TIK:中心化風險居高不下，2021年黑客攻擊損失高達13億美元-ODAILY_certik

轉眼間已經陪伴CertiK走入了第五個年頭，然而隨著閱盡千篇審計報告，卻一直有一個問題，讓譬如小編這樣的技術門外漢倍感疑惑。有的時候，我們辨別一個項目的代碼是否優質，就是查看它的審計報告。而后根據審計報告中的風險等級和數目來判斷這個項目代碼的安全性是否達到標準。

但是近一年中，很多項目的代碼相對足夠完善和安全，卻不約而同地存在著一個主要風險——中心化風險。

那么具備這一風險的項目，假如它的代碼在其他方面表現得很良好，我們如何判斷它的代碼質量優質亦或不優質？

這樣的項目在以往的審計記錄中，占據了很大的比例——在CertiK統計的2021年1737份審計報告中，具備中心化風險的項目竟有286個之多，占據比例近17%。

數據：中心化交易所比特幣持續流出:Tokenview鏈上數據監測，近兩周交易所比特幣流入量持續萎縮，比特幣仍持續流出。其中7月26日，7月28日均屬Binance錢包調整，3個地址啟動30000枚BTC的提幣職責，之后7月29日萬枚BTC從Huobi流入Binance，同時Binance也流出萬枚BTC至其他地址。經過過去近兩周的變動，交易所BTC交易頻次逐日下降，尤其8月1日，8月2日表現最為明顯，接近2020年末2021年初的交易頻次。[2021/8/5 1:36:08]

而在CertiK近期發布的中，更是指出：2021年造成黑客攻擊最常見的原因是中心化風險，在因此產生的44起DeFi黑客攻擊事件中，總資產損失高達13億美元！

BB回復網友指責：尊重EOS的去中心化以及不斷發展監管合法化:今日，推特用戶表示EOSVC并沒有做到支持EOSIO生態，Block.oneCEOBrendan Blumer對此進行了回復。BB表示，

1.我們與我們的GP（基金的普通合伙人）一直保持密切的溝通合作，以最好的方式使他們的努力最大化，并確保他們的任務得到維護。我們的GP確實會與被投資人簽訂側函，說明利用我們軟件的意向。

2.我們也在確保在現有GP之外，在未來的資本部署中發揮更直接的作用。我們100%遵守EOSVC的承諾，作為一個組織，我們有能力通過有效的融資來發展生態系統。

3.我們即將推出的產品旨在幫助解決一些合規問題，這些問題限制了我們可以直接參與的加密業務。

4.我們正在非常迅速地將這些解決方案以合規、規范和創新的方式推向市場，以支持機構和散戶的參與，這是DeFi目前的形式無法做到的。

5.我知道有時可能會覺得B1比小企業在沒有強大的法律考慮的情況下推出產品的速度要慢。事實確實如此，但我也可以向你保證，我們的進展非常快，所有的事情都考慮到了。我期望這將很快得到更多的贊賞。

6.相對于同行，我們在過去成功地駕馭了復雜的法律問題的，這證明了我們是多么認真地考慮了各個方面，并尊重EOS的去中心化現實，以及不斷推出和快速發展的監管合法化。

7.盡管如此，我們充分認識到將法律審慎與競爭創新相結合以創造具體價值主張的重要性；這是我的工作重點，我知道我們下一步的工作將產生很大的影響。[2021/1/5 16:28:23]

復制鏈接至瀏覽器即可下載安全報告：

ETC官方：PoW是我們唯一允許最大限度去中心化和抗審查網絡的共識算法:ETC官方發推特稱，最終，PoW是我們所擁有的唯一允許最大限度去中心化、無需許可、和天然抵制權力集中的抗審查網絡的共識算法。[2020/9/24]

https://certik-2.hubspotpagebuilder.com/the-state-of-defi-security-2021-chinese

什么是中心化風險？

大家應該都清楚：區塊鏈的意義在于去中心化、匿名性和透明性。

其中去中心化更是DeFi、DAO乃至整個加密世界最獨一無二的核心本質。

從定義上講——百度百科搜索的結果如下：在一個分布有眾多節點的系統中，每個節點都具有高度自治的特征。節點之間彼此可以自由連接，形成新的連接單元。任何一個節點都可能成為階段性的中心，但不具備強制性的中心控制功能。這種開放式、扁平化、平等性的系統現象或結構，我們稱之為去中心化。

去中心化交易所Miniswap正式版將于9月5日20:00上線:據官方消息，去中心化交易所Miniswap正式版將于9月5日20:00上線。用戶可以在官網連接錢包進行通證兌換和在資金池界面通過增加流動性進行MINI挖礦。Miniswap采用交易即挖礦模式，交易者的每筆交易都會獲得MiniSwap提供的挖礦獎勵。并且，對于每一筆交易所有的流動性提供者和MINI持有者獲得額外的挖礦獎勵。

據悉，Miniswap 是一個具有可持續性激勵機制的分布式自動化交易平臺，通過全新的預言機和跨鏈機制，支持并保障用戶交易不同區塊鏈生態系統提供的多元化金融產品，并與區塊鏈安全公司AnChain.AI達成戰略合作，AnChain.AI已完成對Miniswap進行代碼審查程序，結果顯示未發現損害項目完整性的高嚴重性漏洞和高嚴重性問題。[2020/9/5]

而中心化風險僅在這一層面，就背離了加密領域創建的初衷。

中心化風險的核心是DeFi協議內的單一故障點——擁有中心化所有權的智能合約比擁有時間鎖或多簽名密鑰所有權的合約風險更大。

一旦這一風險被惡意攻擊者利用，那么無限鑄幣、RugPull以及其他各類型的攻擊事件將接踵而來。

如果你的合約具備鑄幣漏洞，那么攻擊者但凡能拿到合約私鑰，即可轉手鑄造無數代幣然后想給誰就給誰。

很明顯，這種攻擊方式對于項目的所有者來說簡直就是印鈔神器，當然也有些項目會成為其他黑客的ATM機。

另一種比較典型的攻擊方式就是RugPull，CertiK剛剛發布分析的BabyMusk攻擊事件就是一個典型的案例。

在這種攻擊手法中，有些是項目所有者惡意拋售其所持有的全部代幣以此消耗去中心化交易所的流動性。還有些是項目所有者直接從合約中竊取代幣，如預售鎖定合約類的項目。

在有些去中心化交易所中，具備RugPull風險的項目簡直多如牛毛——因為上幣并不需要通過審計。

典型案例

DeFi協議bZx因私鑰管理不善于2021年11月被惡意攻擊導致損失高達5500萬美元。

該項目合約私鑰未采取多簽名，攻擊者通過釣魚郵件輕松獲取了私鑰的控制權。這一中心化風險使得攻擊者可以完全控制該私鑰管理的所有合約。

在這一案例中，一旦攻擊者獲取了合約的控制權即可將代幣從Polygon和BSC的部署中轉移出來。

如何減輕中心化風險？

怎樣才能減輕中心化風險？

智能合約審計是識別中心化風險的第一步，也是必要的一步。

通過智能合約審計，可以及時鑒別項目代碼中存在的中心化風險，但只有審計是不夠的，隨后的代碼修改同樣至關重要。

在很多情況中，安全專家發現的問題以及給予的修改建議會被項目所有者置之不理....

這些行為簡直就是在赤裸裸的呼喚黑客：快來呀，我這有錢給你！

CertiK將審計中發現的風險分為5個等級：嚴重、主要、中等、次要以及信息性。

上文中我們已經提過中心化風險屬于主要風險等級，這代表著在特定情況下，該風險可能導致資金和/或項目控制權的損失。它也許不會顯著影響平臺運作，但同樣是必須要解決的高危風險之一。

目前，CertiK官網已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及Rugpull相關的各種社群預警信息。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了2500家企業客戶的認可，保護了超過3110億美元的數字資免受損失。

Tags：TIKCERTERTcertikArtikVertexcertik幣價

BNB價格