借著Euler黑客事件,聊聊DeFi的安全審計和安全。
大的DeFi協議基本上都經過多輪審計,我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀,但藍籌DeFi沒哪個沒被黑過這里原因很簡單,簡單的數學問題從攻防來看,所有靜態審計的輸入和輸出(發現bug)都是有限的。
除了常規審計,Euler還用了Certora做形式化驗證,這個我們之前也用過,形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍,但是無法窮盡“未知的未知”。DeFi是一個開放系統,對于黑客來說,它的輸入是無限的,輸出也是無限的。假設把安全攻防看成挖礦,你守方用三五臺機器算哈希挖礦。
Bithumb前董事長李正勛涉詐案將于6月二審開庭:5月22日消息,韓國首爾高等法院將于6月對涉1000億韓元欺詐案的Bithumb前董事長李正勛的進行二審首次審判,此前李正勛在一審中被判無罪。據悉,2018年10月份李正勛和BK集團會長金炳健在協商出售Bithumb股份的過程中,金炳健在聽信李正勛會將在Bithumb上線BXA(Bithumb代幣)后,用BXA預售的部分收益購買了Bithumb的股份,但BXA并未在Bithumb上市,BK集團收購Bithumb一事也不告而終。[2023/5/22 15:18:17]
攻方無數機器時刻在算哈希,只要算對一次就贏了;這個輸贏面對比是明顯的。靜態的安全審計,由于輸入輸出固定,無法覆蓋已知的未知,更無法覆蓋未知之未知。所以出現另一種審計,叫開發式競爭型審計,如Code4rena,審計獎金池固定,但是輸入在一定時間內是彈性的,所有人都可以參加,誰發現bug。
數據:2022年Curve v2約占所有DEX ETH/USDT交易量的65%:7月27日消息,Delphi Digital發布數據報告顯示,2022年,Curvev2約占所有DEX ETH/USDT交易量的65%,在份額上超過Uniswapv3;在Arbitrum上,Curve Tricrypto在ETH交易量中占主導地位,約占總市場份額的83%以上。[2022/7/27 2:41:44]
按照嚴重程度,分獎金,這個方式是讓審計師/白帽去卷,可以擴大覆蓋面,但總體輸入依然固定,遠遠不夠。最后是完全開放的模式,那就是賞金網絡,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平臺,我建議每個DeFi在上面發bounty,親測效果十分明顯。Immunefy的獎金項目方會給非常高。
現貨黃金日內下跌1%,原油下跌超5%:金色財經報道,行情顯示,現貨黃金日內下跌1.00%,現報1788.82美元/盎司,布倫特原油跌破107美元/桶,為5月19日以來首次,日內大跌6.1%,WTI原油日內重挫7%,現報102.76美元/桶。[2022/7/5 1:53:02]
比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金,但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的,這個類似于黑客的攻擊模式。
但兩者激勵模式很大區別。假如把兩者當成是抽獎,同樣1000w獎金池,賞金模式獎金一般都會在10w-30w刀封頂黑客模式是100%獎金全拿走這兩種模式,同等投入,同樣中獎概率,假設沒有犯罪成本,毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%,也跑不贏黑客池,除非把犯罪成本加入等式。
有人建議把賞金比例和TVL掛鉤,比如10%,是否會激勵更多黑客轉白帽?首先,沒哪個defi協議能支付10%TVL的賞金,其次,遇到真黑客,他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面,還有可組合風險。
攻擊面上,DeFi本身隨著整合增加,攻擊面是四維增長的,定期靜態安全審計加長期賞金,也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲,唯一靠譜的是在協議上減少外部依賴,最小化攻擊面,盡量待在“自己的舒適區”,不亂做擴展對開放系統來說,安全代價就是自由的代價。
加密貨幣支付公司TripleA的數據顯示,2022年全球Crypto用戶數量達3.2億,而同期全球互聯網用戶數約為50億,Crypto用戶增長仍存在較大空間.
1900/1/1 0:00:00在這篇文章中,我會以.sats域名的鑄造為例,帶你走一遍完整的BTCNFT鑄造流程。在延展閱讀處,會稍微解釋下閃電網絡、Taproot地址和?Ordinals協議.
1900/1/1 0:00:00這里不討論Canto,Evmos這種Csomos里的EVM鏈,他們因為用的是EVM所以和Cosmos生態連接不是很緊密,他們體驗上更偏向傳統的EVM鏈,雖然他們也支持IBC.
1900/1/1 0:00:00就在2023.3.7日,由10KUniverse提出的以太坊改進提議EIP-6147已移至最終版本!該標準是ERC-721的擴展,分離了NFT和SBT的持有權和轉讓權.
1900/1/1 0:00:00以太坊或將在一個月內完成其轉向權益證明的最終階段。在即將到來的「Shapella」升級后,超過1600萬枚質押在信標鏈上的ETH將能夠被提款.
1900/1/1 0:00:00FTX崩盤的余波仍未消散,根據最新流出的一份年度投資者信件副本內容顯示,對沖基金MulticoinCapital在2022年的虧損高達91.4%,主要原因有二,一是去年整個加密市場過于動蕩.
1900/1/1 0:00:00