DeFi 很火,這個夏天業內仿佛打入雞血一般地參與到這個生態,創新、革命,各類項目此消彼長。不過,熱鬧背后,卻是暗流涌動。
2020年4月18日,Uniswap 爆出智能合約漏洞,該漏洞被人利用盜取了數十萬美金的資產;次日,Lendf.me 因相同漏洞,被一位程序員(非黑客)盜取了數千萬美金的資產;因為智能合約漏洞,上線36小時,紅極一時的Yam迅速消亡。?
安全,已經是懸在DeFi頭上的達摩克利斯之劍。有痛點就有市場,在這場狂歡中,“慢霧蓋章”成了保障的標志。
近日,在廈門舉辦的“共為創業者大會”上,金色財經就DeFi安全采訪了慢霧科技合伙人 Keywolf啟富。
慢霧:Apple Store惡意釣魚程序可模仿正常應用程序,盜取賬號密碼以繞過2FA:7月25日消息,慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例,其中Apple Store出現惡意釣魚程序,通過模仿正常應用程序盜取用戶賬號和密碼,然后攻擊者把自己的號碼加入雙重認證的信任號碼,控制賬號權限,用來繞過蘋果的2FA。“加密貨幣用戶務必注意,因為目前有不少用戶、錢包的備份方案是iCloud備份,一旦被攻擊,可能造成資產損失”。[2023/7/25 15:56:56]
慢霧:Transit Swap事件中轉移到Tornado Cash的資金超過600萬美元:金色財經報道,慢霧 MistTrack 對 Transit Swap 事件資金轉移進行跟進分析,以下將分析結論同步社區:
Hacker#1 攻擊黑客(盜取最大資金黑客),獲利金額:約 2410 萬美元
1: 0x75F2...FFD46
2: 0xfa71...90fb
已歸還超 1890 萬美元的被盜資金;12,500 BNB 存款到 Tornado Cash;約 1400 萬 MOONEY 代幣和 67,709 DAI 代幣轉入 ShibaSwap: BONE Token 合約地址。
Hacker#2 套利機器人-1,獲利金額:1,166,882.07 BUSD
0xcfb0...7ac7(BSC)
保留在獲利地址中,未進一步轉移。
Hacker#3 攻擊模仿者-1,獲利金額:356,690.71 USDT
0x87be...3c4c(BSC)
Hacker#4 套利機器人-2,獲利金額:246,757.31 USDT
0x0000...4922(BSC)
已全部追回。
Hacker#5 套利機器人-3,獲利金額:584,801.17 USDC
0xcc3d...ae7d(BSC)
USDC 全部轉移至新地址 0x8960...8525,后無進一步轉移。
Hacker#6 攻擊模仿者-2,獲利金額:2,348,967.9 USDT
0x6e60...c5ea(BSC)
Hacker#7 套利機器人-4,獲利金額:5,974.52 UNI、1,667.36 MANA
0x6C6B...364e(ETH)
通過 Uniswap 兌換為 30.17 ETH,其中 0.71 支付給 Flashbots,剩余 ETH 未進一步轉移。[2022/10/6 18:41:10]
以下為采訪實錄。
慢霧:Polkatrain 薅羊毛事故簡析:據慢霧區消息,波卡生態IDO平臺Polkatrain于今早發生事故,慢霧安全團隊第一時間介入分析,并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約,該合約有一個swap函數,并存在一個返傭機制,當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭,該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量,也未在返傭的時候判斷總返傭金是否用完了,導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型,防止意外情況發生。[2021/4/5 19:46:39]
金色財經:慢霧審計一個項目主要有哪些流程?系統是否安全的最終標準有哪些??
慢霧 x IMEOS市場預警:警惕數字貨幣轉賬地址劫持攻擊,這個攻擊鏈從錢包地址的展示到復制到最終黏貼環節都可能存在。從我們歷史審計經驗及慢霧區情報反饋來看,這個攻擊在交易所或錢包轉賬過程,暗網勒索過程等都有相關真實案例發生。這個攻擊從地下黑客風向標來看,已經頗具產業鏈形態,特此預警:在轉賬確認之前一定要再三確認目標錢包地址是否正確(不要僅看首尾字符串,需要嚴格一一驗證)。[2018/4/12]
慢霧科技合伙人啟富:對于DeFi,我們更關心的是資產的安全,簡單來說就是本金的安全。用戶的收益如何與項目的經濟模型有關,所以,我們首先關注的是智能合約里在計算用戶收益時,會不會存在溢出等問題,這也是合約里普遍存在的通用性問題。其次,我們會關注項目方是否留有后門,是不是作惡,是否盜取用戶資金。
當收到用戶項目審計訴求時,我們會先通過項目官網、介紹等資料了解項目,在初步審核通過之后,會去評估其智能合約代碼的復雜度,并進入到商務流程,報價、排期等溝通沒問題之后,開始項目審計。
審計的過程當中發現了任何的問題,都會馬上去告訴對方并告知解決方案,改完之后、復查,最后會出具一個審計報告。同時我們現在要求對方一定把代碼開源。在審計中除了關注常規的安全漏洞,還要關注代碼和業務邏輯設計是否一致,以及組合性引入的外部風險,找出薄弱點提高攻擊者的門檻從而整體提升安全性。?
基于對慢霧的認可,大家覺得慢霧審計過的項目會比較放心,所以我們現在都是盡可能的把有可能存在風險的,包括一些admin權限等,現在流行用時間鎖的方式,想要有進一步動作,必須要經過24小時或者48小時。上鏈之后,大家都能夠去看到。這方面現在大家都關注,我們也特別關注。
金色財經:現在有相關數據統計,8月份有大概8起DeFi相關的安全事件。從安全的角度,您怎么看DeFi的發展?
慢霧科技合伙人啟富: DeFi相對于公鏈是一個比較新的東西,在發展的過程當中,肯定會有一些風險和未知的事情,畢竟面對一個新興事物,大家都不是那么有經驗。從DeFi安全性角度來說,新事物在發展的過程當中,出現這樣的安全問題,算是可以理解的事情。
像比特幣、以太坊它早期也有發生過安全問題,比特幣之前也曾有增發漏洞,以太坊也有著名的The DAO事件,還分叉出了ETC。
所有人并不是一開始就有豐富的經驗,包括那些試圖攻擊它的人,也不是很快就能知道攻擊方法,也是做了一些自己的研究、嘗試。所以在早期時候,去關注、參與一定會有風險,但是我們不能因為它發生過這些問題,去否定一個新的方向。整個行業或者DeFi方向肯定會越來越完善,包括安全公司或者優質的項目方,優質的技術團隊參與到其中,就能夠把整體水平提升上來。?
另外一個就是說大家對安全問題的一個規避的方式,就是項目方一定要有自己的安全的意識,盡可能有一些預算找安全公司,例如我們慢霧,去做一些相應的安全審計,至少現在已經知道的一些攻擊的手法都給它規避掉。
金色財經:您接下來會看好哪一些項目??
慢霧科技合伙人啟富:現階段挖礦的應該不會太長久,這種玩法大家可能都已經比較熟悉了,幣圈其實很多時候都講究一個新鮮感或者畫餅的能力,如果接下來沒有更多新的玩法,大家都還是繼續去搞這樣的流動性挖礦,可能到后期就沒什么人玩了。從以太坊到波場到幣安智能鏈,或者到其他的一些新的公鏈如本體、NEO,這些國產公鏈都開始加入到這個賽道,但是大部分玩法還是一樣的。資金就這么多,現在出來這么多項目,就會有均分或者轉移,最后如果沒有一些新的玩法,大家就會審美疲勞,而且年化有可能越來越低。
現在很多人都在聊另外一個熱點NFT,大家關注到NFT,就是因為現在它能交易。在我看來,這是一個方向,真正的落地還要有一定的距離。
在這個行業,熱點有時候并不是技術驅動的,很多時候是因為能賺錢而帶來的。
Tags:DEFEFIDEFIACKDeFi KingdomDefi BombDefiDollar DAOBlackHat Coin
10月21日晚,證監會發布消息,同意螞蟻科技集團股份有限公司科創板IPO注冊,螞蟻科技更新招股意向書,公布其代碼為688688.
1900/1/1 0:00:00浮華紛擾的幣圈,從不缺創新者。層出不窮的概念和模式在幣圈翻云覆雨指點江山,而創業者們“群雄爭霸各領風騷”。所謂亂世出英雄。Jeff Young,就是其中一位.
1900/1/1 0:00:00毫無疑問,PayPal正在大規模進軍加密貨幣行業。10月21日支付巨頭PayPal正式宣布加入加密貨幣市場,允許客戶使用該公司的在線錢包買賣和持有比特幣和其他加密貨幣.
1900/1/1 0:00:0010月10日,波卡中國行北京站如期舉行。由于新冠疫情的原因,Gavin Wood無法親自抵達,但他為現場呈現了名為《波卡平行鏈和治理》的演講視頻.
1900/1/1 0:00:00金色財經報道,11月6日,據中國人民銀行官網消息,中國人民銀行發布了《中國金融穩定報告(2020)》,該報告對2019年以來我國金融體系的穩健性狀況進行了全面評估.
1900/1/1 0:00:00“當前,中國金融科技的發展正處于高速前進的狀態,但不可否認的是,金融科技安全也正面臨著諸多挑戰,數字資產就是其中最具代表性的現象之一。”在第三屆數字中國建設峰會上,歐科云鏈副總裁張超說道.
1900/1/1 0:00:00