比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

DEF:當我們看合約審計時 我們在看什么?

Author:

Time:1900/1/1 0:00:00

"

隨著DeFi項目數量的爆發,安全審計機構已經要忙不過來了。從某種程度上講,合約審計是把握智能合約風險的第一道門檻。

根據安全團隊的解讀,一個完整的DeFi=智能合約前端頁面。這即是說,在智能合約安全審計后,仍會存在幾個風險。

當在我們看審計報告的時候,我們在看什么??

作為DeFi參與者,合約審計能夠真正給出哪些借鑒和參考??

隨著「Swap系」數量越來越多,DeFi項目「暴雷」、「跑路」的事件也在增多。

面對社區對于DeFi項目風險的擔憂,很多項目方都選擇了進行合約審計,或是為了自證清白,或是為了取信于投資人,有時,DeFi項目進行合約審計,也被當做是一種利好來進行解讀。

這種方式似乎是有效的:在「壽司」Sushiswap創始人被爆套現離場、項目控制權易主之后,一條關于「Sushiswap項目智能合約審計工作進展順利」的消息,讓Sushi立刻展示出了小幅度漲幅,也讓一部分投資者重獲信心;在JustSwap連續三個項目均爆出漏洞、并被指項目方未做好詳盡的測試和審計之后,Tron官方挖礦項目SUN通過報告審計的消息,也讓波場社區的熱度再次增加。

多鏈Web3基礎設施Dmail與公鏈Sei達成合作:5月24日消息,多鏈Web3基礎設施Dmail Network在推特上宣布與公鏈項目Sei達成合作。此次合作將為Sei用戶提供以下服務:

- 通過Dmail登錄頁面提供無縫登錄支持;

- 獲得一個免費的Dmail 8-11位NFT域名;

- 通過DMAIL與Web2/Web3進行加密消息通訊。[2023/5/24 22:15:19]

同時,也有一些平臺因為出現漏洞而在審計上備受質疑,上周,就有投資人對新興的「Swap系」平臺Moonswap提出了關于「發現有預挖」、「合約沒有時間鎖」、「平臺出現多個Bug」等問題,并對其審計做出質疑,引發社區關注。

目前,MoonSwap已于啟動當天18點多已經加上了時間鎖,慢霧安全團隊發布了正式安全審計報告。

當在我們看審計報告的時候,我們在看什么?

作為DeFi參與者,合約審計能夠真正給出哪些借鑒和參考?

在面對這些問題的同時,Blocklike還發現,對于審計能夠起到的作用,有人作出了這樣的總結:「代碼可以審計,人性無法審計。」

美國兩位參議員提出一項法案,要求報告薩爾瓦多采用加密貨幣作為法定貨幣的情況:金色財經報道,國會記錄顯示,美國愛達荷州參議員 James Risch 和新澤西州參議員 Bob Menendez 于 5 月 11 日提出了一項法案,要求報告在薩爾瓦多采用加密貨幣作為法定貨幣的情況。根據華盛頓審查員 5 月 12 日的一份報告,Risch 將該法案作為打擊使用加密貨幣作為法定貨幣的努力的一部分,聲稱它可能削弱經濟和金融穩定并賦予惡意行為者權力。

該法案如果獲得通過,可能會要求美國的聯邦機構報告薩爾瓦多在網絡安全和金融穩定方面的能力,以及這些能力如何導致該國比特幣法的通過。[2023/5/13 15:00:49]

審計范圍有限,合約風險暗藏

DeFi熱潮之下,很多投資人的現狀可能正如PrimitiveVentures創始合伙人Dovey所描述的那樣:「千萬別問我xxx能不能挖。現在一個人全職幫我看新地,一個人全職幫我看項目,還有兩個trader全職做交易,還有各種內應外援程序員幫我看合約安全,我就是個確認錢包多簽的機器人,現代化農業哪里有那么簡單。」

羅馬尼亞Rapid Bucharest俱樂部與Binance合作推出NFT:5月3日消息,羅馬尼亞足球俱樂部Rapid Bucharest宣布與Binance合作推出免費NFT合集「FC Rapid Bucharest at 100 years old」。所有免費NFT均附帶獎勵,例如球員親筆簽名球衣、VIP看臺座位、100美元、限量版圍巾或Rapid貼紙。(valahia)[2023/5/4 14:40:45]

的確,合約安全是很多投資者都關心的話題。近期,為了給跟多投資者提示風險,社區就總結出了這樣一份DeFi生態思維導圖及風險點:

1.合約風險,代碼漏洞,未經審計,黑客攻擊造成資產損失?

2.私鑰風險,沒有多簽的DeFi合約意味著掌握合約私鑰的可以隨意更改合約或者跑路?

3.無常損失風險,例如流動性挖礦本身的無常損失,尤其是兩種風險資產的流動性對收益高風險也高?

4.交易摩擦風險,現在以太坊交易Gas費率極高,幾個交易下來可能就要花費一個以太,散戶的本金來回幾次可能都不夠折騰?

ApeCoin社區發起AIP-212提案,擬推動Spotify電商支持APE代幣顯示:金色財經報道,ApeCoin社區發起AIP-212提案,擬推動Spotify等電子商務平臺支持APE代幣顯示。如果該提案獲得通過,ApeCoin社區將會構建一個定制插件以將APE集成到 Shopify 產品頁面上顯示的貨幣中,該插件將免費提供給零售商,并將增強其平臺的功能。據悉,該提案目前已經啟動投票并將于4月6日上午結束,目前支持率達到55.54%。[2023/4/6 13:47:22]

5.操作失誤風險,在轉賬過程中失誤導致資產永久丟失,最近有幾次大額轉賬失誤建議投資國外經過開源審計多簽和社區民主自治的項目,僅供參考。

從中看出,風險點之中首當其沖的便是「?合約風險,代碼漏洞,未經審計,黑客攻擊造成資產損失」。從某種程度上講,合約審計成為了把握合約風險的第一道門檻。

到了DeFi這里,從投資者參與未經審計項目的情況與熱度來看,很多人對于安全審計的含義并不明了。早在Yam啟動之時,市場的Fomo情緒已經被帶動起來,雖然Yam已經被聲明了「未經審計」的、一周內寫出來的合約,但其所受到的追捧仍讓人咋舌。

ARB Token為防止機器人濫用,本次空投建立積分制:3月16日消息,以太坊 Layer2 擴容解決方案 Arbitrum 正式宣布將發行原生 Token ARB 并公布 Token 經濟學。據悉,ARB 初始總供應量為 100 億枚,總供應量將以每年至多 2% 的速度膨脹。

其中,11.62% 分配給用戶,1.13% 分配給 Arbitrum 生態中的各個 DAO,17.53% 分配給 Offchain Labs 投資者,26.94% 分配給 Offchain Labs 團隊成員、未來團隊成員、貢獻者,42.78% 分配給 Arbitrum DAO 金庫。

為防止機器人濫用,本次空投建立了許多反女巫規則,并建立積分制,每 1 分對應一個具體的空投 Token 數目:1、如果空投接收者的錢包交易全部發生在 48 小時內,則減去一分;2、如果空投接收者的錢包余額低于 0.005 ETH,并且錢包沒有與多個智能合約交互,則減去一分;3、若在此前 Hop 協議賞金計劃期間,空投者錢包地址被識別為女巫攻擊者地址,則其將被取消資格。

目前 Arbitrum 已公布的空投查詢頁面,僅支持用戶查詢空投情況,具體空投發放日期為 3 月 23 日。[2023/3/17 13:09:01]

那么,作為DeFi投資者,該如何看待合約審計呢?

Blocklike從慢霧安全團隊處了解到,目前,智能合約基礎安全審計主要分為ETH部分和EOS部分。其中,ETH安全審計包含13個大類,EOS安全審計包含15個大類。

不過,由于DeFi整個安全模型上會更加復雜,慢霧安全團隊將DeFi風險點分為了合約層與前端層兩個部分:

合約層:?

1.智能合約基礎安全審計項,其中精度問題是個需要特別注意點?

2.權限過大風險:鑄幣,授權遷徙?

3.經濟模型風險:預挖、團隊分配及用途?

4.同鏈平臺遷移風險?

5.新增池風險:添加惡意Token薅獎勵?

6.合約直接收到打幣風險?

7.代幣兼容性風險:通縮型代幣,777代幣?

8.DoS風險:循環遞歸,惡意合約拒絕接受以太幣?

9.治理合約風險:治理投票雙花,治理壟斷風險?

10.鏈平臺遷移風險:各鏈之間兼容EVM的方式可能不一致?

11.閃電貸攻擊風險:通過閃電貸對系統穩定性造成影響(暫定)

12.預言機操控風險?

13.借貸清算風險:全部清算、部分清算、無人清算、競價清算

前端層:?

1.精度風險?

2.中間人攻擊風險,如替換合約地址?

3.合約替換風險?

4.授權釣魚風險?

5.GasLimit限制風險

「這些確實普通用戶很難去一一理解」,慢霧安全團隊進一步解釋道:「但普通用戶可以簡單理解為:DeFi通過安全審計后,用戶參與進去被安全審計的智能合約里的本金是安全的。至于因為參與DeFi導致的炒幣經濟虧損或在非合約層面導致的虧損,都不在智能合約安全審計范圍。」

需要注意的是,根據安全團隊的解讀,一個完整的DeFi=智能合約前端頁面。

這即是說,在智能合約安全審計后,還會存在幾個風險:第一,安全審計可能都沒發現的漏洞或新型攻擊方式;第二,智能合約可升級或可篡改,如何讓可升級或可篡改成為不可能或有效可信的社區治理行為;第三,隨著項目方的發展,智能合約會增加新的,如新池子、新功能模塊,需要注意看智能合約安全審計報告明確審計的是哪些。

由于前端頁面屬于中心化內容,如果前端出Bug或漏洞或作惡,實際上危害可能會更直接更大。這個不僅是安全審計機構可以去審計的事,還是社區監督的事。

而到了EOS安全審計上,情況便又有所不同了。

虎符創始人王瑞錫就曾公開表示:「EOS的合約特性是可修改,大家要看清楚,不要盲目相信審計了。因為目前大多數EOS上的合約都沒有開源。審計了沒開源和沒審計是一樣的。出了問題審計還背鍋,得不償失。」

對于EOS上的智能合約,慢霧安全團隊補充道:「如果項目方Owner權限已進行多簽,需要項目方與至少2個可信方共同多簽進行合約更新或者轉賬等操作,且active權限已刪除項目方私鑰權限。就可以比較好控制EOS智能合約項目方權限過大問題。」

因此,即便是通過了安全審計的DeFi項目,投資者仍然需要仔細甄別,注意風險。

投資人該如何參考?

根據工作經驗,慢霧安全團隊也對投資者們提出了一些建議:「智能合約安全審計雖然不是銀彈,但有總比裸奔好,職業的安全審計機構會大大降低DeFi風險;切記不要進入到釣魚網站,亂授權會導致本金歸零;即使去投資被多家安全審計機構審計過的DeFi,也做好黑天鵝爆發可能性,切勿沉迷;用靠譜的環境去玩靠譜的DeFi,靠譜環境指;不要把所有資金放到一個籃子里,分散安全管理很重要。」

成都鏈安智能合約安全負責人對Blocklike總結道:「從成都鏈安的經驗來看,合約審計的目的主要是檢查代碼規范性、常規漏洞、安全漏洞、業務邏輯漏洞。主要排除的風險主要在于兩點,減少遭受黑客攻擊的可能性、減少因代碼導致的業務無法按預期正常運轉。」

「審計報告會指出業務邏輯和功能描述等,可以對比看看項目方宣傳與功能是否對的上;審計報告也會描述權限相關,普通投資者可以根據描述的權限,看看項目方是否有跑路的能力,比如項目方有權利將合約中的錢全部轉走等,或者可以控制某些關鍵參數,變相控制用戶資金」,成都鏈安提出建議。

而目前可以看到的現狀是,DeFi大熱導致了很多項目方過于急切,現在明顯是安全審計機構遠遠忙不過來的狀況,這對于用戶來說不是個好事。由于不少用戶缺乏安全意識,即使一個DeFi沒有通過安全審計,也可能有大量用戶直接涌入。

Blocklike提示各位投資者,在參與DeFi項目的同時,注意智能合約安全問題,進行投資時,本金安全作為第一重要的評估參數來看待,面對龐大的參與資金,黑客們可比普通投資者更狂熱。

畢竟,早在8月中旬,就已經有社區聲音對熱情的投資者們靈魂發問:「你們想過嗎,這些形形色色的DeFi項目真是出了問題,維權橫幅上面你要印誰的名字?」

Tags:DEFDEFIEFISWAP去中心化金融defi入門分析與理解DOGDEFICOREFI價格AnchorSwap

幣安下載
NEX:紐約總檢察長辦公室致信法院要求將阻止 Tether 向 Bitfinex 貸款的禁令再延長 90 天

鏈聞消息,據Coindesk報道,紐約總檢察長辦公室高級執行法律顧問JohnCastiglione向法院提交信函表示,NYAG要求Bitfinex和Tether在60天內提交所有文件.

1900/1/1 0:00:00
GAT:Gate.io上線LINK, TRX, ATOM, DOT, SUSHI杠桿產品交易公告

LINK3L為LINK三倍做多ETF產品,LINK3S為LINK三倍做空ETF產品,漲跌幅約為LINK市場的三倍.

1900/1/1 0:00:00
APP:Apple One的定價太誘人了,無法訂閱

蘋果今天宣布了其訂閱包AppleOne,它將其商品的許多服務結合在一起。它在100多個國家/地區擁有個人和家庭套餐,根據計劃,他們可以同時訂閱AppleMusic,AppleTV+,AppleA.

1900/1/1 0:00:00
HOT:Hotbit 定于9月16日上線 PICKLE ( Pickle Finance )

尊敬的用戶: Hotbit即將開啟PICKLE(PickleFinance)數字資產服務,并開放PICKLE理財產品。預計年化收益:10%;計息:T1.

1900/1/1 0:00:00
COI:關于KBF上線COINBIG合約區的公告

KBF將于2020年9月15日18:30正式上線COINBIG合約區BTC、ETH、EOS指數交易,歡迎參與體驗! 幣種介紹: KBF是一個以人工智能算法、大數據處理、區塊鏈技術為核心.

1900/1/1 0:00:00
TER:關于BTR暫停充提的公告

公告編號2020091404各位關心ZBG的投資者們和項目方:BTR因錢包升級暫停充提幣,具體開放時間以公告為準,給您帶來不便深感抱歉,敬請諒解.

1900/1/1 0:00:00
ads