金色財經現場報道,4月10日,由金色財經主辦,波場TRON總冠名,HBTC、SumSwap、SubGame首席合作企業的“2021共為·創新大會”在上海舉辦。大會以“DeFi的創新進階”為主題,匯聚百家優秀區塊鏈企業和眾多行業大咖,共同探討Defi生態、波卡、NFT、交易所公鏈、ETH 2.0、Layer2六大賽道話題。
在下午的“DeFi+NFT”主題專場,Fairyproof TechCEO譚粵飛做了《小白用戶如何讀懂DeFi合約的審計報告》的主題演講。譚粵飛在演講中指出,2020年DeFi安全損失超過2億美金,這些安全事故大多來自對智能合約的攻擊,智能合約的安全事故較多,原因有三:第一個是智能合約本身,第二是區塊鏈技術特點,第三是社會因素。首先智能合約一旦部署,不能被撤回。其次區塊鏈結構使項目方無法知曉攻擊者的社會身份以及交易不可逆。最后是智能合約應用的社會約束比較缺乏,例如缺乏對數字資產的保護,缺乏對區塊鏈應用的約束和規范。
以下為演講詳情:
譚粵飛:今天我和大家分享的主題是如何閱讀DeFi合約的審計報告。當我們說到審計報告的時候,事實上我們談的是DeFi的安全,我們談安全的時候,很多時候覺得這個概念比較抽象,所以,我給大家展示一些數據。
Fairlead Strategies創始人:技術分析顯示,比特幣短期看漲信號已經出現:4月21日消息,Fairlead Strategies創始人兼管理合伙人Katie Stockton的技術分析顯示,比特幣的看漲信號已經出現,支持比特幣價格繼續向廣泛跟蹤的200天簡單移動均線(SMA)上漲。
日線圖顯示,比特幣在過去三天從38500美元上升到42200美元,捍衛了一目均衡圖(Ichimoku Cloud)的支持。
Stockton在一封電子郵件中表示:“比特幣在接近4萬美元獲得了重要支撐,在三天的反彈后,從每日隨機數據中產生了超賣‘買入’信號,支撐了短期看漲的趨勢。日MACD指標也受到擠壓,反映出短期勢頭改善,支持向靠近48100美元的下一個阻力位(由200日移動均線定義)上行。”(CoinDesk)[2022/4/21 14:39:23]
整個大餅是2020年整個一年所有和區塊鏈安全事故所引起的損失,所有的損失,請大家注意看,其中光DeFi左邊紅色區域是DeFi損失,2.38億萬美元,占整個區塊鏈安全所引發的損失40.9%,幾乎接近一半。在2020年之前,DeFi安全的事故遠遠沒有這么夸張,但是DeFi的出現導致安全的事故如此嚴重。
還不是這么直觀,我們再看一些更具體的事例,我們從底下看起,2020年12月26日資金池的資金被轉移,2020年12月21日被攻擊,2021年1月份壽司被攻擊,2月份WFI又被攻擊,我羅列的數據不是指出這些項目本身怎么樣,我是想要讓大家注意,這些項目被攻擊的時間點,大家有沒有發現從2020年10月到2021年3月,每個月都有一個比較知名的DeFi項目受到供給,足以說明安全事故在DeFi領域發生的頻率和頻次多么高。
Fairyproof風險提示:BSC上SQUID GAME項目疑似出現跑路或被攻擊:11月1日消息,Fairyproof發布風險提示,與熱門韓劇《魷魚游戲》同名的BSC上項目SQUID疑似出現跑路或被攻擊,損失金額預估1200萬USDT。
據Fairyproof監測系統顯示:目前項目方官網已無法打開;
當前Pancake質押池中所有的代幣已經通過兩次交易被全部提出轉移到地址:0x71D934Aa2119CA3995F702f075d540f7A6b0f728。
其中一筆的交易在BSC上的哈希值為:0xf7c9d0e5a81999f9e06fe78df7ce41da112d8bd4f2da7b16cfdbbe46c92cb6af 。
發起提取代幣交易的地址為0x614826D885FF973324a5C3f43369d7C413a88aea。
此外來自地址0x1f5eabba9c56bca4a7828969b79bc87051125b31的交易者通過大量出售SQUID代幣將Pancake中交易對中的BNB轉移至:
0x71D934Aa2119CA3995F702f075d540f7A6b0f728。上述交易所需的初始Gas源頭都來自混幣應用Tornado.Cash。
Fairyproof提醒投資者警惕參與風險。[2021/11/1 21:16:03]
安全事故的頻發不僅僅項目方的聲譽,直接影響投資者的利益,接下來,我和大家分享一下為什么智能合約安全事故這么多,他是由特殊的因素所確定,我們Fairyproof Tech團隊認為,出現安全事故的原因主要有三個因素,第一個智能合約本身運行的機制,第二個區塊鏈技術的特點,第三個智能合約應用的社會約束。
動態 | 荷蘭組織FairChain與聯合國合作進行區塊鏈實驗 以幫助厄瓜多爾農民:荷蘭組織FairChain基金會與聯合國開發計劃署合作進行了一項區塊鏈實驗。在由厄瓜多爾可可制成的黑巧克力或牛奶巧克力棒包裝中,消費者可以掃描二維碼將區塊鏈代幣捐贈給厄瓜多爾的農民,也可將代幣作為下次消費的折扣,以此推動厄瓜多爾可可銷售和幫助厄瓜多爾農民改善經濟狀況。(Fast Company)[2019/10/7]
我們首先來看第一個智能合約本身運行機制,智能合約有一個非常大的特點,和我們傳統的IT應用有一個什么樣大的特點,我們使用比較傳統的應用的時候,我們使用一個游戲或者是APP,我們使用過程當中突然有一天項目方告訴我們,這個APP發布一個公告,這個APP有問題,在這種情況下,項目方把APP從APP商店里面下架,讓大家使用舊的版本,他們把有問題的版本撤下去修改完善之后使用新的APP,但是在區塊鏈領域,以太坊領域,一旦智能合約理解成為是一種APP,部署到以太坊上面以后,他是沒有無法被撤退,這是不能像傳統的IT里面的應用被撤回,一旦智能合約開始執行的時候,這是不可逆的,或者我們可以理解,我們發現有問題的智能合約部署到以太坊上面,漏洞被黑客發現,黑客利用漏洞攻擊它的時候我們眼睜睜看到資金池里面的資金被盜走,我們無能為力,我們在傳統領域,把服務器關掉,但是在以太坊上面,這樣的事情是不能發生,我們不可能把以太坊關機。
聲音 | DAO 創始團隊Slock.it發言人:FAIRWIN 智能合約存在漏洞:DAO的創始團隊發言人 Griff Green今日發布推文提醒用戶,去中心化平臺 FAIRWIN 智能合約中存在漏洞。用戶應該停止使用該合約,以確保資金安全。細節將稍后公布,但黑客可以輕而易舉的發現該漏洞,據此前報道,FAIRWIN 是近期導致以太坊區塊鏈擁堵的DAPP,到目前為止該資金盤游戲合約內含 625456枚 ETH,價值約7.4 億元 。[2019/9/27]
我不知道大家注意到推廣以太坊的時候,很多人不理解以太坊是什么,他用簡單的一句話,以太坊是永遠不停歇的世界計算機,永遠不宕機,一旦運行無法停下來。
第二點跟區塊鏈技術本身相關,我們談到區塊鏈技術的時候,我們首先看看區塊鏈技術的第一個應用就是比特幣,我們最早說比特幣至今很多人比特幣的時候想到第一個特點是匿名,當然如果按照純技術的觀點來講,這是偽匿名,做到擬匿名的情況下,在某種情況下把個人真實的信息進行了隱藏,匿名是什么意思,我們在區塊鏈里面進行每一筆交易的時候,我們在所有的可公開查詢的資料里面,我們只能看到發起這筆交易或者是參與交易的這些地址,但是我們沒有辦法把這個地址和執行這筆交易的持有這個地址的人在社會生活當中的真實身份掛鉤。我們不知道這個地址背后的持有人是誰,他叫什么名字,它的身份證號是多少,他在哪個國家,所以因為這個原因他是匿名的,這樣導致了我們在區塊鏈里面,在智能合約里面一旦發生安全事故,我們知道有黑客攻擊我們只是看到攻擊的地址,我們不知道地址后面的持有人是誰,我們不知道黑客真實的社會身份是什么。
動態 | Mercatox交易所遭hard_fail攻擊:今天下午18:43-19:05,PeckShield安全盾風控平臺DAppShield監測到黑客向Mercatox交易所發起連續攻擊,獲利數千枚EOS。PeckShield安全人員初步分析發現,黑客利用失敗的(hard_fail)轉賬交易騙過交易所服務器。PeckShield安全人員在此提醒,開發者應在合約上線前做好安全測試,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防御部署。[2019/3/15]
剛剛我講的智能合約本身的技術特點,還有區塊鏈技術特點,導致安全事故非常特殊的特點,從技術角度考慮,還有一個角度我們平時各個公共場合大家提到比較少,但是在我們團隊看來恰恰也是目前最復雜最難掌控的地方,這就是社會約束。
我在這里羅列兩條,現有的法律法規缺乏對數字資產的保護,當我說這個問題的時候有朋友說,在我們國家關注到最近一兩年關注數字貨幣法律的信息會說,我們國家在民法典出臺具體的措施,保護數字資產,但是請大家注意,這樣的一些條款和民法典里面,不管是我們國家的法律以及世界各國的法律,對傳統資產的保護力度和廣度跟他們相比是無法相比的,所以現在全世界各國對數字資產的保護,在法律上面都是不規范,不完善,不完備。
第二點現有的法律缺乏對區塊鏈的應用和監管。現有的法律對所有的傳統應用,互聯網應用也好,他有一個約束性,有一個規范,但是這樣的法律對智能合約的規范,目前在全世界任何一個國家幾乎一個都沒有,最近在美國,美國的某些州已經成人智能合約的某些法律效應,但是這是吃螃蟹而已,只是嘗試而已,真正在具體落地或者是未來實現過程當中存在什么問題會產生新的問題或者是新的方式,我們目前都不得而知,在這方面也是一片空白。
所以,智能合約本身的問題,區塊鏈技術本身的問題,以及智能合約應用缺乏的社會約會導致智能合約的安全有非常特殊的地方,所以,造成的事故這么頻繁,造成的危害這么大。
剛剛我跟大家分享的是安全的一些特殊性,下面我和大家分享一下我們團隊目前對所有在智能合約安全領域發生的事故我們一般分成三類,第一類是已知風險,第二類是潛在風險,第三類是人為風險。
什么是已知風險,已知風險我們現在在技術領域技術團隊或者是業界根據以往所有發生的安全事故所總結出來的一些安全的特點,一些事故的特點,總結出來的一些規律,我們知道了這些規律,知道了這些事故的特點和特性我們很容易判斷,所以我們稱之為是已知的風險。
潛在的風險是什么,這些風險從來沒有出現過,或許在我們運行的智能合約里面,但是我們不知道,或者說這些風險暫時因為條件不成熟,還沒有被觸發,這是潛在風險。
第三個是人為風險。我羅列了11個風險,實際上,并不是說在智能合約領域只有這11個風險,我羅列這11個風險,這是目前出現比較頻繁的風險,而且我們見到比較多的風險,具體到每個風險,在業界有很多的分析和講解,在這里我不和大家細說。
我們舉一些更詳細的例子講講已知風險和潛在風險和人為風險。我們看看這個風險,在座的朋友們有沒有在2018年4月份之前上一輪進入幣圈(有),那一輪的牛市瘋狂,瘋狂到什么地步,不僅很多小白用戶進來,而且傳統的IT界的大佬在這個領域,美鏈跟某一位傳統的IT公司有非常深的關系,他做了什么事情,他發布一個智能合約出現一個重大的安全漏洞,什么漏洞?在一行代碼計算過程當中沒有使用安全的數學庫,導致計算溢出,溢出導致的代幣被巨量增發,導致價格暴跌。這是2018年4月22日。
在此之前可能這樣的事故叫做潛在風險,現在這個事故發生以后,在業界我們用技術分析出來出現安全事故的原因以及可能出現的征兆和特點,我們現在稱之為已知風險,這是已知風險的典型。
第二個案例,2020年312,比特幣和以太坊全部報鐵,比特幣跌到4000美元以下,以太坊跌到100美元,在比特幣和以太坊暴跌以后,MakerDAO出現瘋狂擠兌的機制,最后發現是機制設計的問題。
接著紅薯被攻擊,20206年6月份,YAM被攻擊,紅薯這個項目非常有名,這個項目被攻擊以后,它的創始人在推特上面發了一段話,對不起,我們失敗了,這么大的事故是怎么產生的,主要是因為邏輯運算中缺乏分母,就是這么簡單。
第三個案例,是YFI是去年一整輪過程當中,運行大半年沒有出現問題,今年二月份出現問題,這個事件的出現是因為出現了一個應用方式善待貸導致穩定幣的價格被操控。還有TSD被攻擊,我們審查合約代碼的時候,如果不是對邏輯理解特別深刻,紅薯被攻擊的除法算法不對,幾乎很難被發現,另外三個更加困難,是治理機制出現了問題,而不是代碼的問題,這個問題更難發現,對于這樣的問題我們歸結為潛在問題,潛在的問題以前有,今天有,未來還有,甚至包括我們所有運營的這么多合約上面,雖然很多都通過了很多公司的審計,但是我們依然擔心里面還存在著很多潛在的大量的隱患,只不過這些隱患由于條件不成熟,沒有被觸發而已。潛在問題是對整個安全行業以及整個區塊鏈行業最大的挑戰,也是我們著力最重的地方。
還有一個是人為風險,因為時間有限,后面的內容我講快一點,人為的疏忽跟代碼的關系更少,幾乎是因為人為的管理方面出現問題,我前面講了安全的特殊性以及安全有哪些問題,下面我和大家講一個非常重要的事項,也就是說,我們作為智能合約的審計公司,我們最重要的事情是做什么,就是為項目審計智能合約代碼,看里面有沒有安全事故,我剛剛在展臺的時候有很多朋友過來問我們,你們寫的這些報告對我們普通投資者小白來說到底有什么作用,我在這里講,作用非常非常大。很多小白用戶看到我們寫的報告,這是技術文檔,雖然是技術文檔,但是里面有一部分內容非常通俗易懂,并且跟你的利益密切相關的。
在我們的報告里面這部分關鍵的內容就是我們整個審計報告里面的第一章,在我們審計報告當中的第一章,我們會開宗明義寫這個項目是做什么的?這個項目的合約有什么功能?以及在我們審查過程當中,我們發現這個項目的風險沒有?所以,對于任何用戶而言,當你看一個項目的時候,如果這個項目有我們的審計報告,我個人建議處于你對自己投資利益的保護和自己利益的關心,無論如何你要看一看審計報告,當你拿到這份審計報告的時候,你可以不堪其他的章節,但是一定要看第一章,看完第一章,基本上不用花5分鐘的時間你就能夠明白這份合約安全不安全或者說這個項目通過我們公司審計的時候發現存在的問題,項目方是怎么處理這些問題,起碼可以看到項目方對于處理問題的態度,對于你投資項目而言是參考的作用。
所以我強調審計報告一定要看,如果各位拿到是我們公司出的審計報告,關于技術部分不用看,但是一定要看第一章,第一章報告是我們對整個審計過程的精華和總結,看完第一章不需要5分鐘,5分鐘時間內大致理解這個項目做什么,合約是干什么的,安不安全,以及在審計過程當中出現什么問題。
注:原文作者是UMA協議創始人Hart Lambur。我們在UMA遇到的一個常見問題就是如何定義“合成資產”.
1900/1/1 0:00:00最近,Sequoia、Andreesen Horowitz、Social Capital、Coinbase Ventures、Pantera Capital和Reddit聯合創始人Alexis.
1900/1/1 0:00:00本期嘉賓 :Alex Yang,北大數學系學霸,美國西北大學數學博士,現任VSYS首席執行官 01 NFT到底是什么? 02 從幾個奇怪的現象聊起,進入一個離奇的NFT兔子洞.
1900/1/1 0:00:00Coinbase聯合創始人兼首席執行官Brian Armstrong發表公開信稱,今天在納斯達克上市是一個里程碑,但Coinbase在此前每一天的努力工作同樣重要.
1900/1/1 0:00:00DeFi數據 1.DeFi總市值:1228.49億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:43.
1900/1/1 0:00:00隨著比特幣(BTC)在全球范圍內獲得廣泛認可,其所代表的價值可謂水漲船高,如今 1 BTC 就能兌換成約 58154 美元的 “真金白銀”.
1900/1/1 0:00:00