2021年区块链安全生态报告：80%DAPP安全事故缘于智能合约漏洞

PA荐读｜2022-02-09 14:57

Fairyproof研究团队研究了公开报道的189起典型安全事故，分析了其中的原因并将经验、教训进行总结，汇成了本报告，期待与业界同仁及读者交流，共同促进加密行业的良性发展，保障加密资产的全面安全。

欢迎加入PANews TG Channel更快获取一手区块链资讯：https://t.me/ChannelPANews

作者：Fairyproof Tech CEO 谭粤飞

概述

2021年对加密货币而言真是个热火朝天的年份。

根据coinmarketcap.com的数据显示，比特币的价格从年初1月1日的28994.01美元到年尾12月31日涨到了46306.45美元，并在11月10日创出历史新高68789.63美元；以太坊从年初1月1日的737.71美元到年尾12月31日涨到了3682.63美元，并在11月16日创出历史新高4891.7美元。在比特币和以太坊的带领下，coinmarketcap.com统计的整个加密货币市场总市值从年初1月1日的7730亿美元到年尾12月31日涨到了22560亿美元。

一方面市场行情持续火爆，另一方面加密货币全行业也迎来了爆发式成长。层出不穷的创新和应用颠覆了我们对技术、商业和文化等的理解和认知：我们见证了以太坊第二层扩展的爆发[1][2]，我们从未想到它会来得如此突然；我们见证了DeFi 2.0对传统DeFi商业模式的颠覆[3]；我们见证了NFT一跃成为元宇宙生态中身份的标识[4][5]；我们见证了链游生态中崛起的play-to-earn模式[6][7]......

就像硬币有两面一样，对加密货币行业而言，一面我们看到了其蓬勃发展的生态，但另一面我们也经历了触目惊心的安全事故。2021年加密货币全行业公开报道的安全事故至少有189起，至少有76亿美元的加密资产在这些安全事故中损失。

这些安全事故不仅给加密资产持有者造成了重大损失也严重影响甚至阻碍了整个加密行业生态的长期发展。

背景知识

在我们深入探讨之前，有必要先介绍本报告中会频繁提及的一些基本概念及术语。

什么是区块链

区块链是一个持续增长的数据集链表。这些数据集被称为区块。这些区块通过加密算法前后相互链接[8][9][10][11]。这些区块中除了第一个区块（也被称为“创世区块”）以外，每个区块都包含前一个区块的哈希值、本区块的时间戳、交易数据等[12]。只要区块链系统持续正常运作，这些区块前后链接就会构成一条永远不断增长的链式结构。通常已经记录在区块链中的交易和数据是无法回滚和篡改的。如果要回滚或篡改某个区块中的交易或数据，则此区块后所有区块的交易和数据都要回滚或篡改，而这在技术上和经济上都有相当的难度。

比特币是区块链技术的第一个应用。它为区块链生态的发展开辟了全新、无限的想象空间。在比特币之后，区块链生态开始爆发式成长，为全人类带来了全新的视野和气象。

无许可型区块链VS 许可型区块链

基本上所有现有的区块链系统都可以被分为两类：无许可型区块链（permissionless blockchain）和许可型区块链（permissioned blockchain）。

无许可型区块链有时也被称为公有区块链，它是一个开放的网络系统，任何人都可以作为节点在无需授权的情况下参与其共识的达成、参与对数据和区块的验证[13]。这个网络中所有的节点相互之间都无需预先建立信任关系。比特币是第一个无许可型区块链。

许可型区块链是一个封闭的网络系统，只有经过授权的节点才可以进入网络参与共识的达成、数据和区块的验证等活动。这些节点通常是某个联盟的成员、某个组织或公司的部门等。

由于无许可型区块链是个开放的系统，任何人都可以参与区块验证、打包等活动并使用系统，因此它吸引了全球科技爱好者参与其生态系统的构建和开发。

此外，在无许可型区块链中，为了维系系统的自治和运作，其设计开发者会赋予其一种被称为是“挖矿”的机制。这种机制会对成功打包有效区块的节点进行奖励，奖励通常以加密货币的形式发放。在这种机制的激励下，来自全球的节点会参与系统的维护和运作。

因此，无许可型区块链生态的成长和发展十分迅猛。

但与此同时，由于无许可型区块链允许任何节点无门槛地加入系统的运作，因此恶意节点也难免加入其中，通过作恶甚至对系统的攻击获取加密货币的奖励。从这个角度审视，无许可型区块链更容易受到黑客的攻击，黑客既可以作为恶意节点从系统内部攻击也可以以传统方式从系统外部攻击。

这些综合因素的叠加使得无许可型区块链的安全保障和维护相对于许可型区块链而言更加复杂、更加困难。

什么是DAPP

DAPP是去中心化应用程序（decentralized application）的英文简称。这是一种运行在区块链上，由一个或多个智能合约组成核心，包括前端、后台等构件的应用程序[15][16]。如果承载一个DAPP运行的区块链是无许可型区块链，则这个DAPP就能在无需中心化媒介控制和干预的情况下自治地运行。

这种DAPP通常是开源、透明、公开的，任何人都可以无需许可地与其交互。这类DAPP的开发者为了吸引尽可能多的用户使用它并保障DAPP的长期开发和维护，会在DAPP中加入加密货币的发行机制，用发行的加密货币奖励使用DAPP的用户和开发团队。这种加密货币发行机制通常也会成为黑客的攻击目标。

这些特点也使得DAPP和无许可型区块链一样很容易被黑客攻击。

本报告的研究内容

对无许可型区块链、DAPP和涉及加密货币业务的中心化机构及组织的攻击或其自身出现的安全事故广泛存在于加密货币领域，并且日益严峻，对这些攻击和安全事故的探讨、研究和防范是加密货币领域的焦点，也是我们研究的核心。

对于其中的攻击事件而言，发起攻击的黑客通常会将攻击获取的加密货币兑换成锚定法币（通常是美元）的稳定币或直接兑换为法币离场。

Fairyproof研究团队对2021年发生、经公开报道的典型安全事故进行了系统的统计和总结，在本报告中罗列了相关数据、分析了事故的成因、并列举了防范这些事故的可行建议和有效措施。

2021年安全事故的统计数据及分析

我们研究了媒体公开报道的2021年发生的189起安全事故，在本章罗列了我们统计的相关数据并分析了这些事故的原因和要点。

基于被攻击对象对安全事故的分类研究

根据被攻击对象的不同，我们将189起安全事故分为两类：区块链类安全事故和DAPP类安全事故。

区块链（blockchain）类安全事故是指区块链系统遭到来自内部节点或外部黑客的攻击或由于区块链客户端软件或节点硬件等事故而使区块链系统无法正常的工作，从而使得攻击者从中渔利或使得区块链原生加密货币持有者受到损失。

DAPP类安全事故是指DAPP受到攻击或者DAPP因自身缺陷无法正常工作，从而使得攻击者从中渔利或者DAPP发行的加密货币持有者受到损失。

在总共189起安全事故中，区块链类安全事故数和DAPP类安全事故数各自所占的百分比如下图所示：

如上图所示，DAPP类安全事故数占比超过了95%，共有181起，只有8起为区块链类安全事故。

区块链类安全事故

我们深入研究了区块链类安全事故，将其分为三个子类：区块链主网（blockchain mainnet）、侧链（sidechain）和第二层扩展（layer 2 solution）。

区块链主网也被称为lay 1，它有自己独立的共识机制、验证节点等。区块链主网的节点可以独立验证交易、数据，达成共识，使区块链获得最终一致性。比特币和以太坊就是典型的区块链主网。

侧链也是单独的区块链，但它通常伴随一条区块链主网平行运作。侧链也有自己的网络系统、共识机制和验证节点。它和区块链主网相连，两者相连的方式有多种，常见的包括双向锚定（two-way peg）[17]等。

第二层扩展是指依赖区块链主网的协议或网络系统[18]。第二层扩展无法自己取得最终的一致性和安全性，必须依赖区块链主网获得。第二层扩展的主要功能和目标是解决区块链主网的性能扩展问题。第二层扩展通常拥有相较于主网更加高效、更低费用的业务处理能力。目前第二层扩展技术发展得最迅速、最有活力的是依托于以太坊的第二层扩展技术。以太坊的第二层扩展技术和生态在2021年取得了长足的进展。

侧链和第二层扩展技术都是为了解决区块链主网的性能问题。这两者典型的区别在于侧链可以不依赖于区块链主网获得安全性和最终一致性，而第二层扩展则必须依赖区块链主网。

我们统计的2021年区块链类安全事故总共有8起，下图展示了区块链主网、侧链和第二层扩展各个类别中发生的安全事故数所占的比例。

如上图所示，区块链主网发生的安全事故占整个区块链类安全事故的比例为62.5% ，总共有5起，涉及的区块链主网有Solana[19]、ETC[20]、BSV[21]、Verge[22]和Firo[23]；侧链发生的安全事故总共有2起，涉及的侧链有Polygon[24]和Liquid Network[25]；第二层扩展发生的安全事故有1起，涉及的第二层扩展系统是Arbitrum One[26].

在5个涉及区块链主网的安全事故中，有4起（ETC、BSV、Verge和Firo）都是遭到了51%攻击[27]，其根本原因是这些区块链主网的算力都相对较低，这使得黑客可以比较容易地通过租借算力的方式发动对主网的攻击。剩下的一起（Solana）则是因为主网受到了DOS攻击[28]。

DAPP类安全事故

我们分析研究了DAPP类安全事故，进一步将其分为三个子类：DAPP前端事故（front-end）、DAPP后台事故（server side）、DAPP合约事故（smart contract）。

DAPP前端事故主要是DAPP中涉及传统信息技术的客户端中出现了安全漏洞导致用户的账户信息、个人信息等被盗从而导致用户的加密资产被盗或损失。

DAPP后台事故主要是DAPP中涉及传统信息技术的服务器端出现安全漏洞导致DAPP的后台服务与链上交互过程被劫持从而导致用户的加密资产被盗或损失。

DAPP合约事故主要是DAPP的智能合约出现安全漏洞导致用户的加密资产被盗或损失。

在总共181起DAPP类安全事故中，这三类安全事故的案例数占比如下图所示：

如上图所示，前端安全事故数占比为8.84%、后台安全事故数占比为11.05%、合约安全事故数占比为80.11%，三者具体的事故数分别为16起、20起和145起。

我们进一步研究了这三类安全事故导致的损失金额，得到下面的统计图：

我们的统计数据显示前端安全事故造成的损失达2.8亿美元、后台安全事故造成的损失达3.91亿美元、合约安全事故造成的损失达69.3亿美元；三者的占比分别为3.68%、5.14%和91.17%。

尽管前端安全事故导致的损失金额所占的比例并不高，但其中有不少个案都涉及较大的金额，比如Vulcan Forged[29]的事故导致了1.4亿美元的损失、BadgerDAO[30]的事故导致了1.2亿美元的损失、Farmer World[31]的事故导致了1570万美元的损失。

显然，合约安全事故是最大的隐患。在合约安全事故中，我们进一步研究发现出现的典型攻击包括闪电贷（flashloans）[32]、缺少权限验证、通证精度计算错误、数值溢出、重入攻击、AMM算法漏洞、假通证存储/抵押、双花、治理攻击等。

我们统计分析了不同漏洞导致的合约事故的数量，得到下列统计图：

如上图所示，在合约安全事故中，闪电贷造成的事故数量最多，其次是由缺少权限验证造成的事故，两者占比分别为21.38%和10.34%，其它所有原因造成的安全事故数量加起来占比为68.28%。具体到事故数量，闪电贷造成的事故数量为31起，缺少权限验证造成的事故数量为15起。

我们研究了不同原因造成的合约事故所导致的损失金额，得到下列统计图：

有趣的是，我们发现尽管由缺少权限验证导致的安全事故在数量上明显少于由闪电贷引发的安全事故，但前者所导致的损失金额则大大高于后者，两者所导致的损失金额占比分别为10.48%和4.45%。

2021年，闪电贷逐渐成为攻击者常用的工具，用来攻击DeFi类DAPP。一些典型的DeFi类DAPP如Cream Finance[33]、Spartan Protocol[34]、YFI[35]、Indexed Finance[36]都遭到了闪电贷攻击。有些甚至多次遭遇闪电贷攻击，比如AutoShark[37]被攻击三次，Pancake Bunny[38]、BurgerSwap[39]和Cream Finance都被攻击两次。

基于事故原因对安全事故的分类研究

我们基于导致安全事故的发生原因将189起安全事故分为了三大类：由黑客攻击导致（attacks from hackers）、由不当操作导致（improper operations）和由项目方不当行为导致（rug-pulls）。

我们统计分析了这三类原因导致的安全事故数量，得到下列统计图：

如上图所示，由黑客攻击导致的安全事故数量占比最多，高达86.24%，其次是由项目方不当行为导致，占比为11.11%，最后是由不当操作导致，占比为2.65%。具体到安全事故数量，三者分别为163起、21起和5起。

我们研究了这些事故原因造成的损失金额，得到下列统计图：

如上图所示，由项目方不当行为导致的损失金额占比最高，达66.18%，由黑客攻击导致的损失金额占比为32.72%，由不当操作导致的损失金额占比为1.10%。有趣的是尽管由项目方不当行为导致的安全事故数远小于由黑客攻击导致的安全事故数，但在损失金额上，前者远高于后者。在总计76亿美元的损失金额中，由项目方不当行为导致的损失金额、由黑客攻击导致的损失金额和由不当操作导致的损失金额分别为50.3亿美元、24.9亿美元和8354万美元。

由黑客攻击导致的安全事故

我们研究了由黑客攻击导致的安全事故，分析了其中的漏洞种类，得到下列统计图：

如上图所示，两有个被黑客利用进行攻击的漏洞分别是私钥泄露（admin key being compromised）和缺少权限验证（missing validation for access control）。这两者所引发的安全事故数量所占的比例分别为11.66%和9.20%，整体上所占比例并不高。

但当我们研究了两者所导致的损失金额后，发现了有趣的现象，得到的统计图如下所示：

和前一幅统计图形成相当大反差的是：由私钥泄露所导致的损失金额占比和由缺少权限验证所导致的金额损失占比在总金额中占比不小，两者分别是24.93%和29.2%。

在诸多由私钥泄露导致的安全事故中，涉及了一些中心化加密资产交易所，比如BitMEX[40]损失了1.5亿美元、Liquid[41]损失了9100万美元、AscendEX[42]损失了7700万美元、HitBtc[43]损失了4000万美元、Bilaxy[44]损失了2170万美元。

要指出的是，在这一小节我们所讨论的安全事故涉及的被攻击对象包括智能合约、DAPP前端和DAPP后台。如果我们仅考虑DAPP前端和后台，则私钥泄露就是最主要的安全隐患。

由项目方不当行为导致的安全事故（Rug-pulls）

在2021年，由项目方不当行为导致的安全事故冲击了大量DAPP，包括DeFi类应用和中心化加密资产交易所。

我们统计的由项目方不当行为导致的安全事故共有21起，其中2起是中心化加密资产交易所，19起是DAPP。

我们研究了这些案例，得到下列统计图：

如上图所示，涉及中心化加密资产交易所的案例数仅占9.52%，而90.48%都是涉及DAPP的案例。

我们进一步研究了这两类事故的涉案金额，得到下列统计图：

如上图所示，尽管涉及中心化交易所的案例数远远小于涉及DAPP的案例数，但前者的涉案金额远高于后者，前者的涉案金额占比为97.4%，而后者仅占2.6%。

由不当操作导致的安全事故（IMPROPER OPERATIONS）

总共有5起由不当操作导致的安全事故，所有的案例都发生在DAPP，更确切地说都是DeFi应用，包括了著名的项目如Compound[45]、dYdX[46]。这些安全事故总共造成的损失金额达8354万美元。

研究总结

对于2021年区块链主链遭遇的安全事故，经分析发现51%攻击仍然是最普遍的事故原因，其导致的事故数量占比达80%。

除了常见的区块链主链和侧链事故，2021年出现了新生的发生于第二层扩展系统的安全事故。但这类安全事故的数量仍然少于侧链，当然也远少于主链。

我们基于安全事故的涉案受害对象进行研究，发现由黑客攻击导致的事故数量占比接近90%，由此可见黑客攻击仍然整个加密领域最大的威胁。

DAPP安全事故所涉及的前端、后台和智能合约三类中，无论是从案例数量上看还是从涉案金额上看，智能合约安全漏洞引发的事故都远超前端和后台漏洞引发的事故。从案例数量上看，智能合约占比为80.11%，接着是后台占比达11.05%，最后是前端占比达8.84%。从涉案金额上看，智能合约占比为91.17%，接着是后台占比达5.14%，最后是前端占比达3.68%。

前端安全相对智能合约安全一直以来并不受到加密领域安全业者的关注，但它的漏洞在2021年引发了几起涉案金额较大的事故，其中有两起每起的涉案金额都超过了1亿美元，分别是Vulcan Forged和BadgerDAO，损失金额分别为1.4亿美元和1.2亿美元。

在由前端和后台漏洞引发的安全事故中，私钥泄露仍然是2021年这两个领域最大的安全隐患。

我们研究了与智能合约相关的安全事故后发现：由闪电贷导致的攻击案例数远超任何其它类别，位居第一；由缺少权限验证导致的攻击案例数位居第二；但由后者导致的损失金额则远高于前者，也高于任何其它类别。

在所有189起安全事故中，尽管由黑客攻击导致的安全事故超过任何其它类别，比如由项目方不当行为导致的安全事故，但后者造成的损失金额则远超前者。

在2021年，由项目方不当行为导致的安全事故涉及DAPP和中心化加密资产交易所。其中DAPP的涉案数目远超中心化加密资产交易所的涉案数，但后者的涉案金额却远超前者。由此可见，从涉案金额来看，中心化加密资产交易所仍然是最大的安全隐患，这一点对加密资产持有者来说要引起高度关注。

FAIRYPROOF方案示例

基于我们的研究和分析，我们认为安全领域最大的挑战来自于三个方面：闪电贷攻击、缺少权限验证和项目方不当行为。这三类事故广泛存在于智能合约领域。而它们在某种程度上是可以借助自动化工具鉴别和防范的。

在本章，我们将介绍Fairyproof针对这三类事故开发的解决方案。

漏洞探查系统（Vulnerability Detection System）

漏洞探查系统的工作流程如下：

步骤1：扫描源代码。

步骤2：检查函数的修饰符及可见性，提取函数的行为参数。

步骤3：将提取的函数的行为参数与Fairyproof标准库中存储的函数的标准行为参数进行对比，检查两者的差异。

步骤4：对每个函数的行为参数及其与标准参数的差异，对照漏洞库中的漏洞参数检查可能存在的系统漏洞。对每个典型漏洞，系统将建立一个列表，将行为参数可疑的函数加入对应的列表。

步骤 5：对每一个列表中的每一个函数项，使用Fairyproof开发的行为曲线拟合算法（behavior curve-fitting algorithm），运用机器学习验证其是否为潜在风险。

步骤6：如果在第5步中一个函数的行为被判定为有潜在风险，则该函数将被标记并发送给工程师进行核验。

步骤7：工程师将审计核验第6步挑选出的所有函数，判定其是否为风险项。

这套工具和流程极大加快了审计过程的自动化，减少了繁复的人工投入，提高了审计效率和正确率。

我们使用这套工具发现了一系列典型的风险，其中就包括可能引发闪电贷攻击的风险和缺少权限验证的风险。

下例是我们在审计过程中发现的一个可能被闪电贷攻击的案例。在代码截图中，getAmountOut()函数从某个去中心化交易所的一个交易对中获取reserve值，并用其计算UBT的价格。这种计算方式就可能遭遇闪电贷攻击。

我们发现此问题后，建议项目方使用更安全的价格获取机制（预言机）来计算相关通证的价格。

下列是我们在审计过程中发现的一个缺少权限验证的案例。在下例代码中，管理员可以通过调用setRate函数任意设置rate，这可能导致通证交易被抢跑。

下列函数可能被抢跑攻击。

利用上述工具，这个缺少权限验证的问题很快就被发现了，对此我们建议项目方取消这个函数或对该函数的调用设置权限控制。

通证探查系统（TOKEN VARIANCE DETECTION SYSTEM）

为了自动化监测一个通证合约是否存在潜在风险，例如是否遵照以太坊通证标准，我们开发了通证探查系统。该系统的运行过程如下：

基于这套工具及这个自动化流程，我们快速发现了去年一些热门空投项目的显著不同点，比如我们发现了MaskDAO通证收取“税费（tax）”的非典型特征，如下所示：

这种自动化工具也帮助我们迅速定位到一些空投通证项目中特殊的处理方式，比如SOS、MASK、GDO、GAS使用的链下处理方式，如下图所示：

防范安全事故的可行手段及建议

在本节，我们将基于对2021年安全事故的总结和分析，分别从开发者和用户的角度罗列一些防范安全事故的可行手段及建议。我们建议开发者和用户都参照这些建议在日常的开发、维护、运营、交易等行为中小心谨慎，做好安全防范工作。

注意：这里的开发者既包括区块链客户端应用的开发者，也包括DAPP及所有和加密资产相关的应用的开发者。这里的用户指所有参与到加密资产及相关系统运营、操作、交易、持有等活动的参与者。

对开发者的建议

对基于工作量证明机制（PoW）的无许可型区块链而言，防范其被攻击最好的方式就是发展它的生态系统，激励更多的节点参与系统的挖矿，提升系统的整体算力。

2021年，在所有扩展区块链主网性能的方案中，尽管侧链发生安全事故的案例数多于第二层扩展，但第二层扩展技术是新兴的技术，它未来的发展会迅速推进，生态也会日益繁荣，因此对第二层扩展技术安全性的关注不能掉以轻心。作为开发者而言应该未雨绸缪，积极深入地研究相关技术，找到防范安全事故的方案和措施。

对于DAPP的整体安全而言，由智能合约的漏洞引发的安全事故依旧是首要值得关注的领域，但前端和后台的安全也必须引起重视。尤其在审计方面，对前端和后台的审计将成为审计的必然选项。

对于存在管理员控制关键操作的DAPP，必须将管理员权限转移到多签钱包或者DAO来管理。

闪电贷和对操作权限的验证是合约开发者时刻要注意的两大风险点。正确合理地处理这两大风险点也是开发者在设计和编码智能合约时必须注意的头等事项。

对用户的建议

对于持有基于工作量证明机制（PoW）的区块链加密货币的用户而言，必须关注该区块链的整体算力水平。如果该区块链系统的算力较低，则可能遭遇51%攻击，从而影响所持有加密货币的价值。

侧链技术和第二层扩展技术都还处于发展初期，都还不够成熟和健壮，很有可能遭遇安全事故。因此在准备参与或持有相关加密货币之前，用户最好仔细审视相关方案的安全性，以免持有的加密货币所依赖的相关方案因安全性欠佳导致所持有的加密资产价值受损。

当和DAPP进行交互时，用户不仅要关注其智能合约的安全，也要关注其前端和后台的安全，尤其要注意不要轻易点击可疑的信息或链接。

强烈建议用户在参与加密货币投资及交互之前，仔细审阅相关项目是否有审计报告，并仔细阅读相关的审计报告以便知晓第三方机构对其安全性的评估。

强烈建议用户使用冷钱包管理不用于频繁交易的加密资产。在使用热钱包时注意使用时周边的硬件环境和软件环境的安全性。

对开发团队身份匿名的项目，用户应该提高警惕。一些从未有过业内声誉的团队开发和运营的项目可能存在跑路风险。对中心化交易所用户要关注其运营团队的身份和背景，对声誉较低的团队运营的中心化交易所要小心其跑路风险。

参考资料：

[1] Arbitrum Portal, https://portal.arbitrum.one/

[2] Optimism, https://www.optimism.io/

[3] “DeFi 2.0: A beginner's guide to the second generation of DeFi protocols”. https://cointelegraph.com/defi-101/defi2-0-a-beginners-guide-to-the-second-generation-of-defi-protocols.

[4] CryptoPunks. https://www.larvalabs.com/cryptopunks

[5] BAYC. https://boredapeyachtclub.com/

[6] Axie Infinity. https://axieinfinity.com/

[7] “Play-To-Earn Gaming Is Driving NFT And Crypto Growth”. https://www.forbes.com/sites/robertfarrington/2021/12/13/play-to-earn-gaming-is-driving-nft-and-crypto-growth/?sh=7f3afd1dc2dc. December 13, 2021

[8] Morris, David Z. (15 May 2016). 'Leaderless, Blockchain-Based Venture Capital Fund Raises $100 Million, And Counting'. Fortune. Archived from the original on 21 May 2016. Retrieved 23 May 2016.

[9] Popper, Nathan (21 May 2016). 'A Venture Fund With Plenty of Virtual Capital, but No Capitalist'. The New York Times. Archived from the original on 22 May 2016. Retrieved 23 May 2016.

[10] 'Blockchains: The great chain of being sure about things'. The Economist. 31 October 2015. Archived from the original on 3 July 2016. Retrieved 18 June 2016. The technology behind bitcoin lets people who do not know or trust each other build a dependable ledger. This has implications far beyond the crypto currency.

[11] Narayanan, Arvind; Bonneau, Joseph; Felten, Edward; Miller, Andrew; Goldfeder, Steven (2016). Bitcoin and cryptocurrency technologies: a comprehensive introduction. Princeton: Princeton University Press. ISBN 978-0-691-17169-2.

[12] Blockchain. https://en.wikipedia.org/wiki/Blockchain. January 4, 2022

[13] Stifter N, Judmayer A, Schindler P, et al. What is Meant by Permissionless Blockchains?[J]. IACR Cryptol. ePrint Arch., 2021, 2021: 23

[14] Stifter N, Judmayer A, Schindler P, et al. What is Meant by Permissionless Blockchains?[J]. IACR Cryptol. ePrint Arch., 2021, 2021: 23.

[15] DApp,[1] 'CVC Money Transmission Services Provided Through Decentralized Applications (DApps)' (PDF). FinCEN. Retrieved 2019-05-09.

[16] dApp,[2] 'IEEE DAPPS 2020'. ieeedapps.net. Archived from the original on 2020-04-26. Retrieved 2020-08-15.

[17] Sidechains. https://ethereum.org/en/developers/docs/scaling/sidechains/

[18] Layer-2. https://academy.binance.com/en/glossary/layer-2

[19] Solana. https://solana.com/

[20] ETC. https://ethereumclassic.org/

[21] BSV. https://bitcoinsv.com/

[22] Verge. https://vergecurrency.com/

[23] Firo. https://firo.org/