借著Euler黑客事件,聊聊DeFi的安全審計和安全。
大的DeFi協議基本上都經過多輪審計,我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀,但藍籌DeFi沒哪個沒被黑過這里原因很簡單,簡單的數學問題從攻防來看,所有靜態審計的輸入和輸出(發現bug)都是有限的。
除了常規審計,Euler還用了Certora做形式化驗證,這個我們之前也用過,形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍,但是無法窮盡“未知的未知”。DeFi是一個開放系統,對于黑客來說,它的輸入是無限的,輸出也是無限的。假設把安全攻防看成挖礦,你守方用三五臺機器算哈希挖礦。
開發者:Uniswap V3 路由合約存在 bug:1月22日消息,推特名為jeiwan.eth的開發者發現UniswapV3路由合約存在bug,交易中未被花費的以太坊會被保留在合約中,而不是退回給調用者。[2023/1/22 11:26:03]
攻方無數機器時刻在算哈希,只要算對一次就贏了;這個輸贏面對比是明顯的。靜態的安全審計,由于輸入輸出固定,無法覆蓋已知的未知,更無法覆蓋未知之未知。所以出現另一種審計,叫開發式競爭型審計,如Code4rena,審計獎金池固定,但是輸入在一定時間內是彈性的,所有人都可以參加,誰發現bug。
價值約3795萬美元的ETH從未知錢包轉入Coinbase:金色財經報道,據Whale Alert監測,31979枚ETH于今日07:06從未知錢包轉移至Coinbase,價值約3795萬美元,交易哈希為:0xb7f2cae8972ca517350c6b9b9b31304c4bf2d99d742334da741ebbcf293f3c07。[2022/12/29 22:14:02]
按照嚴重程度,分獎金,這個方式是讓審計師/白帽去卷,可以擴大覆蓋面,但總體輸入依然固定,遠遠不夠。最后是完全開放的模式,那就是賞金網絡,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平臺,我建議每個DeFi在上面發bounty,親測效果十分明顯。Immunefy的獎金項目方會給非常高。
美國法院 “部分”駁回了針對Nexo “錯誤”暫停使用Ripple的集體訴訟:8月24日消息,美國地方法官Beth Labson Freeman最近駁回了Ripple(XRP)持有人針對加密借貸平臺Nexo Capital提起的集體訴訟。盡管駁回了訴訟, 但Freeman法官仍裁定Nexo必須在新訴訟中面對其他索賠, 因為在沒有適當通知用戶的情況下錯誤地停止了對XRP的支持。
原告Jeong于2021年4月對Nexo提起訴訟,聲稱加密貨幣借貸平臺Nexo暫停XRP給其客戶造成了價值500萬美元的損失。[2022/8/24 12:45:25]
比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金,但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的,這個類似于黑客的攻擊模式。
但兩者激勵模式很大區別。假如把兩者當成是抽獎,同樣1000w獎金池,賞金模式獎金一般都會在10w-30w刀封頂黑客模式是100%獎金全拿走這兩種模式,同等投入,同樣中獎概率,假設沒有犯罪成本,毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%,也跑不贏黑客池,除非把犯罪成本加入等式。
有人建議把賞金比例和TVL掛鉤,比如10%,是否會激勵更多黑客轉白帽?首先,沒哪個defi協議能支付10%TVL的賞金,其次,遇到真黑客,他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面,還有可組合風險。
攻擊面上,DeFi本身隨著整合增加,攻擊面是四維增長的,定期靜態安全審計加長期賞金,也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲,唯一靠譜的是在協議上減少外部依賴,最小化攻擊面,盡量待在“自己的舒適區”,不亂做擴展對開放系統來說,安全代價就是自由的代價。
一、錢包與Web3應用的困境錢包在Web3世界是資產、身份、賬號的統一體,加上其在不同應用之間的一致性和可組合性,其重要程度甚至超過了微信或Google賬號在傳統世界位置.
1900/1/1 0:00:00@Mikemoo75197959Mike老師3月2日扔8848里的gitcoin捐款,捐款結束后,凌晨產生了巨大的泵,這是泵的背后我們可以了解到的一些信息和資訊.
1900/1/1 0:00:00Arbitrum?生態系統正在起飛,數據分析師@defi_mochi?使用Flipside分析了所有?DefiLlama上?Arbitrum的數據.
1900/1/1 0:00:00在加密友好銀行?Silvergate?Bank?(SI)爆出無法按時提交年度財報,并正在評估其持續經營的能力后,該公司股價在周四暴跌近60%,盤中觸及52周新低,收盤價跌至5.72美元.
1900/1/1 0:00:002023年3月10日,加州監管機構金融保護與創新部緊急宣布關閉硅谷銀行,并委托聯邦存款保險公司(FDIC)接管,硅谷金融界曾經的寵兒陡然隕落,SVB成為首家在2023年倒閉的FDIC承保機構.
1900/1/1 0:00:00注:本文來自@angalina2021推特,MarsBit整理如下:1/n看了一個有趣且巧妙的新項目@InfPools,是建立在Univ3AMM機制上的無限抵押借貸協議,無需預言機.
1900/1/1 0:00:00