大的DeFi協議基本上都經過多輪審計,我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀,但藍籌DeFi沒哪個沒被黑過?這里原因很簡單,簡單的數學問題從攻防來看,所有靜態審計的輸入和輸出(發現bug)都是有限的。
除了常規審計,Euler還用了Certora做形式化驗證,這個我們之前也用過,形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍,但是無法窮盡“未知的未知”。DeFi是一個開放系統,對于黑客來說,它的輸入是無限的,輸出也是無限的。假設把安全攻防看成挖礦,你守方用三五臺機器算哈希挖礦攻方無數機器時刻在算哈希,只要算對一次就贏了;這個輸贏面對比是明顯的。靜態的安全審計,由于輸入輸出固定,無法覆蓋已知的未知,更無法覆蓋未知之未知。
灰度GBTC負溢價率收窄至27.39%:金色財經報道,據Coinglass數據顯示,當前灰度總持倉量約為277.19億美元,其中灰度比特幣信托基金(GBTC)的負溢價率為27.39%;ETH信托負溢價率為38.97%。此外,ETC信托負溢價為51.58%,LTC信托負溢價為33.54%。[2023/7/16 10:57:41]
所以出現另一種審計,叫開發式競爭型審計,如Code4rena,審計獎金池固定,但是輸入在一定時間內是彈性的,所有人都可以參加,誰發現bug按照嚴重程度,分獎金,這個方式是讓審計師/白帽去卷,可以擴大覆蓋面,但總體輸入依然固定,遠遠不夠。最后是完全開放的模式,那就是賞金網絡,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平臺,我建議每個DeFi在上面發bounty,親測效果十分明顯。Immunefy的獎金項目方會給非常高。比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金,但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的,這個類似于黑客的攻擊模式。
App Store將上架鏈游Axie Infinity:5月17日消息,Sky Mavis 聯合創始人 Jeffrey Zirlin 表示,Axie Infinity: Origins 將在拉丁美洲和東南亞部分國家的蘋果 App Store 上架。[2023/5/17 15:08:34]
但兩者激勵模式很大區別。假如把兩者當成是抽獎,同樣1000w獎金池,賞金模式獎金一般都會在10w-30w刀封頂,黑客模式是100%獎金全拿走。這兩種模式,同等投入,同樣中獎概率,假設沒有犯罪成本,毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%,也跑不贏黑客池,除非把犯罪成本加入等式,有人建議把賞金比例和TVL掛鉤,比如10%,是否會激勵更多黑客轉白帽??
Com2Verse完成約300萬美元融資:8月23日消息,游戲發行商Com2uS旗下元宇宙子公司Com2Verse宣布完成40億韓元(約合300萬美元)融資,SK Networks參投以獲得未流通股。截至目前,Com2Verse公司70%的股份由Com2uS擁有,本次融資完成后,Com2Verse將把SK Networks的線下服務加載到元宇宙中,比如客戶服務、業務咨詢等。(koreajoongangdaily)[2022/8/23 12:43:30]
?首先,沒哪個defi協議能支付10%TVL的賞金,其次,遇到真黑客,他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面,還有可組合風險攻擊面上,DeFi本身隨著整合增加,攻擊面是四維增長的,定期靜態安全審計加長期賞金,也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲,唯一靠譜的是在協議上減少外部依賴,最小化攻擊面,盡量待在“自己的舒適區”,不亂做擴展。對開放系統來說,安全代價就是自由的代價
最近團隊小伙伴系統研究了市面上所有的AI工具,得出?2?個結論:1、無需焦慮,AI?工具雖多,但目前好用的不多;2、必須敬畏,人類不會被?AI?淘汰.
1900/1/1 0:00:00上周末,市場因美國銀行界可能發生的系統性危機而受到沖擊。伴隨硅谷銀行正式破產,其客戶之一Circle的USDC部分質押品存在損失可能,隨之?USDC?脫鉤.
1900/1/1 0:00:00文:章魚哥 近年來,NFT領域正經歷著迅猛的發展變化。隨著數字藝術品和加密游戲的流行,NFT成為了一個備受關注的話題.
1900/1/1 0:00:00金色財經報道,紐約金融服務部發言人表示,周日做出接管SignatureBank的決定與該銀行的加密貨幣業務無關.
1900/1/1 0:00:003月16日,據以太坊核心開發者TimBeiko的推文,以太坊基金會核心開發團隊已經確認上海升級將于網路區塊高度6209536時進行,具體為UTC時間4月12日晚上22:27:35.
1900/1/1 0:00:00文/EmperorOsmo,Osmosis研究和社區,加密分析師空投是普通用戶在加密市場確定性比較高的獲取收益的行為。近期的ARB空投就是例證之一。但因各種因素,可能有用戶錯過ARB空投.
1900/1/1 0:00:00