DeFi項目正式部署前,通過合約的安全審計,不僅可以對項目的代碼規范、漏洞情況以及業務邏輯等方面進行全局核查。同時,項目審計對于項目方在投資市場的形象也具有一定塑造作用。
市場投資者在遴選項目時,如有項目方加持合約審計經歷,并對審計方、審計報告等信息進行公開披露,投資可信度無疑會大幅提高。并且,項目方完善的安全立場建設意識,在無形中也將賦予項目額外的價值。
與此同時,DeFi項目方在運營過程中,保持與安全審計公司的長期業務合作,不論是對安全管理還是業務擴展都將大有裨益。畢竟,在項目長期發展過程中,階段性安全審計機制能夠及時發現和有效助力解決整體、局部的風險問題。
那么,DeFi合約審計的主要流程、內容以及特點,那些“套路”又是什么呢?
套路一:前期“把脈”
與DeFi項目方的合約審計合作關系達成后,在了解項目整體情況,包括構架、業務設計等方面的基礎上,指派具有相關項目審計經驗的安全測試團隊進行專項服務,同時,明確項目檢測范圍以及相應需求側重點。做好前期“把脈”,其主要內容包括:
數據:當前DeFi協議總鎖倉量為2565.7億美元:11月4日消息,據Defi Llama數據顯示,目前DeFi協議總鎖倉量2565.7億美元,24小時增加0.51%。鎖倉資產排名前五分別為Curve(199.8億美元)、Maker DAO(182億美元)、AAVE(154.9億美元)、Convex Finance(144.5億美元)、WBTC(143.4億美元)。[2021/11/4 21:25:48]
1、?DeFi項目方提供真實、有效且為審計所需的各項技術、代碼、文檔等資料。
2、?正式進入檢測環節前,安全團隊將對提供的材料進行全面評估,以確定周期。
3、?確定測試服務范圍,包括定向模塊、局部代碼、全面安全審計等。
4、?完成相關需求對接,即對源代碼、應用程序、文件信息、測試環境的最終確認。
為了對DeFi項目合約的代碼規范性、安全性以及業務邏輯等方面進行嚴格的安全審計,在測試明確后,處理合約審計的常規方式有:
NEAR生態DeFi Hub NearPad完成200萬美元種子輪融資:據官方消息,面向NEAR生態系統的DeFi Hub NearPad宣布完成200萬美元的種子輪融資,NGC、NEAR Foundation、LD Capital、OWC、Ellipti、Flow Ventures、SuperNova Fund、ExNetwork、Genblock Capital、Arkn等參投。該筆融資將用于構建NearPad路線圖上的功能,擴大開發團隊,使其能夠更快地發布產品,更好地優化產品,進行孵化和拓展市場,而不是依賴于公募或treasury。[2021/8/11 1:48:59]
形式化驗證
靜態分析
動態分析
典型案例
人工審核
套路二:形式化驗證
形式化方法是實現安全、可信軟件的最可靠的手段,它利用基于數學的符號系統給出軟件正確性、安全性的嚴格定義和形式證明。其中,嚴格定義被稱為形式化規范,是一種用清晰、簡明的手段來刻畫軟件功能或特性的邏輯表達式。
DeFIL全球社區發起人Marvin:DFL銷毀機制是2.0的重要改變之一:據官方消息,7月26日晚,DeFIL社區聯合戰狼超算社區開展了主題為“域見未來·重構價值——DeFIL即將開啟2.0時代”AMA活動,并邀請了DeFIL全球社區發起人Marvin進行分享。在談及DeFIL2.0時Marvin表示:“ 2.0最重要的一個改變之一,是加入了銷毀機制,就是DFL的銷毀。我們是把30%的利息收入,還有30%的挖礦收益用于回購DFL,并打入ETH的黑洞地址,這些都是在智能合約里面自動執行的。有了銷毀機制,DFL的價值支撐就更加堅實,所有人的回報也會更有保證。”[2021/7/26 1:16:44]
在合約審計中,形式化方法通過的是定性需求屬性,從而證明程序不存在某類安全漏洞。另一方面,傳統測試方法則是通過檢查代碼在一組選定的輸入上是否按照預期運行,以此說明程序是否存在安全漏洞,但這無法證明同類型安全漏洞不存在。
此外,傳統測試方法很容易漏掉在罕見或惡意構造場景下觸發的錯誤,以及由于大量“不可能事件”連續發生導致的錯誤。然而,形式化方法則可通過明確代碼意圖、提供輸入空間的完整覆蓋來發現上述微妙錯誤,進而實現程序的安全性、可靠性增強。
報告:DeFi不會立即對傳統金融機構造成威脅 但會提供可以借鑒的解決方案:Crypto.com聯合波士頓咨詢集團BCG旗下數字化實施咨詢團隊BCGPlatinion發布了一份關于DeFi的新報告。報告在概述DeFi的優點和缺陷后總結稱,若DeFi想要大幅提升采用率,則需關注以下六個重要事項,包括區塊鏈吞吐量和高網絡費用、流動性、安全和智能合約風險、需超額抵押、監管風險等。另外,報告指出,DeFi或將通過提供一種既便宜又快速的替代方案來解決傳統金融領域中關于支付、借貸以及交易所等的低效率、高成本的問題。盡管絕大多數金融人士質疑DeFi究竟能否完全解決傳統金融領域所面臨的挑戰,而且DeFi也面臨著很多監管、安全等風險,但這并不意味著DeFi會立即威脅到傳統金融領域。相反,DeFi鼓勵商業金融機構、中央銀行和加密貨幣社區進行合作,以構建具有和技術彈性的新一代金融解決方案。在這種需求下,盡管DeFi的熱度會隨著炒作的消退可能會大幅下降,但隨著全球化的發展以及業務生態系統進一步轉向建立在共享治理和去中心化基礎上的新一代業務模型,對諸如DeFi之類的解決方案的需求將不斷增長,也會提供給傳統機構可以借鑒的解決方案。[2020/9/10]
成都鏈安創始人、多年形式化驗證研究專家楊霞教授表示,
Messari前主管:YFI代幣通脹計劃被否,讓人懷疑是否有很多Bitcoiner悄悄成為DeFi巨鯨:Messari前主管、股票及加密貨幣交易員Qiao Wang發推稱,YIP 30(一項增加YFI供應量的提議)遭到大多數人反對,這一事實讓我懷疑是否有很多Bitcoiner悄悄成為了DeFi巨鯨。
據此前報道,yearn.finance通過推特發布YFI代幣通脹計劃(提案YIP 30)的投票結果,10577393名投票者中,61.26%的人投反對票。yearn.finance表示,看起來代幣持有者反對進一步的代幣發行。推特用戶評論稱,這意味著YFI具有潛力并且供應量較低,將會使其比BTC更加看漲。[2020/8/2]
“傳統驗證手段無法窮盡可能的情況,而形式化驗證則可以做到窮舉,對智能合約漏洞檢測而言,該方法最為可信和有效。
作為針對以太坊智能合約安全檢測開發的定制化工具,成都鏈安的Beosin-VaaS一鍵式智能合約自動形式化驗證工具,可精確定位到含有風險的代碼位置并指出風險原因,有效檢測智能合約常規安全漏洞的精確度高達97%以上,為智能合約代碼提供‘軍事級’的安全驗證。”
套路三:代碼規范審計
在代碼規范審計中,主要測試項目有:
編譯器的版本問題可能會導致各種已知安全問題,開發者應在代碼中指定合約代碼采用最新的編譯器版本,并消除編譯器告警。
同時,Solidity智能合約開發語言處于快速迭代中,部分關鍵字已被新版本的編譯器棄用,如throw、years等,為消除其可能導致的隱患,當前編譯器版本已經棄用的關鍵字應被禁用。
在智能合約中,冗余代碼會降低代碼可讀性,并可能需要消耗更多的gas用于合約部署,因此,必須找出并消除冗余代碼。此外,合約中是否正確使用SafeMath庫內的函數進行數學運算需要嚴格檢查。
Solidity使用狀態恢復異常來處理錯誤,該機制將會撤消對當前調用及其所有子調用中的狀態所做的所有更改,并向調用者標記錯誤。
函數assert和require可用于檢查條件并在條件不滿足時拋出異常。assert函數只能用于測試內部錯誤,并檢查非變量。require函數用于確認條件有效性,例如輸入變量,或合約狀態變量是否滿足條件,或驗證外部合約調用的返回值。
以太坊虛擬機執行合約代碼需要消耗gas,當gas不足時,代碼執行會拋出outofgas異常,并撤銷所有狀態變更。合約開發者需要控制代碼的gas消耗,避免因為gas不足導致函數執行一直失敗。
另外,合約函數的可見性是否符合設計要求,以及在當前合約中是否正確使用了fallback函數都需要進行嚴格檢查。
套路四:DeFi安全漏洞審計
目前,業務邏輯漏洞在DeFi項目中最為常見。由于項目業務邏輯設計的不嚴謹,極可能導致項目在特定情況下出現內部失衡。
需要注意的是,DeFi項目基于區塊鏈智能合約開發,具有很多傳統金融體系以外的特性,比如:
單筆交易可發起多個內部交易,失敗可回滾
具有通縮性質的代幣
合約代碼不可修改
同時,審計中常見的還有合約權限錯誤,即合約中函數的可見性修飾錯誤。通常,這是由于調用者和參數沒有進行有效驗證,導致函數被惡意用戶調用,從而釀成巨大的損失。
類似傳統安全問題,錯誤的權限配置和無效的安全檢查都會給系統帶來巨大的風險。但不同的是,智能合約的不可修改性使得此類問題即便被發現也不一定能得到有效修復。
另外,重入漏洞也是審計的重點。具體而言,當合約向外發起call調用后,攻擊者可利用合約調用的特性反復調用函數,導致合約預期的執行順序發生錯誤,以此竊取目標賬戶的資產。
在審計中,代碼錯誤出現頻率也很高。這主要是由于開發人員失誤導致的一些代碼編寫錯誤。常見的有單位錯誤、忘記乘以精度、&使用錯誤等。在YAM漏洞事件中,代碼在進行彈性調整rebase時,其代碼正是忘記乘以精度,如圖所示:
在確保代碼和漏洞深度檢測的同時,項目業務方面也設置有業務邏輯和實現方面的相關審計,包括對DeFi項目中涉及代幣基本信息的檢查,以及代幣標準相關的函數的確認,特別是對鑄幣、銷毀代幣、更改owner及其它特殊權限的審查和風險分析。
很多項目中都存在代理轉賬的邏輯,在處理此類邏輯時,很多項目方會直接要求用戶授權最大值代幣給項目方的合約,如下圖所示:
如此一來,合約就有權將用戶資金全部轉走。此外,還有雙重授權的問題,項目方網站在進行授權時,發起了兩筆授權,一筆授權給合約地址,一筆授權給外部地址,如用戶對此沒有提防,將會面臨極大的資金風險。
套路五:審計報告
合約審計最終服務于DeFi項目中的資金安全,而這方面諸多問題的出現都與函數、算法的不當存在關聯。因此,合約審計就是要指出可能引發資金風險的內容,也就是潛藏隱患以及亟需修正的代碼、漏洞、邏輯等問題。
在審計報告中,除了審計時間、歷時以及審計人等基本信息外,還會體現對項目的投資預警提示。審計報告的核心內容,是體現受檢智能合約在設計和代碼實現等多方面、多維度的審計結果。同時,報告將指出發現的各類風險問題,并將其告知項目方以便修復。
通過審計報告,合約的風險成分,包括潛在可遭遇的攻擊,不同級別、層面的漏洞將被詳盡提示。只不過,安全審計報告中醒目的“通過”二字,不應該作為投資者僅有的投資判斷依據。
結語
合約審計并不屬于項目本身的利好消息,而是上線前必要的一項安全工作,無論是對項目方還是投資者都具有重大的意義。
投機市場或是狂暴或是蕭條,行走其間不按套路出牌,終將也會受制于“套路”。略瞥其中,唯有防患于未然的安全之峰,巍然。
Tags:DEFEFIDEFINEARDeFi.chvelodromefinance幣開盤價預測defi幣是什么near幣的價值
馮博毅:鯨魚入市速度驟減或使比特幣價格回升?鯨魚,泛指持有大量比特幣代幣的投資者/交易者。數據顯示,最近該群體已經停止向加密交易所存入資金.
1900/1/1 0:00:00尊敬的虎符用戶: 虎符將于2020年9月25日上線SLP(SmallLovePotion)和ARTE(ethart).
1900/1/1 0:00:00親愛的用戶:幣安合約將于2020年09月25日16:00對BTC、ETH、ADA、LINK當季0925幣本位交割合約進行交割.
1900/1/1 0:00:00尊敬的LBank用戶: 此前BGN項目在LBank募集結束后,發起了年化300%的活期持幣生息活動,因項目方在計息方式的告知中存在誤解,導致LBank公告中用戶收益部分中的ETH無法完成兌現.
1900/1/1 0:00:00北京時間9月24日8點,反映加密貨幣市場整體走勢的ChaiNext100指數報945.67點,過去24小時下跌4.33%,成交額497.49億美元,成交較前24小時減少1.57%.
1900/1/1 0:00:00加密貨幣采用新聞 據Criptonoticias報道,哥倫比亞政府已經為希望在新的監管沙箱中試用加密交易的公司開放了申請。公司必須在12月31日之前登記對有望進行為期一年的試點計劃的興趣.
1900/1/1 0:00:00