DEFI:當我們看合約審計時，我們在看什么？

隨著DeFi項目數量的爆發，安全審計機構已經要忙不過來了。從某種程度上講，合約審計是把握智能合約風險的第一道門檻。根據安全團隊的解讀，一個完整的DeFi=智能合約+前端頁面。這即是說，在智能合約安全審計后，仍會存在幾個風險。當在我們看審計報告的時候，我們在看什么？作為DeFi參與者，合約審計能夠真正給出哪些借鑒和參考？隨著「Swap系」數量越來越多，DeFi項目「暴雷」、「跑路」的事件也在增多。面對社區對于DeFi項目風險的擔憂，很多項目方都選擇了進行合約審計，或是為了自證清白，或是為了取信于投資人，有時，DeFi項目進行合約審計，也被當做是一種利好來進行解讀。這種方式似乎是有效的：在「壽司」Sushiswap創始人被爆套現離場、項目控制權易主之后，一條關于「Sushiswap項目智能合約審計工作進展順利」的消息，讓Sushi立刻展示出了小幅度漲幅，也讓一部分投資者重獲信心；在JustSwap連續三個項目均爆出漏洞、并被指項目方未做好詳盡的測試和審計之后，Tron官方挖礦項目SUN通過報告審計的消息，也讓波場社區的熱度再次增加。同時，也有一些平臺因為出現漏洞而在審計上備受質疑，上周，就有投資人對新興的「Swap系」平臺Moonswap提出了關于「發現有預挖」、「合約沒有時間鎖」、「平臺出現多個Bug」等問題，并對其審計做出質疑，引發社區關注。

0x0f1d開頭地址再度抵押stETH與ETH借出約5900萬美元穩定幣:8月12日消息，據0xScope Protocol監測，0x0f1d開頭地址再度在Aave抵押2.6萬枚stETH與1.5萬枚ETH借出約5900萬美元穩定幣，并轉入Bitfinex和幣安。此前該地址已通過抵押借貸借出5800萬枚穩定幣并轉入幣安、Bitfinex、Coinbase等多個交易所。[2023/8/12 16:22:07]

目前，MoonSwap已于啟動當天18點多已經加上了時間鎖，慢霧安全團隊發布了正式安全審計報告。當在我們看審計報告的時候，我們在看什么？作為DeFi參與者，合約審計能夠真正給出哪些借鑒和參考？在面對這些問題的同時，Blocklike還發現，對于審計能夠起到的作用，有人作出了這樣的總結：「代碼可以審計，人性無法審計。」審計范圍有限，合約風險暗藏

Kaiko報告：陷入困境的Silvergate或會提升穩定幣在加密交易中的作用:3月7日消息，市場研究公司Kaiko在周一發布的一份報告中表示，陷入困境的Silvergate Capital決定關閉其在大投資者中很受歡迎的即時結算服務SEN，這將提高穩定幣及其發行商在加密交易中的作用。Kaiko的報告稱:“隨著SEN的消亡，穩定幣可能會在交易員中變得更加普遍。”Kaiko預測，交易員將不再使用銀行渠道將美元存入加密貨幣交易所，而是將資金轉移到穩定幣發行方以獲得穩定幣，然后將穩定幣存入交易所。報告補充道：“但問題是，穩定幣發行人仍然需要訪問加密貨幣銀行，因此現在風險進一步集中。”

Kaiko還在報告中表示，隨著穩定幣市值的增長，全球法定貨幣與加密貨幣之間的交易對的數量有所下降。數據顯示，去年交易所新增的美元交易對數量從2021年的400個降至326個。報告稱：“自FTX崩潰以來，相對于USDT、USDC和歐元交易對，美元的市場份額持續下降。”例如，USDT在比特幣交易量中的主導地位最近達到了93%的歷史新高，比2017年的3%有了顯著的增長。報告稱，目前，美元和與美元掛鉤的穩定幣仍然是加密經濟的基礎，但美元支付渠道日益復雜化可能會翻轉這一趨勢。（Coindesk）[2023/3/7 12:46:28]

DeFi熱潮之下，很多投資人的現狀可能正如PrimitiveVentures創始合伙人Dovey所描述的那樣：「千萬別問我xxx能不能挖。現在一個人全職幫我看新地，一個人全職幫我看項目，還有兩個trader全職做交易，還有各種內應外援程序員幫我看合約安全，我就是個確認錢包多簽的機器人，現代化農業哪里有那么簡單。」的確，合約安全是很多投資者都關心的話題。近期，為了給跟多投資者提示風險，社區就總結出了這樣一份DeFi生態思維導圖及風險點：1.合約風險，代碼漏洞，未經審計，黑客攻擊造成資產損失2.私鑰風險，沒有多簽的DeFi合約意味著掌握合約私鑰的可以隨意更改合約或者跑路3.無常損失風險，例如流動性挖礦本身的無常損失，尤其是兩種風險資產的流動性對收益高風險也高4.交易摩擦風險，現在以太坊交易Gas費率極高，幾個交易下來可能就要花費一個以太，散戶的本金來回幾次可能都不夠折騰5.操作失誤風險，在轉賬過程中失誤導致資產永久丟失，最近有幾次大額轉賬失誤建議投資國外經過開源審計多簽和社區民主自治的項目，僅供參考。從中看出，風險點之中首當其沖的便是「合約風險，代碼漏洞，未經審計，黑客攻擊造成資產損失」。從某種程度上講，合約審計成為了把握合約風險的第一道門檻。到了DeFi這里，從投資者參與未經審計項目的情況與熱度來看，很多人對于安全審計的含義并不明了。早在Yam啟動之時，市場的Fomo情緒已經被帶動起來，雖然Yam已經被聲明了「未經審計」的、一周內寫出來的合約，但其所受到的追捧仍讓人咋舌。那么，作為DeFi投資者，該如何看待合約審計呢？Blocklike從慢霧安全團隊處了解到，目前，智能合約基礎安全審計主要分為ETH部分和EOS部分。其中，ETH安全審計包含13個大類，EOS安全審計包含15個大類。

三星推出基于區塊鏈的安全系統Knox Matrix:金色財經報道，三星宣布為其智能設備引入類似區塊鏈的安全系統。該系統名為Knox Matrix，旨在提高多設備環境的安全性，每個智能設備監控其他設備并共享訪問數據以簡化登錄任務。

三星表示，Knox Matrix將互連網絡上可用的不同智能設備，以通過“多層相互監控”來增強安全性，將手機連接到其他智能設備（如電視或智能空調）將使這些設備更安全，不會受到任何威脅的影響。（news.bitcoin）[2022/10/13 14:26:29]

不過，由于DeFi整個安全模型上會更加復雜，慢霧安全團隊將DeFi風險點分為了合約層與前端層兩個部分：合約層：1.智能合約基礎安全審計項，其中精度問題是個需要特別注意點2.權限過大風險：鑄幣，授權遷徙3.經濟模型風險：預挖、團隊分配及用途4.同鏈平臺遷移風險5.新增池風險：添加惡意Token薅獎勵6.合約直接收到打幣風險7.代幣兼容性風險：通縮型代幣，777代幣8.DoS風險:循環遞歸，惡意合約拒絕接受以太幣9.治理合約風險:治理投票雙花,治理壟斷風險10.鏈平臺遷移風險：各鏈之間兼容EVM的方式可能不一致11.閃電貸攻擊風險：通過閃電貸對系統穩定性造成影響(暫定)12.預言機操控風險13.借貸清算風險：全部清算、部分清算、無人清算、競價清算前端層：1.精度風險2.中間人攻擊風險，如替換合約地址3.合約替換風險4.授權釣魚風險5.GasLimit限制風險「這些確實普通用戶很難去一一理解」，慢霧安全團隊進一步解釋道：「但普通用戶可以簡單理解為：DeFi通過安全審計后，用戶參與進去被安全審計的智能合約里的本金是安全的。至于因為參與DeFi導致的炒幣經濟虧損或在非合約層面導致的虧損，都不在智能合約安全審計范圍。」需要注意的是，根據安全團隊的解讀，一個完整的DeFi=智能合約+前端頁面。這即是說，在智能合約安全審計后，還會存在幾個風險：第一，安全審計可能都沒發現的漏洞或新型攻擊方式；第二，智能合約可升級或可篡改，如何讓可升級或可篡改成為不可能或有效可信的社區治理行為；第三，隨著項目方的發展，智能合約會增加新的，如新池子、新功能模塊，需要注意看智能合約安全審計報告明確審計的是哪些。由于前端頁面屬于中心化內容，如果前端出Bug或漏洞或作惡，實際上危害可能會更直接更大。這個不僅是安全審計機構可以去審計的事，還是社區監督的事。而到了EOS安全審計上，情況便又有所不同了。虎符創始人王瑞錫就曾公開表示：「EOS的合約特性是可修改，大家要看清楚，不要盲目相信審計了。因為目前大多數EOS上的合約都沒有開源。審計了沒開源和沒審計是一樣的。出了問題審計還背鍋，得不償失。」對于EOS上的智能合約，慢霧安全團隊補充道：「如果項目方Owner權限已進行多簽，需要項目方與至少2個可信方共同多簽進行合約更新或者轉賬等操作，且active權限已刪除項目方私鑰權限。就可以比較好控制EOS智能合約項目方權限過大問題。」因此，即便是通過了安全審計的DeFi項目，投資者仍然需要仔細甄別，注意風險。投資人該如何參考？

Watcher.Guru：幣安CEO趙長鵬推特粉絲突破700萬:金色財經報道，Watcher.Guru發推表示，幣安CEO趙長鵬推特粉絲突破700萬。[2022/10/3 18:37:55]

根據工作經驗，慢霧安全團隊也對投資者們提出了一些建議：「智能合約安全審計雖然不是銀彈，但有總比裸奔好，職業的安全審計機構會大大降低DeFi風險；切記不要進入到釣魚網站，亂授權會導致本金歸零；即使去投資被多家安全審計機構審計過的DeFi，也做好黑天鵝爆發可能性，切勿沉迷；用靠譜的環境去玩靠譜的DeFi，靠譜環境指；不要把所有資金放到一個籃子里，分散安全管理很重要。」成都鏈安智能合約安全負責人對Blocklike總結道：「從成都鏈安的經驗來看，合約審計的目的主要是檢查代碼規范性、常規漏洞、安全漏洞、業務邏輯漏洞。主要排除的風險主要在于兩點，減少遭受黑客攻擊的可能性、減少因代碼導致的業務無法按預期正常運轉。」「審計報告會指出業務邏輯和功能描述等，可以對比看看項目方宣傳與功能是否對的上；審計報告也會描述權限相關，普通投資者可以根據描述的權限，看看項目方是否有跑路的能力，比如項目方有權利將合約中的錢全部轉走等，或者可以控制某些關鍵參數，變相控制用戶資金」，成都鏈安提出建議。而目前可以看到的現狀是，DeFi大熱導致了很多項目方過于急切，現在明顯是安全審計機構遠遠忙不過來的狀況，這對于用戶來說不是個好事。由于不少用戶缺乏安全意識，即使一個DeFi沒有通過安全審計，也可能有大量用戶直接涌入。Blocklike提示各位投資者，在參與DeFi項目的同時，注意智能合約安全問題，進行投資時，本金安全作為第一重要的評估參數來看待，面對龐大的參與資金，黑客們可比普通投資者更狂熱。畢竟，早在8月中旬，就已經有社區聲音對熱情的投資者們靈魂發問：「你們想過嗎，這些形形色色的DeFi項目真是出了問題，維權橫幅上面你要印誰的名字？」

美國CFTC 倡導擴大加密貨幣市場管轄范圍:金色財經報道，自比特幣創建以來已經過去了十多年，但立法者和監管機構仍在繼續探討重要問題，例如應該允許哪個監管機構來監管數字資產。包括商品期貨交易委員會 (CFTC) 在內的聯邦監管機構正在增加資源以幫助監管數字資產市場中的欺詐行為。

除了欺詐或操縱事件之外，CFTC 目前不監管涉及不依賴保證金、杠桿或融資的數字資產的現貨或現金市場交易，也不監管從事此類交易的市場參與者。然而，現任 CFTC 主席 Rostin Behnam 正在尋求擴大該機構的職權范圍。

Behnam在證詞中極力主張允許 CFTC 監管現貨數字資產交易，Behnam表示，CFTC 處于有利地位，在監管現金數字資產商品市場方面發揮著越來越重要的作用。從根本上說，CFTC 是一個市場監管機構，旨在確保市場完整性和活力，旨在支持金融穩定，同時通過基于原則的個人客戶保護監督交易所、票據交換所、數據存儲庫和市場參與者。這種靈活的方法使 CFTC 在國會授權下，與衍生品市場一起發展，從其歷史根源于監督農業市場發展到現在監督從能源和“貴金屬到金融指數和掉期。我們現在準備在數字資產商品市場上做同樣的事情。（路透社）[2022/6/22 4:43:59]

Tags：DEFIDEFEFI穩定幣DeFireX99DEFI價格BasketDAO DeFi Index香港穩定幣圓幣

Filecoin