SOL:借著Euler黑客事件 聊聊DeFi的安全審計和安全

大的DeFi協議基本上都經過多輪審計，我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀，但藍籌DeFi沒哪個沒被黑過？這里原因很簡單，簡單的數學問題從攻防來看，所有靜態審計的輸入和輸出（發現bug)都是有限的。

除了常規審計，Euler還用了Certora做形式化驗證，這個我們之前也用過，形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍，但是無法窮盡“未知的未知”。DeFi是一個開放系統，對于黑客來說，它的輸入是無限的，輸出也是無限的。假設把安全攻防看成挖礦，你守方用三五臺機器算哈希挖礦攻方無數機器時刻在算哈希，只要算對一次就贏了；這個輸贏面對比是明顯的。靜態的安全審計，由于輸入輸出固定，無法覆蓋已知的未知，更無法覆蓋未知之未知。

香港富邦銀行與Ripple合作開展房地產代幣化項目:金色財經報道，香港金管局啟動數碼港元（eHKD）先導計劃，參與銀行之一的富邦銀行聯合金融科技公司Ripple推動房地產代幣化方案。富邦銀行（香港）執行副總裁兼首席策略官許洛圣表示，將于第三季進行測試，測試會先用于加按客戶，客戶透過網上銀行提交加按申請，富邦會透過合作方Ripple的技術，將財產留置權代幣化，并以今次測試專用之數碼港元發放貸款，加快流程；客戶取得貸款后，可在其他支付測試用例使用相關之數碼港元，以推廣數碼港元。[2023/7/29 16:06:07]

所以出現另一種審計，叫開發式競爭型審計，如Code4rena，審計獎金池固定，但是輸入在一定時間內是彈性的，所有人都可以參加，誰發現bug按照嚴重程度，分獎金，這個方式是讓審計師/白帽去卷，可以擴大覆蓋面，但總體輸入依然固定，遠遠不夠。最后是完全開放的模式，那就是賞金網絡，DeFi里最出名的Immunefy，云集最多DeFi白帽高手的平臺，我建議每個DeFi在上面發bounty，親測效果十分明顯。Immunefy的獎金項目方會給非常高。比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金，但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的，這個類似于黑客的攻擊模式。

期權交易分析工具平臺SignalPlus集成Deribit加密貨幣衍生品交易:12月28日消息，期權交易分析工具平臺SignalPlus宣布集成Deribit加密貨幣衍生品交易，Signal Plus用戶可直接在平臺上交易加密貨幣衍生品。Deribit用戶也可以通過Signal Plus連接其Deribit賬戶API進行交易從而使用平臺風控、可視化數據等功能。Signal Plus表示將向早期支持者空投限量版NFT。[2022/12/29 22:13:16]

但兩者激勵模式很大區別。假如把兩者當成是抽獎，同樣1000w獎金池，賞金模式獎金一般都會在10w-30w刀封頂，黑客模式是100%獎金全拿走。這兩種模式，同等投入，同樣中獎概率，假設沒有犯罪成本，毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%，也跑不贏黑客池，除非把犯罪成本加入等式，有人建議把賞金比例和TVL掛鉤，比如10%，是否會激勵更多黑客轉白帽？?

Ripple CTO：去中心化系統非常民主:金色財經報道，Ripple CTO??David Schwartz在回應有關 Solend 清算危機的推文時認為，去中心化系統非常民主。作為 Solana 的 DeFi 協議的核心，Solend 是一個匿名錢包，它存放了 Solend 整個 SOL 池的 95%，代表了 USDC 借款的 88%。據報道，隨著 SOL 的價格暴跌，Solend 最大的單一用戶使用的錢包危險地接近巨額追加保證金通知。如果 SOL 達到 22.30 美元，該協議將自動清算高達 20% 的鯨魚抵押品。

Solana 協議工程師擔心數百萬美元的清算可能會使 Solana 的去中心化交易所不堪重負，從而導致網絡癱瘓。他們設法通過投票來控制鯨魚錢包并通過場外交易更順利地對其進行清算。（U.today）[2022/6/21 4:41:32]

?首先，沒哪個defi協議能支付10%TVL的賞金，其次，遇到真黑客，他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面，還有可組合風險攻擊面上，DeFi本身隨著整合增加，攻擊面是四維增長的，定期靜態安全審計加長期賞金，也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲，唯一靠譜的是在協議上減少外部依賴，最小化攻擊面，盡量待在“自己的舒適區”，不亂做擴展。對開放系統來說，安全代價就是自由的代價

Tags：EFIDEFIDEFSOLAmun DeFi Momentum IndexClever DeFiDeFi Omegasol幣總量固定嗎

FTT