DeFi很火,這個夏天業內仿佛打入雞血一般地參與到這個生態,創新、革命,各類項目此消彼長。不過,熱鬧背后,卻是暗流涌動。
2020年4月18日,Uniswap爆出智能合約漏洞,該漏洞被人利用盜取了數十萬美金的資產;次日,Lendf.me因相同漏洞,被一位程序員盜取了數千萬美金的資產;因為智能合約漏洞,上線36小時,紅極一時的Yam迅速消亡。?
安全,已經是懸在DeFi頭上的達摩克利斯之劍。有痛點就有市場,在這場狂歡中,“慢霧蓋章”成了保障的標志。
近日,在廈門舉辦的“共為創業者大會”上,金色財經就DeFi安全采訪了慢霧科技合伙人Keywolf啟富。
慢霧:警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息,Honeyswap官方推特發文,Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ,目前官網仍未刪除該惡意地址,請立即停止使用Honeyswap進行交易,到revoke.cash排查是否有approvals 交易到惡意地址,避免不必要的損失。[2022/5/10 3:03:22]
以下為采訪實錄。
金色財經:慢霧審計一個項目主要有哪些流程?系統是否安全的最終標準有哪些??
慢霧:PancakeBunny被黑是一次典型利用閃電貸操作價格的攻擊:幣安智能鏈上DeFi收益聚合器PancakeBunny項目遭遇閃電貸攻擊,慢霧安全團隊解析:這是一次典型的利用閃電貸操作價格的攻擊,其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷,而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式,最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格,使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。慢霧安全團隊建議,在涉及到此類LP價格計算時可以使用可信的延時喂價預言機進行計算或者參考此前AlphaFinance團隊。[2021/5/20 22:24:55]
慢霧科技合伙人啟富:對于DeFi,我們更關心的是資產的安全,簡單來說就是本金的安全。用戶的收益如何與項目的經濟模型有關,所以,我們首先關注的是智能合約里在計算用戶收益時,會不會存在溢出等問題,這也是合約里普遍存在的通用性問題。其次,我們會關注項目方是否留有后門,是不是作惡,是否盜取用戶資金。
慢霧科技創始人余弦:安全的預算需要占到全年預算的20%左右:針對最近出現的安全問題,慢霧科技創始人余弦在微博上表示:給加密貨幣行業一個中肯建議:這個行業,自帶金融屬性,無國家安全力量保障,盜幣溯源有很難。安全的預算需要占到全年預算的20%左右,這比例一部分(可能是大部分)是內部安全成本消耗,一部分是給第三方職業安全團隊(如慢霧),一部分是給社區的白帽黑客。另外,做個安全應急準備金,黑天鵝出來后,可以拿來做些彌補及挽救支持的。既然喊了安全第一,既然安全也是區塊鏈三大必備基礎元素之一,那就這樣干,不應該有任何的猶豫和幻想。[2020/4/20]
當收到用戶項目審計訴求時,我們會先通過項目官網、介紹等資料了解項目,在初步審核通過之后,會去評估其智能合約代碼的復雜度,并進入到商務流程,報價、排期等溝通沒問題之后,開始項目審計。
動態 | 慢霧區表示Augur重大漏洞是一個典型的前端黑攻擊:據慢霧區消息,此前報道的去中心化預測市場平臺 Augur 被曝發現重大漏洞問題是一個典型的前端黑攻擊。這種攻擊依賴一些條件,比如攻擊者需要準備好一個頁面鏈接(不是 Augur 鏈接),并無論通過什么手法能讓安裝了 Augur 的用戶訪問到,然后用戶需要重啟 Augur 應用,這樣才能形成后續的攻擊。由于此時 Augur 應用里配置的 Augur 節點地址被替換了,后續的攻擊本質就是一種 MITM(中間人)攻擊,理論上確實可以做很多惡事。慢霧安全團隊特此提醒:這是前端黑攻擊里的跨私有域攻擊的一種常見手法,其他項目方也應該注意。[2018/8/8]
審計的過程當中發現了任何的問題,都會馬上去告訴對方并告知解決方案,改完之后、復查,最后會出具一個審計報告。同時我們現在要求對方一定把代碼開源。在審計中除了關注常規的安全漏洞,還要關注代碼和業務邏輯設計是否一致,以及組合性引入的外部風險,找出薄弱點提高攻擊者的門檻從而整體提升安全性。?
基于對慢霧的認可,大家覺得慢霧審計過的項目會比較放心,所以我們現在都是盡可能的把有可能存在風險的,包括一些admin權限等,現在流行用時間鎖的方式,想要有進一步動作,必須要經過24小時或者48小時。上鏈之后,大家都能夠去看到。這方面現在大家都關注,我們也特別關注。
金色財經:現在有相關數據統計,8月份有大概8起DeFi相關的安全事件。從安全的角度,您怎么看DeFi的發展?
慢霧科技合伙人啟富:DeFi相對于公鏈是一個比較新的東西,在發展的過程當中,肯定會有一些風險和未知的事情,畢竟面對一個新興事物,大家都不是那么有經驗。從DeFi安全性角度來說,新事物在發展的過程當中,出現這樣的安全問題,算是可以理解的事情。
像比特幣、以太坊它早期也有發生過安全問題,比特幣之前也曾有增發漏洞,以太坊也有著名的TheDAO事件,還分叉出了ETC。
所有人并不是一開始就有豐富的經驗,包括那些試圖攻擊它的人,也不是很快就能知道攻擊方法,也是做了一些自己的研究、嘗試。所以在早期時候,去關注、參與一定會有風險,但是我們不能因為它發生過這些問題,去否定一個新的方向。整個行業或者DeFi方向肯定會越來越完善,包括安全公司或者優質的項目方,優質的技術團隊參與到其中,就能夠把整體水平提升上來。?
另外一個就是說大家對安全問題的一個規避的方式,就是項目方一定要有自己的安全的意識,盡可能有一些預算找安全公司,例如我們慢霧,去做一些相應的安全審計,至少現在已經知道的一些攻擊的手法都給它規避掉。
金色財經:您接下來會看好哪一些項目??
慢霧科技合伙人啟富:現階段挖礦的應該不會太長久,這種玩法大家可能都已經比較熟悉了,幣圈其實很多時候都講究一個新鮮感或者畫餅的能力,如果接下來沒有更多新的玩法,大家都還是繼續去搞這樣的流動性挖礦,可能到后期就沒什么人玩了。從以太坊到波場到幣安智能鏈,或者到其他的一些新的公鏈如本體、NEO,這些國產公鏈都開始加入到這個賽道,但是大部分玩法還是一樣的。資金就這么多,現在出來這么多項目,就會有均分或者轉移,最后如果沒有一些新的玩法,大家就會審美疲勞,而且年化有可能越來越低。
現在很多人都在聊另外一個熱點NFT,大家關注到NFT,就是因為現在它能交易。在我看來,這是一個方向,真正的落地還要有一定的距離。
在這個行業,熱點有時候并不是技術驅動的,很多時候是因為能賺錢而帶來的。
Tags:DEFEFIDEFIBUNDefisBearn Defi Protocol去中心化金融defi什么意思BUNNYINU
各位朋友們,你們好,我是阿帆談幣。阿帆本著負責、誠懇、認真的態度用心寫好每一篇分析文章,特點鮮明,不夸張,不含糊,力求能讓大家看懂大的趨勢分析以及小范圍的多空搏殺力度! 技術面 昨日比特幣收出一.
1900/1/1 0:00:00賽福托管是時代區塊鏈自主研發的區塊鏈數字資產托管產品,專注于為區塊鏈企業提供數字資產托管、企業錢包等綜合性數字資產管理解決方案.
1900/1/1 0:00:00尊敬的用戶: 由于ETHUSDT合約于2020年10月11日20:23左右出現價格波動,平臺部分用戶為了控制倉位風險進行了止損,因倉位過大,給買盤帶來了較大沖擊,造成ETH的價格出現異常波動.
1900/1/1 0:00:00尊敬的用戶: Filecoin主網將于區塊高度達到148,888時正式開啟,預計時間為2020年10月15日,幣虎將于Filecoin主網啟動后第一時間開放充提幣業務,屆時期貨將自動轉換為現貨.
1900/1/1 0:00:00尊敬的OKEx用戶: 2020年3月1日至2020年5月31日,OKB啟動了新一季度的回購銷毀.
1900/1/1 0:00:00幣海引路人:BTC持續橫盤橫久必變泥濘路上的奔馳,永遠跑不過高速路上的夏利,腳下的路很重要。男人再優秀,沒有女人也生不下孩子,說明合作很重要.
1900/1/1 0:00:00