比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 比特幣 > Info

EFI:楊民道:從Euler黑客事件,漫談DeFi的安全審計和安全

Author:

Time:1900/1/1 0:00:00

借著Euler黑客事件,聊聊DeFi的安全審計和安全。

大的DeFi協議基本上都經過多輪審計,我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀,但藍籌DeFi沒哪個沒被黑過這里原因很簡單,簡單的數學問題從攻防來看,所有靜態審計的輸入和輸出(發現bug)都是有限的。

除了常規審計,Euler還用了Certora做形式化驗證,這個我們之前也用過,形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍,但是無法窮盡“未知的未知”。DeFi是一個開放系統,對于黑客來說,它的輸入是無限的,輸出也是無限的。假設把安全攻防看成挖礦,你守方用三五臺機器算哈希挖礦。

美國在新的加密貨幣法案中針對薩爾瓦多:金色財經報道,美國新澤西州的Bob Menendez(民主黨人)和愛達荷州的Jim Risch(共和黨人)批評薩爾瓦多并發布了一種新形式的立法,旨在讓該國坦白并對其行為負責。該法案被稱為《薩爾瓦多加密貨幣問責法案》,旨在讓薩爾瓦多制定一份新報告,討論其如何使用加密貨幣以及如何確保用戶安全。[2023/6/26 21:59:32]

攻方無數機器時刻在算哈希,只要算對一次就贏了;這個輸贏面對比是明顯的。靜態的安全審計,由于輸入輸出固定,無法覆蓋已知的未知,更無法覆蓋未知之未知。所以出現另一種審計,叫開發式競爭型審計,如Code4rena,審計獎金池固定,但是輸入在一定時間內是彈性的,所有人都可以參加,誰發現bug。

Delphi Digital:Arbitrum分配模型中有超13.5萬個女巫錢包:3月23日消息,加密研究機構Delphi Digital在推特稱,還有不到24小時Arbitrum將啟動ARB治理代幣空投,有約62.5萬個錢包符合條件,在Arbitrum的分配模型中有超過135,000個錢包被識別為女巫錢包。根據此前已披露的分配方案,Arbitrum將把代幣供應量的12.75%,即12.75億枚代幣分配給社區成員和生態系統中的DAO。[2023/3/23 13:21:41]

按照嚴重程度,分獎金,這個方式是讓審計師/白帽去卷,可以擴大覆蓋面,但總體輸入依然固定,遠遠不夠。最后是完全開放的模式,那就是賞金網絡,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平臺,我建議每個DeFi在上面發bounty,親測效果十分明顯。Immunefy的獎金項目方會給非常高。

PartisiansNFT 項目Discord服務器遭到攻擊:金色財經消息,據CertiK監測,PartisiansNFT 項目Discord服務器遭到攻擊。請社區用戶在服務器修復之前不要點擊任何鏈接或聲明消息。[2022/12/30 22:16:51]

比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金,但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的,這個類似于黑客的攻擊模式。

但兩者激勵模式很大區別。假如把兩者當成是抽獎,同樣1000w獎金池,賞金模式獎金一般都會在10w-30w刀封頂黑客模式是100%獎金全拿走這兩種模式,同等投入,同樣中獎概率,假設沒有犯罪成本,毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%,也跑不贏黑客池,除非把犯罪成本加入等式。

有人建議把賞金比例和TVL掛鉤,比如10%,是否會激勵更多黑客轉白帽?首先,沒哪個defi協議能支付10%TVL的賞金,其次,遇到真黑客,他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面,還有可組合風險。

攻擊面上,DeFi本身隨著整合增加,攻擊面是四維增長的,定期靜態安全審計加長期賞金,也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲,唯一靠譜的是在協議上減少外部依賴,最小化攻擊面,盡量待在“自己的舒適區”,不亂做擴展對開放系統來說,安全代價就是自由的代價。

Tags:EFIDEFIDEFARBWEFIPhoenix Defi Financekingdefi幣歸零arbdoge幣上幾家交易所

比特幣
EFI:Revelo Intel創始人如何看待L1/L2競爭、加密敘事、支付和監管?

在這期DeFiPodcast中,主持人JFSaine和Morrissey邀請了ReveloIntel創始人NickDrakon.

1900/1/1 0:00:00
USD:長推:淺談三大加密友好銀行關閉/接管對Crypto市場的影響

該Thread談談3大幣圈友好銀行的關閉或接管帶來的影響:法幣抵押型穩定幣規模變化; 資金進出通道遭到影響; 新的增長機會盡管USDC在爆雷的硅谷銀行中其資金已解決,從脫錨狀態又回到1刀.

1900/1/1 0:00:00
SIL:從榮光中墜落,一文淺談 Silvergate 崩潰的根本原因

SilvergateCapitalCorp成立于1986年,幾十年來一直是一家位于拉荷亞的沉寂的社區銀行。這一切在2020/2021年加密貨幣牛市期間發生了變化.

1900/1/1 0:00:00
區塊鏈:Starknet交互重點

注:本文來自@Monica_xiaoM推特,MarsBit整理如下:Starknet交互重點來啦完成starknet官方論壇教程可以獲得初級和高級證書.

1900/1/1 0:00:00
NFT:Blur 創始人:別只看到刷量,我們是在推動 NFT 行業進步

近期因為Blur第二階段的空投預期,使得NFT市場的交易變得史無前例地旺盛。然而這種因「刷空投」而帶來的交易量上漲引發了市場對其不可持續性以及市場操控的擔憂.

1900/1/1 0:00:00
LSD:長推:LSD未來 4 個新趨勢分析

注:本文來自@0xYugiAI推特,MarsBit整理如下: 流動性質押的4大趨勢 流動性質押是一個令人興奮和快速發展的領域,有幾個顯著的趨勢.

1900/1/1 0:00:00
ads