▼▼▼
劉鋒:近幾天余弦參與處理Lendf.me被盜資金的追討,可以和我們講講這幾十個小時的經歷嗎?
余弦:第一步,快速定位威脅情況和攻擊細節,這樣可以快速給出最正確的漏洞原因,比如這次事件中,本質問題是Lendf.Me的核心代碼中存在重入攻擊漏洞,而這個漏洞又需要結合基于ERC777代幣的組合才能發生。知道漏洞本質及攻擊手法后,在鏈上是很容易知道攻擊者具體盜走多少資產。
第二步,思考如何追回。在4月19日下午,dForce、星火與imToken安全團隊在線下集結,并與慢霧安全團隊遠程連線成立“臨時安全團隊”,開始進行資產追回。因為信息量巨大且雜亂,集中討論可以快速的信息對稱,加快速度。
去中心化DeFi應用Chainge Finance與1inch達成合作:據官方消息,去中心化DeFi應用Chainge Finance已完成與 DEX 聚合器 1inch 的整合。通過此次與 1inch 的合作,Chainge 用戶將可以在數個網絡上獲得深度的跨鏈流動資金,這些網絡包括:以太坊、BNB Chain、Polygon、Arbitrum、Optimism、Gnosis、Avalanche 和 Fantom。目前Chainge平臺可交易幣種提升至近 200 種。[2022/6/15 4:27:59]
4月20日,基于黑客在攻擊前后留下的痕跡,“臨時安全團隊”成功確定了準確的黑客畫像,并開始與國內外各方資源進行交叉對比,獲得突破性線索,離黑客越來越近。4月21日下午,在黃金48小時內,黑客在重重壓力下,與dForce主動溝通,并開始歸還部分資產。繼續溝通后,所有資產被成功找回,這是攻擊發生后的第三天。這個過程不僅是“臨時安全團隊”發揮了關鍵作用,還得到了非常多加密社區朋友直接與間接的幫助。
Bancor V3將使用Chainlink Keepers簡化DeFi使用并添加高級AMM功能:官方消息,Bancor宣布,劃將Chainlink Keepers作為即將發布的Bancor V3更新的一部分進行集成,以進一步簡化流動性提供者的質押體驗,并為Bancor用戶提供高級交易功能的自動化。[2021/8/11 1:48:41]
劉鋒:對于這次Lendf.me被攻擊事件,大家應該吸取什么教訓?
余弦:任何新事物在進化過程中都會有安全風險,這是進化法則,越早期這種風險越大,最終要么死亡,要么就會趨于某種比較穩定的平衡。
基于這種心理準備,我們來看DeFi,有幾個比較重要的風險:技術安全風險、業務安全風險、合規安全風險,我們簡單展開:
1.技術安全
ZKSwap加入DeFi Alliance聯盟加速器計劃:官方消息,二層交易協議ZKSwap (ZKS)宣布正式加入DeFi Alliance 聯盟加速器計劃,同期加入加速器計劃的項目還包括Sushiswap協議和Bancor協議等。未來,ZKSwap 將與聯盟其他成員共同推進 DeFi 相關技術的采用和發展,壯大 ZKSwap Layer2 生態,共建透明、低成本且可信任的分布式金融系統。
ZKSwap 預計將于6月底正式上線 ZKSwap V2 版本,并計劃在7月份于以太坊主網上線二層網絡的 NFT 協議。[2021/5/31 22:59:05]
首先看公鏈本身是否久經考驗,足夠安全,以太坊基本滿足這點;然后看智能合約的設計是否足夠安全,Solidity并不太滿足;再看相關的標準實現是否足夠安全,這里最大的問題在于很多時候一個“特性”會變成一種“缺陷”;再看基于標準的成熟框架是否安全,如OpenZeppelin就很優秀;最后看項目方開發出來的是否真的嚴格安全實踐,這個就非常不好說了,很明顯,開發的質量是參差不齊的。
鎖倉量超過10億美元的DeFi項目達到26個:據defillama數據顯示,當前DeFi領域的鎖倉量超過1100億美元,超過10億美元的項目達到26個。來自以太坊生態的有19個,其中鎖倉最大的是MakerDAO,有95億美元。來自BSC的有4個,其中鎖倉最大的是pancakeswap,鎖倉量超過79億美元。來自Polygon的有1個,來自Terra的有1個(Mirror),多鏈項目有1個(Lido)。[2021/4/26 20:59:23]
2.業務安全
業務決定于DeFi的設計,比如抵押借貸、閃貸、交易等等。業務需要特別考慮的是安全風控,比如暴跌暴漲怎么辦?突然出現的大額轉幣如何處理?如何解決第三方安全風險?
3.合規安全
如果是一個灰色或黑色邊界的DeFi,一不小心被一些國家的執法機構打掉或自己跑路了,怎么辦?
波場DeFi項目TAI(眶野)今日領漲 漲幅高達56%:據BiKi行情顯示:截止15:00,TAI(眶野)漲幅領漲高達56%;CRT(胡蘿卜)漲幅37.11%;SAL(三文魚)漲幅26.11%;JFI(姐夫)漲幅15.51%;[2020/9/7]
另外特別補充一些和用戶角度有關的判斷:
1.項目方內部有實力不錯的安全團隊或有豐富安全經驗的核心人物把關
2.項目方近半年內被第三方專業安全機構安全審計并公開安全審計結果
3.項目方有長期持續緊密合作的第三方專業安全機構
4.項目方核心成員對待安全的態度坦然開放,勇于認錯并把安全放在第一位
5.項目方對安全工作充滿敬畏與尊重
基于上面這5點可以延伸出一些事實,比如:口碑、真實用戶數、數據透明度、安全透明度等等。
劉鋒:大家愿意去用DeFi產品,有很大原因是擔憂中心化金融服務平臺的安全性問題,希望通過DeFi討個平安。但是今年一連串DeFi平臺和產品被攻擊,這讓人對DeFi反而不信任了,我覺得有點遺憾,你怎么看?
余弦:我的看法不一樣,大家來看看歷史。
具體細節這里看:https://hacked.slowmist.io/
大家會看到中心化、去中心化都有非常慘重的歷史案例,但其實不必因此而打擊信心,DeFi一定有自己的定位,但DeFi也別想著一統天下,同樣的話也適合CeFi,未來應該會看到更多DeFi+CeFi的混合體出現。而且,DeFi其實并不一定需要完全去中心,這是我的個人看法。
我是黑客,這些在我眼里都沒有絕對的安全,都有許多薄弱點,但是黑客不都是壞的,我們更希望是往安全的方向去進化,但我們在對抗時,必須有足夠的攻擊思維。
劉鋒:觀眾提問,對DeFi合約審計的作用有多大?能保證足夠安全么?是否經過了審計的defi項目就值得信任呢?
余弦:DeFi安全審計是安全策略的第二層,第一層是DeFi開發安全,這是項目方的事。DeFi安全審計在第二層可以規避不少問題,將安全防御水平提高一個檔次。但之后還有第三層,也就是更新迭代持續運營的安全,這個一不小心就麻煩了。只能說,經過安全審計的項目,可以讓人更放心,但也一定都有黑天鵝——來自未來的攻擊。所以,如果安全審計已經超過半年,那就得注意了。
劉鋒:觀眾提問,大多數知名DeFi協議都是以某種形式被中心化控制的,雖然這種方式在安全性上有些好處,怎樣才能避免管理員濫用自己的特權,或者說減少相關風險?
余弦:這個是人性的問題,有的可以技術解決,有的解決不了。技術上通過類似DAO的方式來控制,但這又會產生新的問題,DAO的效率太低就麻煩了。但至少有一點項目方需要做的是透明,資產透明,權限透明,決策透明等等,讓社區看得見。
劉鋒:觀眾提問,有沒有一種方案,在用戶和合約之間建中間件,這個中間件來做安全處理?
余弦:這個不知道,需要試驗,但我最近有一個想法,大家可以看看:https://firewallx.io/
這個防火墻是構建在EOS主網上的,核心是智能合約實現。以太坊上,ERC777這種偏復雜的也許也可以這樣做,但還是需要試驗。
劉鋒:觀眾提問,代碼的安全問題幾乎不可避免,DeFi是不是需要輔以更成熟的風控機制,來避免大的損失?因為DeFi的魅力是去中心化,是智能合約,但是受攻擊后的修復和自己追討,看起來完全是人和人之間的博弈了。
余弦:追回是個很難的事,但比較有意思的是,今年開始可能會提高成功率,原因是各國司法、執法流程上開始支持加密貨幣了。
非常感謝參與今晚MathShow#001活動的“show”友們,也感謝慢霧的創始人余弦為我們帶來的關于DeFi的安全知識饕餮盛宴,為區塊鏈生態安全貢獻自己的力量。祝慢霧越來越好。
Tags:EFIDEFDEFIANCkingdefi幣歸零Restaurant DeFiDeFinerMUSO Finance
阿里巴巴發布的2020財年公益“財報”顯示,自2016年發布首個區塊鏈公益項目以來,區塊鏈已在阿里巴巴經濟體公益多個場景中應用,本財年總捐贈金額中,超6成愛心捐贈已被記錄在鏈.
1900/1/1 0:00:00本系列將是一個關于Polkadot的安全性和共識的討論。在第1部分中,我們將在展開Polkadot如何創建和保護區塊的細節之前定義一些術語。共識算法可幫助計算機網絡像一臺計算機一樣運作.
1900/1/1 0:00:002020年6月30號,由星際超腦IPSB主辦的《下一代產業互聯網技術峰會·深圳站》在大中華喜來登酒店圓滿落幕,這是一場關于新產業技術和應用落地分享的峰會.
1900/1/1 0:00:00幣圈的特色是未知,在選擇產品時,要多思考,投資者需要在風險與收益中總結經驗,制定策略,合理的設置目標與期望.
1900/1/1 0:00:00今日行情分析: 比特幣今日震蕩上行到9300這個位置后,遇到強支撐后開始強勢下跌一波,但是同樣遇到區間下支撐9180這個位置開始反彈,以四小時區間來看,行情目前到達了上行通道的底部.
1900/1/1 0:00:002020年6月16日周二農歷四月廿五 易天說 1、據顯示,BTC合約24H凈流入:¥32.67億,其中合約流入:¥531.89億,合約流出:¥564.56億2、數據顯示.
1900/1/1 0:00:00