金色財經現場報道,4月10日,由金色財經主辦,波場TRON總冠名,HBTC、SumSwap、SubGame首席合作企業的“2021共為·創新大會”在上海舉辦。大會以“DeFi的創新進階”為主題,匯聚百家優秀區塊鏈企業和眾多行業大咖,共同探討Defi生態、波卡、NFT、交易所公鏈、ETH2.0、Layer2六大賽道話題。
在下午的“DeFi+NFT”主題專場,靈蹤安全CEO譚粵飛做了《小白用戶如何讀懂DeFi合約的審計報告》的主題演講。譚粵飛在演講中指出,2020年DeFi安全損失超過2億美金,這些安全事故大多來自對智能合約的攻擊,智能合約的安全事故較多,原因有三:第一個是智能合約本身,第二是區塊鏈技術特點,第三是社會因素。首先智能合約一旦部署,不能被撤回。其次區塊鏈結構使項目方無法知曉攻擊者的社會身份以及交易不可逆。最后是智能合約應用的社會約束比較缺乏,例如缺乏對數字資產的保護,缺乏對區塊鏈應用的約束和規范。
以下為演講詳情:
譚粵飛:今天我和大家分享的主題是如何閱讀DeFi合約的審計報告。當我們說到審計報告的時候,事實上我們談的是DeFi的安全,我們談安全的時候,很多時候覺得這個概念比較抽象,所以,我給大家展示一些數據。
靈蹤安全:Sushi Miso被攻擊的漏洞是一名Sushi雇傭的匿名開發者提交的:9月17日消息,Sushi的Miso項目遭到Supply Chain攻擊,一名Sushi 的匿名前端開發承包商使用GH handle AristoK3將惡意代碼注入Miso前端github倉庫,攻擊者在拍賣創建時插入自己的錢包地址以替換拍賣的錢包地址。
靈蹤安全建議: 開發者應檢查自己的前端應用是否有漏洞,并對前端代碼進行安全審計。[2021/9/17 23:32:08]
整個大餅是2020年整個一年所有和區塊鏈安全事故所引起的損失,所有的損失,請大家注意看,其中光DeFi左邊紅色區域是DeFi損失,2.38億萬美元,占整個區塊鏈安全所引發的損失40.9%,幾乎接近一半。在2020年之前,DeFi安全的事故遠遠沒有這么夸張,但是DeFi的出現導致安全的事故如此嚴重。
還不是這么直觀,我們再看一些更具體的事例,我們從底下看起,2020年12月26日資金池的資金被轉移,2020年12月21日被攻擊,2021年1月份壽司被攻擊,2月份WFI又被攻擊,我羅列的數據不是指出這些項目本身怎么樣,我是想要讓大家注意,這些項目被攻擊的時間點,大家有沒有發現從2020年10月到2021年3月,每個月都有一個比較知名的DeFi項目受到供給,足以說明安全事故在DeFi領域發生的頻率和頻次多么高。
靈蹤安全已審計WeStarter項目部署在火幣Heco鏈上的合約:靈蹤安全近期審計了WeStarter項目部署在火幣Heco鏈上的合約,所審計的合約包含該項目的通證發行,流動性挖礦,質押挖礦和白名單功能。經靈蹤安全審計,報告已出,細節請查詢官網。[2021/5/16 22:08:01]
安全事故的頻發不僅僅項目方的聲譽,直接影響投資者的利益,接下來,我和大家分享一下為什么智能合約安全事故這么多,他是由特殊的因素所確定,我們靈蹤安全團隊認為,出現安全事故的原因主要有三個因素,第一個智能合約本身運行的機制,第二個區塊鏈技術的特點,第三個智能合約應用的社會約束。
我們首先來看第一個智能合約本身運行機制,智能合約有一個非常大的特點,和我們傳統的IT應用有一個什么樣大的特點,我們使用比較傳統的應用的時候,我們使用一個游戲或者是APP,我們使用過程當中突然有一天項目方告訴我們,這個APP發布一個公告,這個APP有問題,在這種情況下,項目方把APP從APP商店里面下架,讓大家使用舊的版本,他們把有問題的版本撤下去修改完善之后使用新的APP,但是在區塊鏈領域,以太坊領域,一旦智能合約理解成為是一種APP,部署到以太坊上面以后,他是沒有無法被撤退,這是不能像傳統的IT里面的應用被撤回,一旦智能合約開始執行的時候,這是不可逆的,或者我們可以理解,我們發現有問題的智能合約部署到以太坊上面,漏洞被黑客發現,黑客利用漏洞攻擊它的時候我們眼睜睜看到資金池里面的資金被盜走,我們無能為力,我們在傳統領域,把服務器關掉,但是在以太坊上面,這樣的事情是不能發生,我們不可能把以太坊關機。
靈蹤安全已審計HDX項目部署在火幣Heco鏈上的合約:5月13日消息,靈蹤安全近期審計了HDX項目部署在火幣Heco鏈上的合約,所審計的合約包含該項目的通證發行、AMM交易所、通證空投和質押挖礦功能。經靈蹤安全審計(細節請參看審計報告),涉及這些功能的合約暫未發現安全隱患。[2021/5/13 21:58:32]
我不知道大家注意到推廣以太坊的時候,很多人不理解以太坊是什么,他用簡單的一句話,以太坊是永遠不停歇的世界計算機,永遠不宕機,一旦運行無法停下來。
第二點跟區塊鏈技術本身相關,我們談到區塊鏈技術的時候,我們首先看看區塊鏈技術的第一個應用就是比特幣,我們最早說比特幣至今很多人比特幣的時候想到第一個特點是匿名,當然如果按照純技術的觀點來講,這是偽匿名,做到擬匿名的情況下,在某種情況下把個人真實的信息進行了隱藏,匿名是什么意思,我們在區塊鏈里面進行每一筆交易的時候,我們在所有的可公開查詢的資料里面,我們只能看到發起這筆交易或者是參與交易的這些地址,但是我們沒有辦法把這個地址和執行這筆交易的持有這個地址的人在社會生活當中的真實身份掛鉤。我們不知道這個地址背后的持有人是誰,他叫什么名字,它的身份證號是多少,他在哪個國家,所以因為這個原因他是匿名的,這樣導致了我們在區塊鏈里面,在智能合約里面一旦發生安全事故,我們知道有黑客攻擊我們只是看到攻擊的地址,我們不知道地址后面的持有人是誰,我們不知道黑客真實的社會身份是什么。
靈蹤安全CEO譚粵飛:大規模并且非常成功的實現AMM模式的是Uniswap:由Lotus總冠名,金色財經、鏈上ChainUP主辦,BTS Labs、Vtrading協辦,深圳多家區塊鏈企業聯合贊助的金色LIVE在深圳首家區塊鏈酒吧BTC LOUNGE舉辦。本期話題為《Defi浪潮下——交易所如何破局而生》
會議上,靈蹤安全CEO譚粵飛表示,在2020年,最大的變化就是業界有一個非常重大的創新就是自動做市商機制在合約中的成熟使用,實際上自動做市商的做法是在更早的時間就被提出了,但大規模并且非常成功的實現AMM模式的是Uniswap。Uniswap的創始人他最早得到這個靈感是從他的朋友,而他的朋友最早得到這個靈感是從一篇博客里面得到這個靈感。當交易所采用AMM這種方式以后,用戶之間的交易就再不需要交易所來進行撮合,用戶可以直接和數學公式和智能合約進行交互。這個變革發生以后,用戶就不需要依賴于人,或者不需要依賴于中心化系統,這是買方發生了巨大的變化。
另外一個,Uniswap上面還有一個非常重要的特點,在這種AMM支持的作用下,任何一個人,不管他發行什么代幣,只要提供交易對流動性到這個合約里,而人人都可以提供流動性,這種情況下相當于賣方的交易的對手也不再是人,也不再是傳統的中心化機構,而是智能合約。所以這時候賣方也出現了變化,買方和賣方都出現了變化說明不再依賴于傳統的中心化交易所。
正是在這樣的模式下,當Uniswap超過Coinbase的時候,它的團隊只有十個人,而Coinbase的團隊有一千位,這樣的效果,這樣的價值在傳統的中心化交易所里面我們完全看不到,但是在基于AMM的DEX智能合約里面實現了。[2021/3/17 18:53:07]
剛剛我講的智能合約本身的技術特點,還有區塊鏈技術特點,導致安全事故非常特殊的特點,從技術角度考慮,還有一個角度我們平時各個公共場合大家提到比較少,但是在我們團隊看來恰恰也是目前最復雜最難掌控的地方,這就是社會約束。
靈蹤安全(Fairyproof Tech):Iron Bank合約有風險 項目引用須謹慎:靈蹤安全團隊(Fairyproof Tech)分析發現,造成本次事故的原因是Cream協議新引入的無抵押借貸功能Iron Bank相關合約存在漏洞被黑客利用。
Iron Bank大膽采用了無抵押+白名單方式讓用戶從資金池借款。這種方式一方面提高了資金利用率和靈活度,但另一方面增加了項目借貸的風險敞口,試圖采用部分中心化的方式對沖這類風險。
靈蹤安全(Fairyproof Tech)認為由于Iron Bank合約上線時間尚不長,未經過市場檢驗,因此存在較大風險。因此我們提醒所有引用了Cream項目代碼的團隊暫時不要上線Iron Bank功能,加強風險控制。我們后續會發布更進一步的細節。[2021/2/13 19:41:17]
我在這里羅列兩條,現有的法律法規缺乏對數字資產的保護,當我說這個問題的時候有朋友說,在我們國家關注到最近一兩年關注數字貨幣法律的信息會說,我們國家在民法典出臺具體的措施,保護數字資產,但是請大家注意,這樣的一些條款和民法典里面,不管是我們國家的法律以及世界各國的法律,對傳統資產的保護力度和廣度跟他們相比是無法相比的,所以現在全世界各國對數字資產的保護,在法律上面都是不規范,不完善,不完備。
第二點現有的法律缺乏對區塊鏈的應用和監管。現有的法律對所有的傳統應用,互聯網應用也好,他有一個約束性,有一個規范,但是這樣的法律對智能合約的規范,目前在全世界任何一個國家幾乎一個都沒有,最近在美國,美國的某些州已經成人智能合約的某些法律效應,但是這是吃螃蟹而已,只是嘗試而已,真正在具體落地或者是未來實現過程當中存在什么問題會產生新的問題或者是新的方式,我們目前都不得而知,在這方面也是一片空白。
所以,智能合約本身的問題,區塊鏈技術本身的問題,以及智能合約應用缺乏的社會約會導致智能合約的安全有非常特殊的地方,所以,造成的事故這么頻繁,造成的危害這么大。
剛剛我跟大家分享的是安全的一些特殊性,下面我和大家分享一下我們團隊目前對所有在智能合約安全領域發生的事故我們一般分成三類,第一類是已知風險,第二類是潛在風險,第三類是人為風險。
什么是已知風險,已知風險我們現在在技術領域技術團隊或者是業界根據以往所有發生的安全事故所總結出來的一些安全的特點,一些事故的特點,總結出來的一些規律,我們知道了這些規律,知道了這些事故的特點和特性我們很容易判斷,所以我們稱之為是已知的風險。
潛在的風險是什么,這些風險從來沒有出現過,或許在我們運行的智能合約里面,但是我們不知道,或者說這些風險暫時因為條件不成熟,還沒有被觸發,這是潛在風險。
第三個是人為風險。我羅列了11個風險,實際上,并不是說在智能合約領域只有這11個風險,我羅列這11個風險,這是目前出現比較頻繁的風險,而且我們見到比較多的風險,具體到每個風險,在業界有很多的分析和講解,在這里我不和大家細說。
我們舉一些更詳細的例子講講已知風險和潛在風險和人為風險。我們看看這個風險,在座的朋友們有沒有在2018年4月份之前上一輪進入幣圈,那一輪的牛市瘋狂,瘋狂到什么地步,不僅很多小白用戶進來,而且傳統的IT界的大佬在這個領域,美鏈跟某一位傳統的IT公司有非常深的關系,他做了什么事情,他發布一個智能合約出現一個重大的安全漏洞,什么漏洞?在一行代碼計算過程當中沒有使用安全的數學庫,導致計算溢出,溢出導致的代幣被巨量增發,導致價格暴跌。這是2018年4月22日。
在此之前可能這樣的事故叫做潛在風險,現在這個事故發生以后,在業界我們用技術分析出來出現安全事故的原因以及可能出現的征兆和特點,我們現在稱之為已知風險,這是已知風險的典型。
第二個案例,2020年312,比特幣和以太坊全部報鐵,比特幣跌到4000美元以下,以太坊跌到100美元,在比特幣和以太坊暴跌以后,MakerDAO出現瘋狂擠兌的機制,最后發現是機制設計的問題。
接著紅薯被攻擊,20206年6月份,YAM被攻擊,紅薯這個項目非常有名,這個項目被攻擊以后,它的創始人在推特上面發了一段話,對不起,我們失敗了,這么大的事故是怎么產生的,主要是因為邏輯運算中缺乏分母,就是這么簡單。
第三個案例,是YFI是去年一整輪過程當中,運行大半年沒有出現問題,今年二月份出現問題,這個事件的出現是因為出現了一個應用方式善待貸導致穩定幣的價格被操控。還有TSD被攻擊,我們審查合約代碼的時候,如果不是對邏輯理解特別深刻,紅薯被攻擊的除法算法不對,幾乎很難被發現,另外三個更加困難,是治理機制出現了問題,而不是代碼的問題,這個問題更難發現,對于這樣的問題我們歸結為潛在問題,潛在的問題以前有,今天有,未來還有,甚至包括我們所有運營的這么多合約上面,雖然很多都通過了很多公司的審計,但是我們依然擔心里面還存在著很多潛在的大量的隱患,只不過這些隱患由于條件不成熟,沒有被觸發而已。潛在問題是對整個安全行業以及整個區塊鏈行業最大的挑戰,也是我們著力最重的地方。
還有一個是人為風險,因為時間有限,后面的內容我講快一點,人為的疏忽跟代碼的關系更少,幾乎是因為人為的管理方面出現問題,我前面講了安全的特殊性以及安全有哪些問題,下面我和大家講一個非常重要的事項,也就是說,我們作為智能合約的審計公司,我們最重要的事情是做什么,就是為項目審計智能合約代碼,看里面有沒有安全事故,我剛剛在展臺的時候有很多朋友過來問我們,你們寫的這些報告對我們普通投資者小白來說到底有什么作用,我在這里講,作用非常非常大。很多小白用戶看到我們寫的報告,這是技術文檔,雖然是技術文檔,但是里面有一部分內容非常通俗易懂,并且跟你的利益密切相關的。
在我們的報告里面這部分關鍵的內容就是我們整個審計報告里面的第一章,在我們審計報告當中的第一章,我們會開宗明義寫這個項目是做什么的?這個項目的合約有什么功能?以及在我們審查過程當中,我們發現這個項目的風險沒有?所以,對于任何用戶而言,當你看一個項目的時候,如果這個項目有我們的審計報告,我個人建議處于你對自己投資利益的保護和自己利益的關心,無論如何你要看一看審計報告,當你拿到這份審計報告的時候,你可以不堪其他的章節,但是一定要看第一章,看完第一章,基本上不用花5分鐘的時間你就能夠明白這份合約安全不安全或者說這個項目通過我們公司審計的時候發現存在的問題,項目方是怎么處理這些問題,起碼可以看到項目方對于處理問題的態度,對于你投資項目而言是參考的作用。
所以我強調審計報告一定要看,如果各位拿到是我們公司出的審計報告,關于技術部分不用看,但是一定要看第一章,第一章報告是我們對整個審計過程的精華和總結,看完第一章不需要5分鐘,5分鐘時間內大致理解這個項目做什么,合約是干什么的,安不安全,以及在審計過程當中出現什么問題。
來源:澎湃新聞 作者:葉映荷 4月13日,比特幣礦機第一股嘉楠科技發布2020年第四季度及全年未經審計的財務業績報告.
1900/1/1 0:00:00?鏈集市?·讓區塊鏈落地更簡單 《區塊鏈行業觀察》專欄·第10篇作者丨NinaBambysheva 圖片丨來源于網絡 加密貨幣行業蒸蒸日上,總市場價值接近2萬億美元.
1900/1/1 0:00:00寫在前面:從與美元掛鉤的穩定幣到近期火熱的算法穩定幣Fei,“穩定”資產還可以有新的玩法嗎?來看看Reflexer是如何將PID控制理論應用于加密貨幣政策的吧.
1900/1/1 0:00:00你有沒有經歷過比特幣轉賬卡在等待狀態,無法得到確認而束手無策?當被卡在內存池時,如何驗證被卡住的BTC交易?跟著我們往下看,一起了解交易被卡住的原因和解決方案.
1900/1/1 0:00:002021年2月,加拿大監管機構批準北美首只比特幣ETF。這只Purpose?Investments公司旗下的比特幣ETF在首日達成1.65億美元交易量,并在一個月后突破10億美元的資管規模,持有.
1900/1/1 0:00:004月8日,Coinbase博客宣布將上架四個新的項目,包含1inch,enj,nkn和ogn。其中NKN表現最為亮眼,根據coinmarketcap數據顯示,截止到4月9日下午5時,NKN在過去.
1900/1/1 0:00:00