Hegic出事，Trail of Bits該背鍋嗎？來看看Hegic代碼評審報告_TRA:magic幣值得投資嗎

撰文：MyCrypto

翻譯：PerryWang

來源：鏈聞

對那些懶得打開PDF文檔的讀者，這里給大家概括一下「審計報告」。

對那些根本一點不懂的小白來說：

這是一份審計報告的摘要

摘要中有投資預警

閱讀審計報告你需要字斟句酌。讀這份摘要就清算多了。

第一部分：事實陳述

何時審計，用時多少天

具體審計了什么

由誰進行了審計

就算是小白都知道這種規模的合同，一個工程師用時兩天進行審計，不會讓我買賬。16個小時就想搞懂所有代碼、找到bug，找到攻擊方法，然后完事交差？

1.1一位熟悉系統底層架構和理念的專家面對總量很小、非常簡單、語言非常漂亮的代碼庫，也許能做到這一點。

此外，他們沒有時間考慮代碼的經濟影響。

美國司法部據稱就Archegos爆倉案啟動調查:美國司法部正在調查Bill Hwang的Archegos Capital于3月份爆倉之事。據不愿具名談論這項保密調查的知情人士透露，曼哈頓的聯邦檢察官向至少一些與該公司打交道的銀行發出了信息提供要求。目前尚不清楚當局正在調查哪些潛在違規行為或實體。檢察官發言人表示不予置評，Archegos發言人未立即回復置評請求。[2021/5/27 22:48:45]

1.2只進行了小型審計，可能是由于Hegic財力所限，我對此表示贊賞。但是，審計的目的是要避免發生壞事，不要將審計作為一種促銷手段，出了問題不能說「不是我們的錯，只能怪安全審計機構@trailofbits！」

1.3要改善審計的投資回報率，更簡單的方式是讓審計人員的工作變得更簡單

代碼干凈+恰當的論述

使用所有免費工具來發現基本問題，以便專家可以專注于復雜的問題

請他人幫忙查看代碼，提出問題

提供文件，提供摘要+重點/關注領域

第二部分：看看他們在尋找什么問題+找到了什么問題

值得注意的提示：

有三個領域，也被稱為「糟糕情況可能出現嗎？」

三個領域的答案都是「是Yes」，程度級別不同而已。

另外他們認為這些風險與算法有關

雪崩協議Avalanche已發布AvalancheGo v1.1.3:1月16日，去中心化服務平臺雪崩協議Avalanche?（AVAX）官方宣布，AvalancheGo v1.1.3已發布，此次為可選更新。[2021/1/16 16:19:15]

(審計報告圖片中譯)

從資金池竊取財產

以低于預期的行權價創建期權合約

免費創建期權合約我們發現多數問題與算法有關，包括

如果資金池代幣的供應量低于資產供應量，攻擊者可以吸干資金

如果ETH價格低于1美元，期權合同行權價可以為0

當流動性增加，資金池惡意參數可以允許0鑄幣

有多個問題可能導致惡意合約所有者傷害Hegic用戶，包括：

通過費用收取來竊取期權資產

2.1稍后將詳細介紹算法方面，但接下來看看@ChrisBlec所謂的「管理員漏洞」，比特幣至上主義者會以此為例證發表所謂中心化目前優于DeFi的胡言亂語。

他們說的都沒有錯。你可能不喜歡這個事實，但只能接受它。

有多個問題可能導致惡意合約所有者傷害Hegic用戶，包括：

ZG.COM于12月22日上線GRT、EASY、HEGIC、FRONT:據官方公告，ZG.COM主板區于12月22日11:00上線GRT、EASY、HEGIC、FRONT，目前均已開啟充幣和提幣業務。[2020/12/21 15:58:56]

通過費用收取來竊取期權資產

將資金困在期權合約中，阻止流動性提供者撤資

可以免費創建期權合約

2.2<這里插入有關去中心化的漸進論證>

無論如何，你應該注意到這種可能性以及知道審計人員在上面花了時間。在一個全新的金融體系中發現所有的漏洞攻擊方法，這16個小時中有多少時間被用于驗證有效的、已知的攻擊方法？

2.2只有16個小時找到所有攻擊方法

數學/密碼學中的Bug

比如重入攻擊

金融/經濟方面的影響

內部作惡者

外部惡意攻擊者

意外錯誤/意外結果

資金損失

等等等等。

16個小時不可能搞清楚這一切。絕無可能。

2.3審計機構永遠不會說：「這些代碼爛的像臭狗屎」。

Andre Cronje與Hegic匿名創建者成立300萬美元的DeFi基金:yearn.finance（YFI）創始人Andre Cronje與鏈上期權協議Hegic的匿名創建者Molly Wintermute共同成立了300萬美元的DeFi基金“M＆A”，該資金由Hegic DevelopmentFund撥款，旨在投資DeFi項目的核心開發人員和代碼。MollyWintermute表示，想要獲得投資的開發人員只需向其展示代碼，而不需要宣傳資料。“M＆A”發推表示，該基金僅投資DeFi協議或項目，不需要任何來自其他基金等的投資。[2020/11/10 12:09:55]

捫心自問，為什么他們指出蛛絲馬跡。不要指望他們徹底告訴你想要的東西或他們自己的反應。這就是事情被忽略的完美例證，因為它沒有成為Twitter熱門話題：另外我們還發現，當資金池增加或減少資產時會出現賬簿記錄錯誤，沒有體現出期權合約中的相關資產，因此攻擊者可能竊取資金池中資產。

2.3我來幫你。

Hegic內的合約并不清楚合約中的資產被誰以何種方式偷走。

我實在不明白如果都不清楚這些情況，資金池還怎么運轉。老人看手機臉。

另外請注意：記賬簿。

第三部分：推薦

這一直是最重要的部分，因為這里是審計機構字斟句酌的部分。

在實際的審計報告中，會向Hegic指出需要解決的大量代碼、漏洞及事情。但這篇摘要是供外部人了解所用的。是給我們普通人的。

動態 | ECAF 發布緊急仲裁令 要求凍結賬戶 gizdkmjvhege:據IMEOS消息，ECAF 發布了最新的緊急仲裁令，要求 BP 凍結賬戶 gizdkmjvhege。本次仲裁令與 HireVibes 空投（HVT）被盜有關。此前，第三方服務提供商私鑰泄露，受害者賬戶的大量糖果在非本人操作下轉入到了 sym111111add 賬戶，隨后該賬戶在去中心化交易平臺 Newdex 套現 2514 EOS， 這筆 EOS 隨后又被轉入到 gizdkmjvhege 賬戶。該仲裁令已在鏈上發布。[2018/11/16]

由于發現的算法問題較多以及時間限制，無法進行深入的算法驗證，(審計機構)TraitofBits推薦使用符號執行和fuzzing測試合約的變量。代碼庫中可能存在更多問題。

另外TraitofBits作出以下推薦：

未來開發利用crytic.io。采用該平臺發現兩個問題。

評估和記錄合約所有者特權

驗證和記錄不同合約之間的資產記賬

評估和記錄系統的套利機會

推薦用戶在保障資產的前提下使用提供資產和撤資功能

3.1一定做更多來確保安全！！！

3.2我們真的沒有時間展開深入講，基本的數學問題已經占用了大部分時間，我們連數學問題都沒搞懂，更別說更大范圍的問題了。

3.3我們當然知道有更多問題，你現在知道了。

3.4你付錢給我們找一些自己本可以用更便宜的方式找到的基本問題，然后付錢給我們找到了另一個錯誤。

3.5你們的項目文檔記錄匱乏實在令人厭惡，我們在五點建議中用三條的篇幅去描述這個問題，因為這是你們發現問題、并為安全人員/白帽黑客提供挽救用戶資產的最佳機會。

3.6評估合約所有者的特權：我們的工作不到位。

驗證你們的算法：小心打補丁。重新查驗一切因為你們的算法真的太爛了。

驗證套利交易：我們都還沒開始考慮這個問題。

也許你們在寫文檔的時候就會發現問題了。

3.7我真的不知道怎么收尾。

通常在完整審核中，你會發現帶有代碼片段的內容。事實是這一行代碼有分量。

3.8或者是他們選擇讓讀者注意到最后一句特別重要，或者他們也意識到「我們真的檢查了所有東西/所有功能了嗎」？在概要最后扔下一句。

不管是哪種情況，依據這份審計報告，這是致命硬傷的所在地。

總體心得

1@trailofbits沒有足夠時間在最佳狀況下完成審計。

2代碼庫沒有提供「最佳狀態」。

3沒有文檔紀錄。

4要構建金融系統，必須要有出色的數學/記賬簿/會計能力。

Hegic有太多問題，讓@trailofbits的審計工作更麻煩。但更重要的是，這里存在根本性問題。這一解決方案「更重視數學，在數學方面也更出色」，但「在審計方面很糟糕」。

5Hegic無權利用這份審計報告宣稱自己是個安全的系統，或者像當前這樣轉嫁責任「甚至trailofbits都沒有發現問題！」

6Hegic將審計當作敷衍他人的擋箭牌，而不是為了切實保護用戶或者了解及確保系統的安全。這種態度顯示團隊對用戶利益的漠視，可能是一種性質惡劣的文化，對我而言總是拉響警報。

7Hegic項目目前不該推出。如果他們是被槍指著頭被迫發布產品，他們也應該宣稱自己是未經審計的、受限的Pre-alpha項目。

8@trailofbits沒有提到測試。不確定他們為什么在其他審計中有測試。也許是因為在測試前的基本文檔就有問題？

有點像如果我的院子里長滿了6英尺高的野草，我就去考慮修剪更高的灌木問題。

9作為社區一個整體，我們需要注意，即使是名頭最響亮機構所做的審計報告，也不意味著是安全的。也許還更不安全。

來源鏈接：twitter.com

Tags：HEGICGICTRACHEhegic幣怎么樣magic幣值得投資嗎TRACE幣櫻桃幣CHE騙局

Gateio