ETH:以出狀況的Hegic為例，教你讀懂DeFi安全審計報告_LYM

編者按：本文來自鏈聞ChainNews，撰文：MyCrypto，翻譯：PerryWang星球日報經授權發布。對那些懶得打開PDF文檔的讀者，這里給大家概括一下「審計報告」。對那些根本一點不懂的小白來說：這是一份審計報告的摘要摘要中有投資預警閱讀審計報告你需要字斟句酌。讀這份摘要就清算多了。

第一部分：事實陳述

何時審計，用時多少天具體審計了什么由誰進行了審計就算是小白都知道這種規模的合同，一個工程師用時兩天進行審計，不會讓我買賬。16個小時就想搞懂所有代碼、找到bug，找到攻擊方法，然后完事交差？

1.1一位熟悉系統底層架構和理念的專家面對總量很小、非常簡單、語言非常漂亮的代碼庫，也許能做到這一點。此外，他們沒有時間考慮代碼的經濟影響。

V神地址將5枚ETH轉至0x3945開頭地址:金色財經報道，PeckShield監測數據顯示，Vitalik Buterin地址已將5枚ETH轉移到0x3945開頭地址。[2023/4/4 13:44:02]

1.2只進行了小型審計，可能是由于Hegic財力所限，我對此表示贊賞。但是，審計的目的是要避免發生壞事，不要將審計作為一種促銷手段，出了問題不能說「不是我們的錯，只能怪安全審計機構@trailofbits！」

1.3要改善審計的投資回報率，更簡單的方式是讓審計人員的工作變得更簡單代碼干凈+恰當的論述使用所有免費工具來發現基本問題，以便專家可以專注于復雜的問題請他人幫忙查看代碼，提出問題提供文件，提供摘要+重點/關注領域

第二部分：看看他們在尋找什么問題+找到了什么問題

值得注意的提示：有三個領域，也被稱為「糟糕情況可能出現嗎？」三個領域的答案都是「是Yes」，程度級別不同而已。另外他們認為這些風險與算法有關

(審計報告圖片中譯)從資金池竊取財產以低于預期的行權價創建期權合約免費創建期權合約我們發現多數問題與算法有關，包括如果資金池代幣的供應量低于資產供應量，攻擊者可以吸干資金如果ETH價格低于1美元，期權合同行權價可以為0當流動性增加，資金池惡意參數可以允許0鑄幣有多個問題可能導致惡意合約所有者傷害Hegic用戶，包括：通過費用收取來竊取期權資產

V神預測2023年加密貨幣的3個“巨大”機會：包括加密錢包的普及等:12月20日消息，以太坊創始人Vitalik Buterin在接受Bankless共同所有者David Hoffman的采訪時，分享了2023年加密行業的展望，預測加密領域尚未實現的三個“巨大”機會，包括加密錢包的普及、抗通脹穩定幣和以太坊支持的網站登錄。同時回應了關于“去中心化應用程序的‘采用浪潮’現在已經結束，開發人員進入并構建新的去中心化應用程序的機會更少’”。

首先，V神建議，在加密貨幣錢包基礎設施上進行更多的開發，以使其更易于日常使用，并確保它能夠登陸數十億用戶。

其次，V神表示，開發一種能夠抵御所有類型條件（包括鏈上和更廣泛的宏觀經濟）的抗惡性通貨膨脹和全球可訪問的穩定幣將是該行業的一場革命。

最后，V神表示，任何有助于以太坊從Facebook、谷歌、推特和其他中心化壟斷企業手中奪走登錄權的技術發展，最終都會使以太坊在基于互聯網的應用程序上獲得更多的市場主導地位。

此外，V神還表示，由于競爭加劇和市場成熟，填補市場空白的機會變得不那么明顯。（Cointelegraph）[2022/12/20 21:55:50]

2.1稍后將詳細介紹算法方面，但接下來看看@ChrisBlec所謂的「管理員漏洞」，比特幣至上主義者會以此為例證發表所謂中心化目前優于DeFi的胡言亂語。他們說的都沒有錯。你可能不喜歡這個事實，但只能接受它。

FTX在巴哈馬購有至少19處房產，價值近1.21億美元:11月22日消息，官方房地產記錄顯示，FTX、SBF的父母，以及該交易所的其他高管過去兩年里在巴哈馬購買了至少19處房產，價值近1.21億美元。

FTX購買的大多為海濱豪宅，其中包括Albany高檔度假社區內的七套共管公寓，價值近7200萬美元。房產契約顯示，這些公寓由FTX的一個部門購買，用于關鍵員工的居住。

此外值得一提的是，在Old Fort Bay的一處住宅簽名人為SBF的父母Joseph Bankman和Barbara Fried。在被詢問為何決定在巴哈馬購買房產，以及這筆錢究竟是如何支付的時候，SBF的父母回應稱一直都試圖將房產歸還給FTX。（路透社）[2022/11/22 7:56:01]

有多個問題可能導致惡意合約所有者傷害Hegic用戶，包括：通過費用收取來竊取期權資產將資金困在期權合約中，阻止流動性提供者撤資可以免費創建期權合約

2.2<這里插入有關去中心化的漸進論證>無論如何，你應該注意到這種可能性以及知道審計人員在上面花了時間。在一個全新的金融體系中發現所有的漏洞攻擊方法，這16個小時中有多少時間被用于驗證有效的、已知的攻擊方法？

OlympusDAO將債券化市場Olympus Pro拆分并更名為Bond Protocol的投票已獲通過:金色財經消息，算法穩定幣協議OlympusDAO將債券化市場Olympus Pro拆分并更名為Bond Protocol的提案投票已獲通過，Olympus將使用Bond Protocol進行債券協議操作，Bond Protocol將具有無許可市場、可組合債券（代幣化）、模塊化拍賣界面等功能。目前Olympus Pro官方推特已完成名稱與圖標更改，此外原Olympus Pro在Optimism累積的OP代幣將保留在Olympus金庫。[2022/7/18 2:20:15]

2.2只有16個小時找到所有攻擊方法數學/密碼學中的Bug比如重入攻擊金融/經濟方面的影響內部作惡者外部惡意攻擊者意外錯誤/意外結果資金損失等等等等。16個小時不可能搞清楚這一切。絕無可能。

2.3審計機構永遠不會說：「這些代碼爛的像臭狗屎」。捫心自問，為什么他們指出蛛絲馬跡。不要指望他們徹底告訴你想要的東西或他們自己的反應。這就是事情被忽略的完美例證，因為它沒有成為Twitter熱門話題：另外我們還發現，當資金池增加或減少資產時會出現賬簿記錄錯誤，沒有體現出期權合約中的相關資產，因此攻擊者可能竊取資金池中資產。

Tether 披露Celsius的貸款清算流程:金色財經報道，Tether 從未也永遠不會將其儲備的完整性置于風險之中。這已經一次又一次地證明了這一點，不僅因為它有能力從不拒絕贖回，而且它的儲備金絕對透明。

雖然Tether的投資組合確實包括對Celsius的投資，僅占其股東權益的最小部分，但這項投資與 Tether 自身的儲備或穩定性之間沒有相關性。Celsius提取的 Tether 貸款是一筆以 BTC 計價的超額抵押貸款（130%+），清算抵押品以支付貸款的決定是兩家實體之間協議原始條款的一部分，并在在清算事件開始之前就有。這個過程的執行是為了盡可能減少對市場的任何影響，事實上，一旦貸款被償還，Tether 按照協議將剩余部分退還給Celsius。Celsius頭寸已被清算，Tether沒有損失。[2022/7/8 2:01:01]

2.3我來幫你。Hegic內的合約并不清楚合約中的資產被誰以何種方式偷走。我實在不明白如果都不清楚這些情況，資金池還怎么運轉。老人看手機臉。另外請注意：記賬簿。

第三部分：推薦

這一直是最重要的部分，因為這里是審計機構字斟句酌的部分。在實際的審計報告中，會向Hegic指出需要解決的大量代碼、漏洞及事情。但這篇摘要是供外部人了解所用的。是給我們普通人的。

由于發現的算法問題較多以及時間限制，無法進行深入的算法驗證，(審計機構)TraitofBits推薦使用符號執行和fuzzing測試合約的變量。代碼庫中可能存在更多問題。另外TraitofBits作出以下推薦：未來開發利用crytic.io。采用該平臺發現兩個問題。評估和記錄合約所有者特權驗證和記錄不同合約之間的資產記賬評估和記錄系統的套利機會推薦用戶在保障資產的前提下使用提供資產和撤資功能

3.1一定做更多來確保安全！！！

3.2我們真的沒有時間展開深入講，基本的數學問題已經占用了大部分時間，我們連數學問題都沒搞懂，更別說更大范圍的問題了。

3.3我們當然知道有更多問題，你現在知道了。

3.4你付錢給我們找一些自己本可以用更便宜的方式找到的基本問題，然后付錢給我們找到了另一個錯誤。

3.5你們的項目文檔記錄匱乏實在令人厭惡，我們在五點建議中用三條的篇幅去描述這個問題，因為這是你們發現問題、并為安全人員/白帽黑客提供挽救用戶資產的最佳機會。

3.6評估合約所有者的特權：我們的工作不到位。驗證你們的算法：小心打補丁。重新查驗一切因為你們的算法真的太爛了。驗證套利交易：我們都還沒開始考慮這個問題。也許你們在寫文檔的時候就會發現問題了。

3.7我真的不知道怎么收尾。通常在完整審核中，你會發現帶有代碼片段的內容。事實是這一行代碼有分量。

3.8或者是他們選擇讓讀者注意到最后一句特別重要，或者他們也意識到「我們真的檢查了所有東西/所有功能了嗎」？在概要最后扔下一句。不管是哪種情況，依據這份審計報告，這是致命硬傷的所在地。

總體心得

1@trailofbits沒有足夠時間在最佳狀況下完成審計。2代碼庫沒有提供「最佳狀態」。3沒有文檔紀錄。

4要構建金融系統，必須要有出色的數學/記賬簿/會計能力。Hegic有太多問題，讓@trailofbits的審計工作更麻煩。但更重要的是，這里存在根本性問題。這一解決方案「更重視數學，在數學方面也更出色」，但「在審計方面很糟糕」。

5Hegic無權利用這份審計報告宣稱自己是個安全的系統，或者像當前這樣轉嫁責任「甚至trailofbits都沒有發現問題！」

6Hegic將審計當作敷衍他人的擋箭牌，而不是為了切實保護用戶或者了解及確保系統的安全。這種態度顯示團隊對用戶利益的漠視，可能是一種性質惡劣的文化，對我而言總是拉響警報。

7Hegic項目目前不該推出。如果他們是被槍指著頭被迫發布產品，他們也應該宣稱自己是未經審計的、受限的Pre-alpha項目。

8@trailofbits沒有提到測試。不確定他們為什么在其他審計中有測試。也許是因為在測試前的基本文檔就有問題？有點像如果我的院子里長滿了6英尺高的野草，我就去考慮修剪更高的灌木問題。

9作為社區一個整體，我們需要注意，即使是名頭最響亮機構所做的審計報告，也不意味著是安全的。也許還更不安全。

Tags：ETHGICHEGICLYMETHER價格Magic Elpis GemZHEGIClym幣前景

ETH