FAI:Fairyproof TechCEO譚粵飛：DeFi投資者一定要看項目審計報告_區塊鏈

金色財經現場報道，4月10日，由金色財經主辦，波場TRON總冠名，HBTC、SumSwap、SubGame首席合作企業的“2021共為·創新大會”在上海舉辦。大會以“DeFi的創新進階”為主題，匯聚百家優秀區塊鏈企業和眾多行業大咖，共同探討Defi生態、波卡、NFT、交易所公鏈、ETH 2.0、Layer2六大賽道話題。

在下午的“DeFi+NFT”主題專場，Fairyproof TechCEO譚粵飛做了《小白用戶如何讀懂DeFi合約的審計報告》的主題演講。譚粵飛在演講中指出，2020年DeFi安全損失超過2億美金，這些安全事故大多來自對智能合約的攻擊，智能合約的安全事故較多，原因有三：第一個是智能合約本身，第二是區塊鏈技術特點，第三是社會因素。首先智能合約一旦部署，不能被撤回。其次區塊鏈結構使項目方無法知曉攻擊者的社會身份以及交易不可逆。最后是智能合約應用的社會約束比較缺乏，例如缺乏對數字資產的保護，缺乏對區塊鏈應用的約束和規范。

以下為演講詳情：

譚粵飛：今天我和大家分享的主題是如何閱讀DeFi合約的審計報告。當我們說到審計報告的時候，事實上我們談的是DeFi的安全，我們談安全的時候，很多時候覺得這個概念比較抽象，所以，我給大家展示一些數據。

FairySwap推出女性NFT系列“Pixie Power”:據官方消息，FairySwap在國際婦女節推出女性NFT系列，取名為“Pixie Power”，意思是記錄與祝賀那些正在創造數字元宇宙未來的女性們。FairySwap官方提到，FairyNFTs不僅是藝術收藏品和Fairy元宇宙中的身份標識，還是Fairy 生態中的實用工具，可以用于Staking和給予擁有者特殊的治理權利。FairyNFTs的持有者將有資格在未來的FaiySwap活動中提前進入白名單，并將能夠在即將推出的RPG游戲“Fairyverse”中使用他們的NFTs。

據此前報道，FairySwap是構建在Findora公鏈上的首個自動做市商（AMM）去中心化交易所（DEX）。[2022/3/9 13:46:09]

整個大餅是2020年整個一年所有和區塊鏈安全事故所引起的損失，所有的損失，請大家注意看，其中光DeFi左邊紅色區域是DeFi損失，2.38億萬美元，占整個區塊鏈安全所引發的損失40.9%，幾乎接近一半。在2020年之前，DeFi安全的事故遠遠沒有這么夸張，但是DeFi的出現導致安全的事故如此嚴重。

還不是這么直觀，我們再看一些更具體的事例，我們從底下看起，2020年12月26日資金池的資金被轉移，2020年12月21日被攻擊，2021年1月份壽司被攻擊，2月份WFI又被攻擊，我羅列的數據不是指出這些項目本身怎么樣，我是想要讓大家注意，這些項目被攻擊的時間點，大家有沒有發現從2020年10月到2021年3月，每個月都有一個比較知名的DeFi項目受到供給，足以說明安全事故在DeFi領域發生的頻率和頻次多么高。

DeFi保險協議FairSide完成420萬美元融資，Alameda Research等參投:11月18日消息，分散風險型DeFi保險協議FairSide 完成420萬美元融資，Alameda Research、Dominance Ventures、Jump Capital、Figment Capital和Daedalus等參投，所籌資金將用于進一步開發其DeFi保險協議。

注：FairSide 旨在為成員提供全面保險，涵蓋多個區塊鏈、項目和損失類型，加密貨幣持有者將不再需要管理多個保單、支付大量保費或等待創建池以獲得保險，通過FairSide獨特的產品，成員無需購買特定的項目保單即可自動獲得保險。[2021/11/18 22:01:58]

安全事故的頻發不僅僅項目方的聲譽，直接影響投資者的利益，接下來，我和大家分享一下為什么智能合約安全事故這么多，他是由特殊的因素所確定，我們Fairyproof Tech團隊認為，出現安全事故的原因主要有三個因素，第一個智能合約本身運行的機制，第二個區塊鏈技術的特點，第三個智能合約應用的社會約束。

我們首先來看第一個智能合約本身運行機制，智能合約有一個非常大的特點，和我們傳統的IT應用有一個什么樣大的特點，我們使用比較傳統的應用的時候，我們使用一個游戲或者是APP，我們使用過程當中突然有一天項目方告訴我們，這個APP發布一個公告，這個APP有問題，在這種情況下，項目方把APP從APP商店里面下架，讓大家使用舊的版本，他們把有問題的版本撤下去修改完善之后使用新的APP，但是在區塊鏈領域，以太坊領域，一旦智能合約理解成為是一種APP，部署到以太坊上面以后，他是沒有無法被撤退，這是不能像傳統的IT里面的應用被撤回，一旦智能合約開始執行的時候，這是不可逆的，或者我們可以理解，我們發現有問題的智能合約部署到以太坊上面，漏洞被黑客發現，黑客利用漏洞攻擊它的時候我們眼睜睜看到資金池里面的資金被盜走，我們無能為力，我們在傳統領域，把服務器關掉，但是在以太坊上面，這樣的事情是不能發生，我們不可能把以太坊關機。

Punk Protocol發布補償計劃和后續規劃 追回的資金將在24小時內分發給Fair Launch參與者:Punk Protocol發布補償計劃和后續規劃公告，從白帽黑客那里追回的資金，將在此公告發布后24小時內按比例立即分發給Fair Launch參與者。在退款55%后，下一個主要問題是如何收回400萬美元的剩余價值。下一個優先事項是規范協議并重新啟動，以確保協議的長期生存并恢復其可靠性。Punk Protocol優先償還未歸還的資金4041504美元，將授予peUSD，一種用于全額償還丟失代幣的擔保代幣。peUSD持有者將能夠從“Recovery Fund”以1:1的比例交換DAI。對于剩余的恢復，將通過一個NFT項目：Drop活動最初計劃于8月31日舉行，以表達對用戶的感謝，已經調整了NFT項目，并將作為一個營利性項目進行補償。以受損資金總額計算，待獎勵的Punk Token總數約為202,075.2。最初為Fair Launch計劃的獎勵因攻擊而停止，包括210,000代幣。官方將按比例分配這些代幣。此前消息，Punk Protocol在公平啟動期間遭遇攻擊，損失約400萬美元。[2021/8/13 1:53:02]

我不知道大家注意到推廣以太坊的時候，很多人不理解以太坊是什么，他用簡單的一句話，以太坊是永遠不停歇的世界計算機，永遠不宕機，一旦運行無法停下來。

Fairlead Strategies創始人：比特幣或修正至42000美元:分析師、Fairlead Strategies創始人兼執行合伙人Katie Stockton表示，每周MACD（移動平均收斂差異）滾動反映了中期動力的喪失，這增加了比特幣近期價格范圍下跌的風險。不能排除出現更大的牛市縮水的可能性，Stockton說：“我們看到42,000美元作為支撐。”（coindesk）[2021/5/13 21:55:42]

第二點跟區塊鏈技術本身相關，我們談到區塊鏈技術的時候，我們首先看看區塊鏈技術的第一個應用就是比特幣，我們最早說比特幣至今很多人比特幣的時候想到第一個特點是匿名，當然如果按照純技術的觀點來講，這是偽匿名，做到擬匿名的情況下，在某種情況下把個人真實的信息進行了隱藏，匿名是什么意思，我們在區塊鏈里面進行每一筆交易的時候，我們在所有的可公開查詢的資料里面，我們只能看到發起這筆交易或者是參與交易的這些地址，但是我們沒有辦法把這個地址和執行這筆交易的持有這個地址的人在社會生活當中的真實身份掛鉤。我們不知道這個地址背后的持有人是誰，他叫什么名字，它的身份證號是多少，他在哪個國家，所以因為這個原因他是匿名的，這樣導致了我們在區塊鏈里面，在智能合約里面一旦發生安全事故，我們知道有黑客攻擊我們只是看到攻擊的地址，我們不知道地址后面的持有人是誰，我們不知道黑客真實的社會身份是什么。

李啟威：SurfAir也將接受LTC付款:LTC創始人李啟威在其社交媒體上表示，加州通勤航空公司SurfAir繼接受BTC及ETH以后，也即將接受LTC付款，更多的消息將在下周公布。[2018/6/1]

剛剛我講的智能合約本身的技術特點，還有區塊鏈技術特點，導致安全事故非常特殊的特點，從技術角度考慮，還有一個角度我們平時各個公共場合大家提到比較少，但是在我們團隊看來恰恰也是目前最復雜最難掌控的地方，這就是社會約束。

我在這里羅列兩條，現有的法律法規缺乏對數字資產的保護，當我說這個問題的時候有朋友說，在我們國家關注到最近一兩年關注數字貨幣法律的信息會說，我們國家在民法典出臺具體的措施，保護數字資產，但是請大家注意，這樣的一些條款和民法典里面，不管是我們國家的法律以及世界各國的法律，對傳統資產的保護力度和廣度跟他們相比是無法相比的，所以現在全世界各國對數字資產的保護，在法律上面都是不規范，不完善，不完備。

第二點現有的法律缺乏對區塊鏈的應用和監管。現有的法律對所有的傳統應用，互聯網應用也好，他有一個約束性，有一個規范，但是這樣的法律對智能合約的規范，目前在全世界任何一個國家幾乎一個都沒有，最近在美國，美國的某些州已經成人智能合約的某些法律效應，但是這是吃螃蟹而已，只是嘗試而已，真正在具體落地或者是未來實現過程當中存在什么問題會產生新的問題或者是新的方式，我們目前都不得而知，在這方面也是一片空白。

所以，智能合約本身的問題，區塊鏈技術本身的問題，以及智能合約應用缺乏的社會約會導致智能合約的安全有非常特殊的地方，所以，造成的事故這么頻繁，造成的危害這么大。

剛剛我跟大家分享的是安全的一些特殊性，下面我和大家分享一下我們團隊目前對所有在智能合約安全領域發生的事故我們一般分成三類，第一類是已知風險，第二類是潛在風險，第三類是人為風險。

什么是已知風險，已知風險我們現在在技術領域技術團隊或者是業界根據以往所有發生的安全事故所總結出來的一些安全的特點，一些事故的特點，總結出來的一些規律，我們知道了這些規律，知道了這些事故的特點和特性我們很容易判斷，所以我們稱之為是已知的風險。

潛在的風險是什么，這些風險從來沒有出現過，或許在我們運行的智能合約里面，但是我們不知道，或者說這些風險暫時因為條件不成熟，還沒有被觸發，這是潛在風險。

第三個是人為風險。我羅列了11個風險，實際上，并不是說在智能合約領域只有這11個風險，我羅列這11個風險，這是目前出現比較頻繁的風險，而且我們見到比較多的風險，具體到每個風險，在業界有很多的分析和講解，在這里我不和大家細說。

我們舉一些更詳細的例子講講已知風險和潛在風險和人為風險。我們看看這個風險，在座的朋友們有沒有在2018年4月份之前上一輪進入幣圈（有），那一輪的牛市瘋狂，瘋狂到什么地步，不僅很多小白用戶進來，而且傳統的IT界的大佬在這個領域，美鏈跟某一位傳統的IT公司有非常深的關系，他做了什么事情，他發布一個智能合約出現一個重大的安全漏洞，什么漏洞？在一行代碼計算過程當中沒有使用安全的數學庫，導致計算溢出，溢出導致的代幣被巨量增發，導致價格暴跌。這是2018年4月22日。

在此之前可能這樣的事故叫做潛在風險，現在這個事故發生以后，在業界我們用技術分析出來出現安全事故的原因以及可能出現的征兆和特點，我們現在稱之為已知風險，這是已知風險的典型。

第二個案例，2020年312，比特幣和以太坊全部報鐵，比特幣跌到4000美元以下，以太坊跌到100美元，在比特幣和以太坊暴跌以后，MakerDAO出現瘋狂擠兌的機制，最后發現是機制設計的問題。

接著紅薯被攻擊，20206年6月份，YAM被攻擊，紅薯這個項目非常有名，這個項目被攻擊以后，它的創始人在推特上面發了一段話，對不起，我們失敗了，這么大的事故是怎么產生的，主要是因為邏輯運算中缺乏分母，就是這么簡單。

第三個案例，是YFI是去年一整輪過程當中，運行大半年沒有出現問題，今年二月份出現問題，這個事件的出現是因為出現了一個應用方式善待貸導致穩定幣的價格被操控。還有TSD被攻擊，我們審查合約代碼的時候，如果不是對邏輯理解特別深刻，紅薯被攻擊的除法算法不對，幾乎很難被發現，另外三個更加困難，是治理機制出現了問題，而不是代碼的問題，這個問題更難發現，對于這樣的問題我們歸結為潛在問題，潛在的問題以前有，今天有，未來還有，甚至包括我們所有運營的這么多合約上面，雖然很多都通過了很多公司的審計，但是我們依然擔心里面還存在著很多潛在的大量的隱患，只不過這些隱患由于條件不成熟，沒有被觸發而已。潛在問題是對整個安全行業以及整個區塊鏈行業最大的挑戰，也是我們著力最重的地方。

還有一個是人為風險，因為時間有限，后面的內容我講快一點，人為的疏忽跟代碼的關系更少，幾乎是因為人為的管理方面出現問題，我前面講了安全的特殊性以及安全有哪些問題，下面我和大家講一個非常重要的事項，也就是說，我們作為智能合約的審計公司，我們最重要的事情是做什么，就是為項目審計智能合約代碼，看里面有沒有安全事故，我剛剛在展臺的時候有很多朋友過來問我們，你們寫的這些報告對我們普通投資者小白來說到底有什么作用，我在這里講，作用非常非常大。很多小白用戶看到我們寫的報告，這是技術文檔，雖然是技術文檔，但是里面有一部分內容非常通俗易懂，并且跟你的利益密切相關的。

在我們的報告里面這部分關鍵的內容就是我們整個審計報告里面的第一章，在我們審計報告當中的第一章，我們會開宗明義寫這個項目是做什么的？這個項目的合約有什么功能？以及在我們審查過程當中，我們發現這個項目的風險沒有？所以，對于任何用戶而言，當你看一個項目的時候，如果這個項目有我們的審計報告，我個人建議處于你對自己投資利益的保護和自己利益的關心，無論如何你要看一看審計報告，當你拿到這份審計報告的時候，你可以不堪其他的章節，但是一定要看第一章，看完第一章，基本上不用花5分鐘的時間你就能夠明白這份合約安全不安全或者說這個項目通過我們公司審計的時候發現存在的問題，項目方是怎么處理這些問題，起碼可以看到項目方對于處理問題的態度，對于你投資項目而言是參考的作用。

所以我強調審計報告一定要看，如果各位拿到是我們公司出的審計報告，關于技術部分不用看，但是一定要看第一章，第一章報告是我們對整個審計過程的精華和總結，看完第一章不需要5分鐘，5分鐘時間內大致理解這個項目做什么，合約是干什么的，安不安全，以及在審計過程當中出現什么問題。

Tags：FAIFAIRAIR區塊鏈FairLunarWallfairAIRDROP區塊鏈域名還有市場前景嗎

XRP