特幣掛鉤，而無需修改比特幣本身。

圖片來源：https ://docs.stacks.co/stacks-101/proof-of-transfer

Babylon 的願景是將比特幣的安全性擴展到保護去中心化世界。 透過利用比特幣的三個面向— — 其時間戳服務、區塊空間和資產價值— — Babylon能夠將比特幣的安全性傳遞到眾多權益證明（PoS）鏈，從而創造更強大、統一的生態系統 。

雖然這些技術為比特幣生態帶來更多可能性，也面臨如閃電網路「替代循環攻擊」、UTXO 運算錯誤、PoW 回溯機制風險等挑戰。

閱讀報告全文以取得更多比特幣生態詳細內容

Cosmos 應用鏈生態

以 Tendermint 共識、Cosmos SDK 及 IBC 跨鏈通訊為核心，在區塊鏈互聯網的設計思路上擁有多項技術創新。

Cosmos 的架構採用了 Hub 和 Zone 的模式，Hub（中心）作為跨鏈的核心節點，連接並協調多個 Zone（獨立區塊鏈）。 這種架構的創新點在於：

去中心化管理：每個 Zone 都是獨立的、自治的區塊鏈，不需要依賴單一中心化的管理節點。

高效的跨鏈連接：透過 Hub，Zone 之間可以無縫進行跨鏈通訊和資產流動，實現了真正的互聯互通。

報告從多模組調用順序到跨鏈訊息傳遞，深度分析了Cosmos 應用鏈潛在的安全隱患，並結合流動性質押模組（LSM）的安全爭議及治理流程問題，為更多應用鏈項目提供 警示與啟示。

閱讀報告全文以取得更多 Cosmos 應用鏈生態詳細內容

多年漏洞研究成果

報告詳細梳理了區塊鏈產業中普遍存在的九大安全漏洞類型，這些漏洞不僅貫穿不同的技術層面，還涉及了多個區塊鏈生態系統的核心組件，涵蓋了從跨鏈 通信到經濟學模型設計的各個層面。

1、 L2/L1 跨鏈通訊漏洞：跨鏈通訊是提升區塊鏈生態系統互通性的重要手段，但在其實現過程中也存在許多安全隱患。 例如 L2 未考慮 L1 的區塊回溯、鏈上事件偽造以及 L2 未偵測發送給 L1 的交易是否成功等

2、Cosmos 應用鏈漏洞：Cosmos 作為一個以區塊鏈互通性為核心的生態系統，允許不同的區塊鏈透過 IBC（跨鏈通訊協定）進行連接。 然而，Cosmos 應用鏈在實現過程中也可能存在一些漏洞和安全隱患，例如 BeginBlocker 和 EndBlocker 崩潰漏洞、本地時間使用不正確、隨機數使用不正確等 11 個漏洞以及安全隱患。

3、比特幣拓展生態漏洞：包括比特幣腳本構造漏洞、未考慮衍生性資產導致的漏洞、UTXO 金額計算錯誤漏洞等

4、程式語言常見漏洞（如死迴圈、無限遞迴、整數溢位、競爭條件等）

5、P2P 網路漏洞：P2P（點對點）網路在區塊鏈系統中用於分散式節點間的直接連接與通訊。 儘管P2P網路為去中心化系統提供了網路基礎，但其也面臨一系列如異形攻擊漏洞、缺乏信任模型機制、缺乏節點數量限制機制等常見漏洞類型

6、DoS 攻擊：包括記憶體耗盡攻擊、硬碟耗盡攻擊、核心句柄耗盡攻擊、持續性記憶體外洩等

7.密碼漏洞：密碼漏洞會破壞資料的保密性和完整性，為系統帶來潛在的安全威脅。 主要的密碼學漏洞類型包括使用已經被證明不安全的雜湊演算法、使用不安全的自訂雜湊演算法、不安全的使用導致的雜湊碰撞等

8、帳本安全漏洞：（如交易記憶體池漏洞、區塊哈希碰撞漏洞、孤兒區塊處理邏輯漏洞、梅克爾樹哈希碰撞漏洞等）

9、經濟學模型漏洞：經濟模型在區塊鏈和分散式系統中起著至關重要的作用，影響網路的激勵機制、治理結構和整體可持續性，報告中列出的 經濟學模型漏洞需要特別關注。

閱讀報告全文了解關於安全漏洞類型詳細內容

常見攻擊面列表

報告也列舉了 13 大常見攻擊面，每個環節都可能成為駭客攻擊的突破口，值得開發者和專案方加倍重視：

1、虛擬機器

2、P2P 節點發現與資料同步模組

3、區塊解析模組

4、交易解析模組

5、共識協定模組

6、「其他攻擊面請在報告裡查看」

…

安全開發最佳實務

透過豐富的案例複盤與攻防實踐，報告提煉出系統化的安全應對思路。

在安全防護層面，本報告特別就鏈開發的最佳實務給予詳盡建議，涵蓋區塊與交易處理、智慧合約虛擬機器、日誌系統與RPC 介面、防範DoS 攻擊的P2P 協定設計、傳輸 層的加密與認證、模糊測試（Fuzzing）與靜態程式碼分析、第三方安全審計流程等各方面，力求為區塊鏈專案的全生命週期提供清晰可行的安全指引。

具體詳細安全開發最佳實務內容請下載報告查看

報告寫作背景：

2025 年伊始，回顧過去一年，區塊鏈技術在全球範圍內持續高速迭代：從交易處理性能到跨鏈交互，再到智能合約語言與節點擴展方案，整個行業正邁入更為 多元與複雜的新階段。 同時，各大新興生態公鏈也迅速崛起，憑藉著靈活的網路架構、創新的程式設計模式和豐富多元的應用場景，持續引領 Web3 世界的科技潮流與生態繁榮。

然而，安全隱憂卻在不斷浮現，一旦發生攻擊或漏洞利用，不僅會導致鏈上資產損失，也有可能引發網路癱瘓，危及整個區塊鏈生態的穩定。 為此，全球領先、專注於守護並建立新興Web3 生態系統的安全組織BitsLab重磅發布了《2024 新興生態公鏈全景觀察及安全研究報告》致力於幫助業界各方精準預判風險並製定有效的 防護策略。

公司介紹

BitsLab 長期專注於區塊鏈與 Web3 產業安全，累積了豐富的審計經驗和技術沉澱。 從 Move 生態、TON 網絡，到比特幣拓展領域和 Cosmos 應用鏈生態，BitsLab 先後為許多區塊鏈專案提供了安全審計及基礎設施支援。 此次發布的報告既是BitsLab 不斷研究與實戰積累的成果，也是一份面向全行業的專業指導：希望更多專案方、投資機構、研究人員以及社區成員讀到這份報告後，能在快速迭代 的科技浪潮中穩步前行，讓去中心化的世界在保證安全的基礎上實現健康可持續的發展。

《2024 新興生態公鏈全景觀察及安全研究報告》現已正式上線，歡迎有興趣的朋友透過BitsLab 官方官網及合作平台獲取報告完整版本，深度洞察區塊鏈安全前沿動態，與BitsLab 一起 攜手共築新興公鏈的堅實防線。 讓我們共同迎接 Web3 世界更廣闊的發展前景，協助去中心化生態走向更繁榮與穩健的未來！

點擊閱讀並下載中英報告

關於BitsLab

BitsLab 是一家致力於守護和建立新興 Web3 生態系統的安全組織，願景是成為備受業界和使用者尊敬的 Web3 安全機構。 旗下擁有三個子品牌：MoveBit、ScaleBit和 TonBit。

BitsLab 專注於新興生態系統的基礎設施開發與安全審計，涵蓋但不限於 Sui、Aptos、TON、Linea、bnb Chain、Soneium、Starknet、Movement、Monad、Internet Computer 和 Solana 等生態。 同時，BitsLab 在審計多種程式語言方面展現了深厚的專業能力，包括 Circom、Halo2、Move、Cairo、Tact、FunC、Vyper 、Rust和 Solidity等。

BitsLab 團隊匯聚了多位頂尖漏洞研究專家，他們曾多次榮獲國際 CTF 獎項，並在 TON、Aptos、Sui、Nervos、OKX 和 Cosmos 等知名專案中發現了關鍵漏洞。

造訪 BitsLab 官方網站：https://bitslab.xyz/

訪問 BitsLab 以及旗下子品牌官方 X 帳號 ：

BitsLab: https://x.com/0xbitslab

MoveBit: https://x.com/MoveBit_

ScaleBit: https://x.com/scalebit_

TonBit: https://x.com/tonbit_

加入 BitsLab 官方 Telegram 社群：https://t.me/BitsLabHQ