撰文:MyCrypto
翻譯:PerryWang
來源:鏈聞
對那些懶得打開PDF文檔的讀者,這里給大家概括一下「審計報告」。
對那些根本一點不懂的小白來說:
這是一份審計報告的摘要
摘要中有投資預警
閱讀審計報告你需要字斟句酌。讀這份摘要就清算多了。
第一部分:事實陳述
何時審計,用時多少天
具體審計了什么
由誰進行了審計
就算是小白都知道這種規模的合同,一個工程師用時兩天進行審計,不會讓我買賬。16個小時就想搞懂所有代碼、找到bug,找到攻擊方法,然后完事交差?
1.1一位熟悉系統底層架構和理念的專家面對總量很小、非常簡單、語言非常漂亮的代碼庫,也許能做到這一點。
此外,他們沒有時間考慮代碼的經濟影響。
美國司法部據稱就Archegos爆倉案啟動調查:美國司法部正在調查Bill Hwang的Archegos Capital于3月份爆倉之事。據不愿具名談論這項保密調查的知情人士透露,曼哈頓的聯邦檢察官向至少一些與該公司打交道的銀行發出了信息提供要求。目前尚不清楚當局正在調查哪些潛在違規行為或實體。檢察官發言人表示不予置評,Archegos發言人未立即回復置評請求。[2021/5/27 22:48:45]
1.2只進行了小型審計,可能是由于Hegic財力所限,我對此表示贊賞。但是,審計的目的是要避免發生壞事,不要將審計作為一種促銷手段,出了問題不能說「不是我們的錯,只能怪安全審計機構@trailofbits!」
1.3要改善審計的投資回報率,更簡單的方式是讓審計人員的工作變得更簡單
代碼干凈+恰當的論述
使用所有免費工具來發現基本問題,以便專家可以專注于復雜的問題
請他人幫忙查看代碼,提出問題
提供文件,提供摘要+重點/關注領域
第二部分:看看他們在尋找什么問題+找到了什么問題
值得注意的提示:
有三個領域,也被稱為「糟糕情況可能出現嗎?」
三個領域的答案都是「是Yes」,程度級別不同而已。
另外他們認為這些風險與算法有關
鏈上期權協議Hegic計劃向長期用戶提供gHEGIC治理代幣獎勵:基于以太坊的鏈上期權協議Hegic宣布了一項旨在獎勵其長期用戶的軟治理計劃。根據4月19日的一份聲明,Hegic打算用其新的gHEGIC治理代幣獎勵其最忠誠的用戶。gHEGIC持有用戶將能夠在未來的Hegic改進提案中投票。(Cointelegraph)[2021/4/21 20:43:00]
(審計報告圖片中譯)
從資金池竊取財產
以低于預期的行權價創建期權合約
免費創建期權合約我們發現多數問題與算法有關,包括
如果資金池代幣的供應量低于資產供應量,攻擊者可以吸干資金
如果ETH價格低于1美元,期權合同行權價可以為0
當流動性增加,資金池惡意參數可以允許0鑄幣
有多個問題可能導致惡意合約所有者傷害Hegic用戶,包括:
通過費用收取來竊取期權資產
2.1稍后將詳細介紹算法方面,但接下來看看@ChrisBlec所謂的「管理員漏洞」,比特幣至上主義者會以此為例證發表所謂中心化目前優于DeFi的胡言亂語。
他們說的都沒有錯。你可能不喜歡這個事實,但只能接受它。
針對以色列加密企業家Moshe Hegog的訴訟在美國法院敗訴:上周五,以色列加密企業家Moshe Hegog在法庭上勝訴,美國法官駁回了一名為他的預測平臺Stox購買代幣的投資者提起的訴訟。2019年,西雅圖投資者Sean Snyder起訴Hogeg和STX Technologies (Stox),他曾在該平臺上購買STX代幣進行預測,但后來以近50萬美元的虧損出售了它們。Snyder在訴狀中聲稱,他根據被告的陳述購買了代幣,被告應對他的損失負責。該訴訟指控Hegog欺詐、誤導性主張和違約。該案現已被駁回,法官表示:“他從第三方(而不是被告)購買了STX代幣。因此,他提出進一步訴訟的要求被視為無效。”(Coindesk)[2021/1/27 21:48:29]
有多個問題可能導致惡意合約所有者傷害Hegic用戶,包括:
通過費用收取來竊取期權資產
將資金困在期權合約中,阻止流動性提供者撤資
可以免費創建期權合約
2.2<這里插入有關去中心化的漸進論證>
無論如何,你應該注意到這種可能性以及知道審計人員在上面花了時間。在一個全新的金融體系中發現所有的漏洞攻擊方法,這16個小時中有多少時間被用于驗證有效的、已知的攻擊方法?
2.2只有16個小時找到所有攻擊方法
數學/密碼學中的Bug
YFI創始人Andre計劃將yearn與Hegic結合以減少損失:yearn.finance創始人Andre Cronje發文稱,目前的YFI策略都是集中于無損策略,但這樣不利于資金池獲得收益。今后將可以利用Hegic的期權策略以幫助YFI獲得更多的收益。[2020/11/10 12:11:58]
比如重入攻擊
金融/經濟方面的影響
內部作惡者
外部惡意攻擊者
意外錯誤/意外結果
資金損失
等等等等。
16個小時不可能搞清楚這一切。絕無可能。
2.3審計機構永遠不會說:「這些代碼爛的像臭狗屎」。
捫心自問,為什么他們指出蛛絲馬跡。不要指望他們徹底告訴你想要的東西或他們自己的反應。這就是事情被忽略的完美例證,因為它沒有成為Twitter熱門話題:另外我們還發現,當資金池增加或減少資產時會出現賬簿記錄錯誤,沒有體現出期權合約中的相關資產,因此攻擊者可能竊取資金池中資產。
2.3我來幫你。
Hegic內的合約并不清楚合約中的資產被誰以何種方式偷走。
我實在不明白如果都不清楚這些情況,資金池還怎么運轉。老人看手機臉。
另外請注意:記賬簿。
動態 | IOTA聯合創始人Sergey Ivancheglo宣布退圈 清倉所有加密貨幣:11月7日,IOTA聯合創始人Sergey Ivancheglo(推特名Come-from-Beyond)發推表示:“今天是我在加密貨幣領域工作的最后一天。我本人不再持有任何加密貨幣。IOTA是迄今為止最好的分布式賬本技術。[2019/11/12]
第三部分:推薦
這一直是最重要的部分,因為這里是審計機構字斟句酌的部分。
在實際的審計報告中,會向Hegic指出需要解決的大量代碼、漏洞及事情。但這篇摘要是供外部人了解所用的。是給我們普通人的。
由于發現的算法問題較多以及時間限制,無法進行深入的算法驗證,(審計機構)TraitofBits推薦使用符號執行和fuzzing測試合約的變量。代碼庫中可能存在更多問題。
另外TraitofBits作出以下推薦:
未來開發利用crytic.io。采用該平臺發現兩個問題。
評估和記錄合約所有者特權
驗證和記錄不同合約之間的資產記賬
評估和記錄系統的套利機會
推薦用戶在保障資產的前提下使用提供資產和撤資功能
3.1一定做更多來確保安全!!!
3.2我們真的沒有時間展開深入講,基本的數學問題已經占用了大部分時間,我們連數學問題都沒搞懂,更別說更大范圍的問題了。
3.3我們當然知道有更多問題,你現在知道了。
3.4你付錢給我們找一些自己本可以用更便宜的方式找到的基本問題,然后付錢給我們找到了另一個錯誤。
3.5你們的項目文檔記錄匱乏實在令人厭惡,我們在五點建議中用三條的篇幅去描述這個問題,因為這是你們發現問題、并為安全人員/白帽黑客提供挽救用戶資產的最佳機會。
3.6評估合約所有者的特權:我們的工作不到位。
驗證你們的算法:小心打補丁。重新查驗一切因為你們的算法真的太爛了。
驗證套利交易:我們都還沒開始考慮這個問題。
也許你們在寫文檔的時候就會發現問題了。
3.7我真的不知道怎么收尾。
通常在完整審核中,你會發現帶有代碼片段的內容。事實是這一行代碼有分量。
3.8或者是他們選擇讓讀者注意到最后一句特別重要,或者他們也意識到「我們真的檢查了所有東西/所有功能了嗎」?在概要最后扔下一句。
不管是哪種情況,依據這份審計報告,這是致命硬傷的所在地。
總體心得
1@trailofbits沒有足夠時間在最佳狀況下完成審計。
2代碼庫沒有提供「最佳狀態」。
3沒有文檔紀錄。
4要構建金融系統,必須要有出色的數學/記賬簿/會計能力。
Hegic有太多問題,讓@trailofbits的審計工作更麻煩。但更重要的是,這里存在根本性問題。這一解決方案「更重視數學,在數學方面也更出色」,但「在審計方面很糟糕」。
5Hegic無權利用這份審計報告宣稱自己是個安全的系統,或者像當前這樣轉嫁責任「甚至trailofbits都沒有發現問題!」
6Hegic將審計當作敷衍他人的擋箭牌,而不是為了切實保護用戶或者了解及確保系統的安全。這種態度顯示團隊對用戶利益的漠視,可能是一種性質惡劣的文化,對我而言總是拉響警報。
7Hegic項目目前不該推出。如果他們是被槍指著頭被迫發布產品,他們也應該宣稱自己是未經審計的、受限的Pre-alpha項目。
8@trailofbits沒有提到測試。不確定他們為什么在其他審計中有測試。也許是因為在測試前的基本文檔就有問題?
有點像如果我的院子里長滿了6英尺高的野草,我就去考慮修剪更高的灌木問題。
9作為社區一個整體,我們需要注意,即使是名頭最響亮機構所做的審計報告,也不意味著是安全的。也許還更不安全。
來源鏈接:twitter.com
Tags:HEGICGICRAIBITShegic幣能漲起來嗎MAGIC幣的前景如何SAITAMURAI幣bitstamp這個交易所正規嗎
最近,“富爸爸”羅伯特·清崎頻頻在推特上發表看好比特幣的觀點。這位越南老兵以其關于金融投資和成功學著作《富爸爸·窮爸爸》而聞名,他一直對比特幣、黃金和白銀等投資品大加推崇.
1900/1/1 0:00:00數年前,甚至早于美國確立數字貨幣監管框架之前,一些海外頭部機構率先通過STO這種方式,在數字資產領域埋下了種子。美國知名電商平臺Overstock就是其中之一.
1900/1/1 0:00:00摘要:美原油5月WTI期貨現負值,短時出現“踩踏擠兌”,大量交易者“不計代價”移倉6月合約,以規避實物交割的風險。出現此次極端行情,和原油需求銳減下的庫存告急有關:原油積壓不利于實物交割.
1900/1/1 0:00:00在COVID-19這場危機之下,對金融體系崩潰的擔憂已經席卷全球。現在很多城市已經封鎖了數周。在這次封鎖之后,很多企業停業,商店關閉,僅在美國,失業人數就增加到660萬.
1900/1/1 0:00:00本報告由火幣區塊鏈研究院出品,報告發布時間2020年4月27日,作者:袁煜明、盧軍 摘要: 北京時間4月16日晚,Facebook發布了Libra第二版白皮書.
1900/1/1 0:00:00隨著新冠肺炎疫情的全球大流行,人類在全方位、艱難地抗擊尚屬未知的COVID-19病。面對沒有確定的COVID-19治療方法,也沒有可以臨床的疫苗,至少一年、很可能常態的新型病流行的嚴峻形勢,
1900/1/1 0:00:00