以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

借著Euler黑客事件 聊聊DeFi的安全審計和安全_EFI:DAM

Author:

Time:1900/1/1 0:00:00

大的DeFi協議基本上都經過多輪審計,我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀,但藍籌DeFi沒哪個沒被黑過?這里原因很簡單,簡單的數學問題從攻防來看,所有靜態審計的輸入和輸出(發現bug)都是有限的。

除了常規審計,Euler還用了Certora做形式化驗證,這個我們之前也用過,形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍,但是無法窮盡“未知的未知”。DeFi是一個開放系統,對于黑客來說,它的輸入是無限的,輸出也是無限的。假設把安全攻防看成挖礦,你守方用三五臺機器算哈希挖礦攻方無數機器時刻在算哈希,只要算對一次就贏了;這個輸贏面對比是明顯的。靜態的安全審計,由于輸入輸出固定,無法覆蓋已知的未知,更無法覆蓋未知之未知。

Damus:蘋果應用商店將于本周二下架Damus,將繼續提出上訴:金色財經報道,基于Nostr協議的開放社交應用Damus發推稱,即使Damus已經更新了應用程序,明確表示用戶付費后不會解鎖任何數字內容,但蘋果應用商店還是于周二下架Damus的決定沒有變化,Damus將為此繼續提出上訴。[2023/6/27 22:02:16]

所以出現另一種審計,叫開發式競爭型審計,如Code4rena,審計獎金池固定,但是輸入在一定時間內是彈性的,所有人都可以參加,誰發現bug按照嚴重程度,分獎金,這個方式是讓審計師/白帽去卷,可以擴大覆蓋面,但總體輸入依然固定,遠遠不夠。最后是完全開放的模式,那就是賞金網絡,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平臺,我建議每個DeFi在上面發bounty,親測效果十分明顯。Immunefy的獎金項目方會給非常高。比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金,但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的,這個類似于黑客的攻擊模式。

比特幣挖礦難度上調3.4%至51.23T,再創歷史新高:6月1日消息,BTC.com 數據顯示,比特幣挖礦難度于區塊高度 792288 處迎來調整,挖礦難度上調 3.4% 至 51.23 T,再創歷史新高。目前全網平均算力為 376.23 EH/s。[2023/6/1 11:51:19]

但兩者激勵模式很大區別。假如把兩者當成是抽獎,同樣1000w獎金池,賞金模式獎金一般都會在10w-30w刀封頂,黑客模式是100%獎金全拿走。這兩種模式,同等投入,同樣中獎概率,假設沒有犯罪成本,毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%,也跑不贏黑客池,除非把犯罪成本加入等式,有人建議把賞金比例和TVL掛鉤,比如10%,是否會激勵更多黑客轉白帽??

某巨鯨持有者于今日轉移177,69枚BTC,價值約合4.99億美元:4月5日消息,據 mempool.space 數據顯示,某 BTC 巨鯨持有者在比特幣區塊高度 784,060 處(北京時間 22:46)轉移大量 BTC,將 177,69 枚 BTC 從 177 個零散地址整理至單一地址,價值約合 4.99 億美元。[2023/4/5 13:46:37]

?首先,沒哪個defi協議能支付10%TVL的賞金,其次,遇到真黑客,他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面,還有可組合風險攻擊面上,DeFi本身隨著整合增加,攻擊面是四維增長的,定期靜態安全審計加長期賞金,也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲,唯一靠譜的是在協議上減少外部依賴,最小化攻擊面,盡量待在“自己的舒適區”,不亂做擴展。對開放系統來說,安全代價就是自由的代價

Tags:DEFIDEFEFIDAMdefi幣種DeFi on MCWSEFI價格BDAMM價格

火必交易所
Yuga Labs 擁抱比特幣 NFT 說明了什么?_NFT:比特幣走勢圖實時行情

原文:MikeBelshe 圖為YugaLabs發行的TwelveFold系列1號NFT,價值15萬美元現在正是比特幣發展最微妙的時候.

1900/1/1 0:00:00
幣安推出的Bicasso大火背后 還有哪些NFT項目正展開生成式AI敘事_NFT:CAS

3月1日,幣安宣布發布AI驅動的NFT生成器測試版“Bicasso”,用戶可通過上傳提圖片并輸入關鍵詞進行AI運算后生成NFT.

1900/1/1 0:00:00
解構 Silvergate 危機:擁有千名頂級客戶的加密銀行為何破產?_LVE:SIL

原文作者|DaniloLantas 原文編譯|白澤研究院 是不是覺得加密市場最近表現得有點奇怪?上周,加密行業最重要的銀行Silvergate關閉了其交易網絡SEN.

1900/1/1 0:00:00
我如何在Crypto中 3年1000倍to $10M?_CRYP:PepeCoin Cryptocurrency

原文作者:VINCERO我是如何進入?Crypto?的?2017?年,在?Bali,當時也算是個?Nomad,但是還不懂什么是?Crypto.

1900/1/1 0:00:00
奇妙的化學反應:Euler Finance 被黑分析_HER:DAI

By:?九九&Zero據慢霧安全團隊情報,2023年3月13日,Ethereum鏈上的借貸項目EulerFinance遭到攻擊,攻擊者獲利約2億美元.

1900/1/1 0:00:00
金色晚報 | 3月4日晚間重要動態一覽_USDT:MUSD價格

12:00-21:00關鍵詞:Base、西班牙、Tether、Binance.US、RippleCEO1.西班牙弗拉門戈海灘出現廣告標語“用Bitcoin買房子”;2.

1900/1/1 0:00:00
ads