DEF:慢霧合伙人啟富：NFT或是下一個方向 但落地需要時間

DeFi 很火，這個夏天業內仿佛打入雞血一般地參與到這個生態，創新、革命，各類項目此消彼長。不過，熱鬧背后，卻是暗流涌動。

2020年4月18日，Uniswap 爆出智能合約漏洞，該漏洞被人利用盜取了數十萬美金的資產；次日，Lendf.me 因相同漏洞，被一位程序員（非黑客）盜取了數千萬美金的資產；因為智能合約漏洞，上線36小時，紅極一時的Yam迅速消亡。?

安全，已經是懸在DeFi頭上的達摩克利斯之劍。有痛點就有市場，在這場狂歡中，“慢霧蓋章”成了保障的標志。

近日，在廈門舉辦的“共為創業者大會”上，金色財經就DeFi安全采訪了慢霧科技合伙人 Keywolf啟富。

慢霧：Apple Store惡意釣魚程序可模仿正常應用程序，盜取賬號密碼以繞過2FA:7月25日消息，慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例，其中Apple Store出現惡意釣魚程序，通過模仿正常應用程序盜取用戶賬號和密碼，然后攻擊者把自己的號碼加入雙重認證的信任號碼，控制賬號權限，用來繞過蘋果的2FA。“加密貨幣用戶務必注意，因為目前有不少用戶、錢包的備份方案是iCloud備份，一旦被攻擊，可能造成資產損失”。[2023/7/25 15:56:56]

慢霧：Transit Swap事件中轉移到Tornado Cash的資金超過600萬美元:金色財經報道，慢霧 MistTrack 對 Transit Swap 事件資金轉移進行跟進分析，以下將分析結論同步社區：

Hacker#1 攻擊黑客（盜取最大資金黑客），獲利金額：約 2410 萬美元

1: 0x75F2...FFD46

2: 0xfa71...90fb

已歸還超 1890 萬美元的被盜資金；12,500 BNB 存款到 Tornado Cash；約 1400 萬 MOONEY 代幣和 67,709 DAI 代幣轉入 ShibaSwap: BONE Token 合約地址。

Hacker#2 套利機器人-1，獲利金額：1,166,882.07 BUSD

0xcfb0...7ac7(BSC)

保留在獲利地址中，未進一步轉移。

Hacker#3 攻擊模仿者-1，獲利金額：356,690.71 USDT

0x87be...3c4c(BSC)

Hacker#4 套利機器人-2，獲利金額：246,757.31 USDT

0x0000...4922(BSC)

已全部追回。

Hacker#5 套利機器人-3，獲利金額：584,801.17 USDC

0xcc3d...ae7d(BSC)

USDC 全部轉移至新地址 0x8960...8525，后無進一步轉移。

Hacker#6 攻擊模仿者-2，獲利金額：2,348,967.9 USDT

0x6e60...c5ea(BSC)

Hacker#7 套利機器人-4，獲利金額：5,974.52 UNI、1,667.36 MANA

0x6C6B...364e(ETH)

通過 Uniswap 兌換為 30.17 ETH，其中 0.71 支付給 Flashbots，剩余 ETH 未進一步轉移。[2022/10/6 18:41:10]

以下為采訪實錄。

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

金色財經：慢霧審計一個項目主要有哪些流程？系統是否安全的最終標準有哪些？?

慢霧 x IMEOS市場預警:警惕數字貨幣轉賬地址劫持攻擊，這個攻擊鏈從錢包地址的展示到復制到最終黏貼環節都可能存在。從我們歷史審計經驗及慢霧區情報反饋來看，這個攻擊在交易所或錢包轉賬過程，暗網勒索過程等都有相關真實案例發生。這個攻擊從地下黑客風向標來看，已經頗具產業鏈形態，特此預警：在轉賬確認之前一定要再三確認目標錢包地址是否正確（不要僅看首尾字符串，需要嚴格一一驗證）。[2018/4/12]

慢霧科技合伙人啟富：對于DeFi，我們更關心的是資產的安全，簡單來說就是本金的安全。用戶的收益如何與項目的經濟模型有關，所以，我們首先關注的是智能合約里在計算用戶收益時，會不會存在溢出等問題，這也是合約里普遍存在的通用性問題。其次，我們會關注項目方是否留有后門，是不是作惡，是否盜取用戶資金。

當收到用戶項目審計訴求時，我們會先通過項目官網、介紹等資料了解項目，在初步審核通過之后，會去評估其智能合約代碼的復雜度，并進入到商務流程，報價、排期等溝通沒問題之后，開始項目審計。

審計的過程當中發現了任何的問題，都會馬上去告訴對方并告知解決方案，改完之后、復查，最后會出具一個審計報告。同時我們現在要求對方一定把代碼開源。在審計中除了關注常規的安全漏洞，還要關注代碼和業務邏輯設計是否一致，以及組合性引入的外部風險，找出薄弱點提高攻擊者的門檻從而整體提升安全性。?

基于對慢霧的認可，大家覺得慢霧審計過的項目會比較放心，所以我們現在都是盡可能的把有可能存在風險的，包括一些admin權限等，現在流行用時間鎖的方式，想要有進一步動作，必須要經過24小時或者48小時。上鏈之后，大家都能夠去看到。這方面現在大家都關注，我們也特別關注。

金色財經：現在有相關數據統計，8月份有大概8起DeFi相關的安全事件。從安全的角度，您怎么看DeFi的發展？

慢霧科技合伙人啟富： DeFi相對于公鏈是一個比較新的東西，在發展的過程當中，肯定會有一些風險和未知的事情，畢竟面對一個新興事物，大家都不是那么有經驗。從DeFi安全性角度來說，新事物在發展的過程當中，出現這樣的安全問題，算是可以理解的事情。

像比特幣、以太坊它早期也有發生過安全問題，比特幣之前也曾有增發漏洞，以太坊也有著名的The DAO事件，還分叉出了ETC。

所有人并不是一開始就有豐富的經驗，包括那些試圖攻擊它的人，也不是很快就能知道攻擊方法，也是做了一些自己的研究、嘗試。所以在早期時候，去關注、參與一定會有風險，但是我們不能因為它發生過這些問題，去否定一個新的方向。整個行業或者DeFi方向肯定會越來越完善，包括安全公司或者優質的項目方，優質的技術團隊參與到其中，就能夠把整體水平提升上來。?

另外一個就是說大家對安全問題的一個規避的方式，就是項目方一定要有自己的安全的意識，盡可能有一些預算找安全公司，例如我們慢霧，去做一些相應的安全審計，至少現在已經知道的一些攻擊的手法都給它規避掉。

金色財經：您接下來會看好哪一些項目？?

慢霧科技合伙人啟富：現階段挖礦的應該不會太長久，這種玩法大家可能都已經比較熟悉了，幣圈其實很多時候都講究一個新鮮感或者畫餅的能力，如果接下來沒有更多新的玩法，大家都還是繼續去搞這樣的流動性挖礦，可能到后期就沒什么人玩了。從以太坊到波場到幣安智能鏈，或者到其他的一些新的公鏈如本體、NEO，這些國產公鏈都開始加入到這個賽道，但是大部分玩法還是一樣的。資金就這么多，現在出來這么多項目，就會有均分或者轉移，最后如果沒有一些新的玩法，大家就會審美疲勞，而且年化有可能越來越低。

現在很多人都在聊另外一個熱點NFT，大家關注到NFT，就是因為現在它能交易。在我看來，這是一個方向，真正的落地還要有一定的距離。

在這個行業，熱點有時候并不是技術驅動的，很多時候是因為能賺錢而帶來的。

Tags：DEFEFIDEFIACKDeFi KingdomDefi BombDefiDollar DAOBlackHat Coin

USDC