DeFi很火,這個夏天業內仿佛打入雞血一般地參與到這個生態,創新、革命,各類項目此消彼長。不過,熱鬧背后,卻是暗流涌動。
2020年4月18日,Uniswap爆出智能合約漏洞,該漏洞被人利用盜取了數十萬美金的資產;次日,Lendf.me因相同漏洞,被一位程序員盜取了數千萬美金的資產;因為智能合約漏洞,上線36小時,紅極一時的Yam迅速消亡。?
安全,已經是懸在DeFi頭上的達摩克利斯之劍。有痛點就有市場,在這場狂歡中,“慢霧蓋章”成了保障的標志。
近日,在廈門舉辦的“共為創業者大會”上,金色財經就DeFi安全采訪了慢霧科技合伙人Keywolf啟富。
慢霧CISO:Vyper官方文檔推薦的是一個錯誤版本:7月31日消息,據慢霧首席信息安全官23pds發推稱,Vyper官方文檔推薦的實際上是一個錯誤的版本。[2023/7/31 16:08:31]
以下為采訪實錄。
金色財經:慢霧審計一個項目主要有哪些流程?系統是否安全的最終標準有哪些??
慢霧科技合伙人啟富:對于DeFi,我們更關心的是資產的安全,簡單來說就是本金的安全。用戶的收益如何與項目的經濟模型有關,所以,我們首先關注的是智能合約里在計算用戶收益時,會不會存在溢出等問題,這也是合約里普遍存在的通用性問題。其次,我們會關注項目方是否留有后門,是不是作惡,是否盜取用戶資金。
慢霧:Apple Store惡意釣魚程序可模仿正常應用程序,盜取賬號密碼以繞過2FA:7月25日消息,慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例,其中Apple Store出現惡意釣魚程序,通過模仿正常應用程序盜取用戶賬號和密碼,然后攻擊者把自己的號碼加入雙重認證的信任號碼,控制賬號權限,用來繞過蘋果的2FA。“加密貨幣用戶務必注意,因為目前有不少用戶、錢包的備份方案是iCloud備份,一旦被攻擊,可能造成資產損失”。[2023/7/25 15:56:56]
當收到用戶項目審計訴求時,我們會先通過項目官網、介紹等資料了解項目,在初步審核通過之后,會去評估其智能合約代碼的復雜度,并進入到商務流程,報價、排期等溝通沒問題之后,開始項目審計。
慢霧安全:警惕Big Data Protocol合約相關風險:據慢霧區消息,知名DeFi項目Big Data Protocol因項目自身代碼Bug出現無法正常領取獎勵的問題。經慢霧安全團隊分析,此問題系Big Data Protocol的BDP代幣合約在mint函數中對seePoolAmount變量做了錯誤的校驗,導致合約功能無法正常執行。目前合約用戶只能通過緊急提現函數對資金進行提現。但緊急提現函數無法同時提現挖礦收益。
慢霧安全團隊提醒用戶注意Big Data Protocol合約風險,如有參與,可通過emergency Withdraw函數將資金安全取出。[2021/3/12 18:40:04]
審計的過程當中發現了任何的問題,都會馬上去告訴對方并告知解決方案,改完之后、復查,最后會出具一個審計報告。同時我們現在要求對方一定把代碼開源。在審計中除了關注常規的安全漏洞,還要關注代碼和業務邏輯設計是否一致,以及組合性引入的外部風險,找出薄弱點提高攻擊者的門檻從而整體提升安全性。?
慢霧:警惕ETH新型假充值,已發現在野ETH假充值攻擊:經慢霧安全團隊監測,已發現存在ETH假充值對交易所攻擊的在野利用,慢霧安全團隊決定公開修復方案,請交易所或錢包及時排查ETH入賬邏輯,必要時聯系慢霧安全團隊進行檢測,防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作:1、針對合約ETH充值時,需要判斷內聯交易中是否有revert的交易,如果存在revert的交易,則拒絕入賬。2、采用人工入賬的方式處理合約入賬,確認充值地址到賬后才進行人工入賬。同時需要注意,類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]
基于對慢霧的認可,大家覺得慢霧審計過的項目會比較放心,所以我們現在都是盡可能的把有可能存在風險的,包括一些admin權限等,現在流行用時間鎖的方式,想要有進一步動作,必須要經過24小時或者48小時。上鏈之后,大家都能夠去看到。這方面現在大家都關注,我們也特別關注。
金色財經:現在有相關數據統計,8月份有大概8起DeFi相關的安全事件。從安全的角度,您怎么看DeFi的發展?
慢霧科技合伙人啟富:DeFi相對于公鏈是一個比較新的東西,在發展的過程當中,肯定會有一些風險和未知的事情,畢竟面對一個新興事物,大家都不是那么有經驗。從DeFi安全性角度來說,新事物在發展的過程當中,出現這樣的安全問題,算是可以理解的事情。
像比特幣、以太坊它早期也有發生過安全問題,比特幣之前也曾有增發漏洞,以太坊也有著名的TheDAO事件,還分叉出了ETC。
所有人并不是一開始就有豐富的經驗,包括那些試圖攻擊它的人,也不是很快就能知道攻擊方法,也是做了一些自己的研究、嘗試。所以在早期時候,去關注、參與一定會有風險,但是我們不能因為它發生過這些問題,去否定一個新的方向。整個行業或者DeFi方向肯定會越來越完善,包括安全公司或者優質的項目方,優質的技術團隊參與到其中,就能夠把整體水平提升上來。?
另外一個就是說大家對安全問題的一個規避的方式,就是項目方一定要有自己的安全的意識,盡可能有一些預算找安全公司,例如我們慢霧,去做一些相應的安全審計,至少現在已經知道的一些攻擊的手法都給它規避掉。
金色財經:您接下來會看好哪一些項目??
慢霧科技合伙人啟富:現階段挖礦的應該不會太長久,這種玩法大家可能都已經比較熟悉了,幣圈其實很多時候都講究一個新鮮感或者畫餅的能力,如果接下來沒有更多新的玩法,大家都還是繼續去搞這樣的流動性挖礦,可能到后期就沒什么人玩了。從以太坊到波場到幣安智能鏈,或者到其他的一些新的公鏈如本體、NEO,這些國產公鏈都開始加入到這個賽道,但是大部分玩法還是一樣的。資金就這么多,現在出來這么多項目,就會有均分或者轉移,最后如果沒有一些新的玩法,大家就會審美疲勞,而且年化有可能越來越低。
現在很多人都在聊另外一個熱點NFT,大家關注到NFT,就是因為現在它能交易。在我看來,這是一個方向,真正的落地還要有一定的距離。
在這個行業,熱點有時候并不是技術驅動的,很多時候是因為能賺錢而帶來的。
Tags:DEFIDEFEFIETHRio DeFiDEFC幣Valuedefi vSWAP男生突然把網名改成Ethereal
雖然本周Square首席執行官杰克·多西宣布購買價值5000萬美元比特幣點燃比特幣和加密貨幣社區熱情,但據《福布斯》分析認為,近期比特幣價格上漲其實與Square投資無關.
1900/1/1 0:00:00根據一項調查,網絡犯罪團伙通過假冒應用程序更新騙局從使用Electrum比特幣錢包的用戶竊取了超過2200萬美元.
1900/1/1 0:00:00親愛的BKEXer: BKEXGlobal現已完成TTM主網升級,用戶持倉的ERC20TTM代幣已自動切換為TTM主網幣并已恢復TTM充值與提現功能.
1900/1/1 0:00:00尊敬的用戶: 幣虎交易平臺的“幣虎2020年9月27日18:00上線YFIIG/USDT交易對”活動已結束,活動獎勵已發放至用戶賬戶,請所有符合活動條件的用戶在--中查詢分發結果.
1900/1/1 0:00:00幣海引路人:BTC持續窄幅震蕩多空皆有可能做單需謹慎市場需要敬畏交易如同攀爬,只有登上絕頂,才能享受奇觀勝景;若遇難而退,中途放棄,只會與機會擦肩而過,在交易中,最重要的就是要敢于出手.
1900/1/1 0:00:00金色財經報道,10月12日,以太坊客戶端Geth開發者Marius發布推特表示,在以太坊的開發社區中出現了郵件釣魚的情況.
1900/1/1 0:00:00