買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > Coinw > Info

CASH:慢霧余弦談鯨交所:安全走在行業最前端_etc幣能漲到1000美金嗎

Author:

Time:1900/1/1 0:00:00

在剛剛結束的鯨交所見面會廈門站活動現場,特邀演講嘉賓慢霧科技創始人余弦面對主持人和觀眾的“靈魂拷問”,以代碼審計方、黑客的視角,用專業、有力、幽默的方式,給予了精彩的解答。

以下摘取了慢霧科技創始人余弦與鯨交所CEO俊晶在提問環節時的精彩言論,讓我們換個視角來看鯨交所。

提問:鯨交所的代碼在你們審計的500多個項目中處于怎樣的水平?

余弦:我們合作的時候也很看重項目方的研發實力。在對鯨交所的審計過程中,會特別去看用戶資產相關的管理,還有關于簽名數據驗證等。這些如果做不好,會直接危害到用戶資產。還有風控方面,在代碼審計上主要指數據或者資產,因為攻防是一個系統化的整體。

鯨交所的審計重點在合約。當時在審計的時候,其實考驗還是很大的,單靠一些工具或者算法,比如像現在比較流行的形式化驗證,是不夠的,還要滿足具體的業務場景需求,這是關鍵。

慢霧:針對macOS系統惡意軟件RustBucket竊取系統信息:金色財經報道,SlowMist發布安全警報,針對macOS 運行系統的 Rust 和 Objective-C 編寫的惡意軟件RustBucket,感染鏈由一個 macOS 安裝程序組成,該安裝程序安裝了一個帶后門但功能正常的 PDF 閱讀器。然后偽造的 PDF 閱讀器需要打開一個特定的 PDF 文件,該文件作為觸發惡意活動的密鑰。[2023/5/23 15:20:27]

所以,我們特別在意整個合約的邏輯性,這也是鯨交所合約復雜之處。基本上,用戶從授權、充值、提現,包括一些管理和操作,我們都會看,還有一些外部接口等。因為這些接口在合約上,合約在鏈上,有些工具可以直接標準化。如果這部分風控沒有做好的話,我們審計中也會發現。

我們審鯨交所合約花了很長時間,我們拿到審計文檔,然后鯨交所團隊過來我們這里密切交流,了解業務層的一些設計考慮,即使這樣,我們還算是花了一個月的時間,這只是第一期上線前的審計。

慢霧安全:黑客通過繞過未被驗證的賬號,非法增發20億個CASH:據慢霧區情報消息,Solana上的穩定幣項目Cashio遭遇黑客攻擊。據慢霧安全團隊初步分析,黑客通過繞過一個未被驗證的賬號,非法增發了20億個CASH代幣,并通過多個應用將CASH代幣轉化為 8,646,022.04 UST 17,041,006.5 USDC 和26,340,965.68 USDT-USDC LP,獲利總價值:52027994.22 USD(5000多萬美金)。目前官方@CashioApp已發出公告讓用戶暫停使用合約,并發布臨時補丁修復了漏洞。[2022/3/23 14:14:07]

現在鯨交所合約多簽,我們是有一票否決權,如果我們發現更新后有安全問題,我們就會否定,不通過。

提問:鯨交所的合約在不斷迭代更新,慢霧團隊日常是如何監看合約變動的呢?

慢霧完成對EOS鏈上流動性挖礦項目Diamond的安全審計:基于EOS的流動性挖礦項目Diamond.finance官方宣布,該項目智能合約已成功通過慢霧(SlowMist)的安全審計。[2020/9/6]

余弦:我們開發了EOS天眼這個產品,用來監測鏈上合約的變動,任何用戶都可以到我們平臺上,訂閱你關注的合約,這個合約如果有更新,我們會自動發郵件給你提示。

提問:跨鏈進展如何?跨鏈后鯨交所還安全嗎?

俊晶:已經全部開發完成!很快將有獨家跨鏈資產首發鯨交所!

余弦:有我們在,當然安全了!

提問:曾有一個關于交易所安全的評分,其中安全最高的是Coinbase,大概80多分,第二名好像是幣安40-50分。余弦怎么看這個評分?鯨交所自評有多少分?

余弦:這些評分基本都不靠譜的,考量的指標都比較簡單。因為你真的要去評估交易所,如果沒有和團隊或內部核心開發緊密交流的話,都很難做出客觀的評價。

慢霧余弦:攻擊者花費不菲得到ETC,但恐怕不容易洗出來:慢霧科技創始人余弦昨日發微博稱,ETC算力相比太低是個很尷尬的事,差不多10 TH左右,而ETH有190 TH,再看看BTC有120,000,000 TH(BTC倒不是ETC的算力威脅,寫在這是方便對比)。一樣挖礦算法的ETH與ETC,如果ETH里的大算力打ETC就是個降維打擊了(我說的是“如果”)。51%攻擊不是技術門檻,是成本對抗門檻,攻擊者費了不少錢最終得到ETC,這些ETC恐怕也不容易完美不留痕跡地洗出來,不明白攻擊者是怎么想的,估計并沒怎么想。另外還有個有意思的,ETC社區覺得這是犯罪行為,不知道各國法律是怎么看的。[2020/8/7]

俊晶:打分不太合適,還是請慢霧來評價。對于安全,我認為,一方面是成本投入,一方面是意識。交易所從上之下都要重視。鯨交所與慢霧有過非常深度和密切的交流。

慢霧科技與 OK 資本達成戰略合作:慢霧科技與 OK 資本達成戰略合作,為 OK 資本投資的全球優質區塊鏈創業項目提供智能合約安全審計服務,避免項目出現重大安全問題。此前,慢霧科技也曾對 OK 資本的戰略合作伙伴 OKEx 數字資產交易平臺上的數百個基于以太坊 ERC20 的項目進行過智能合約 batchOverflow 問題的排查,排除安全隱患。[2018/5/25]

余弦:我們評價,就不按照分數來了,按照對抗的級別來,可以分為國家級、省級、縣級、村級等,很遺憾,沒有一家能擋住國家級的。鯨交所至少在省級。

俊晶:關于“國家級”,再補充一句:如果是國家需要,我們捐給國家!不過,大家的資產鯨交所無法觸碰,用戶自己掌控資產權限,所以用戶資產是無法捐出去的啊!

余弦:慢霧也一樣!

提問:今天現場很多都是鯨東,他們都很關心團隊的情況。慢霧團隊和鯨交所團隊有著較長時間合作,應該說是最緊密的伙伴了,因為要去同步審計他們的合約情況。從你的角度來評價,鯨交所是怎樣的一個團隊?

余弦:我們拜訪過鯨交所,之前主要在上海,現在在杭州,對團隊感覺戰斗力非常強,能力非常強,戰略戰術的打法很清晰。去鯨交所去看下就能感受到“996”了!

提問:你們審計后一般都會給項目方一個證書進行評價。給鯨交所審計完,你們證書上給的評價是什么?

余弦:那肯定是優秀了!

提問:鯨交所是基于EOS開發的,假如有一條新的公鏈出來,超越了EOS,你們會怎么做?

俊晶:EOS是當時我們的最優選擇,EOS交易免費和TPS高,我們在以太坊根本沒法用。我認為,目前的公鏈中,都不足以支持WEB3.0。

鯨交所從設計之初到現在,我們都保留了遷移的能力。如果有更好的公鏈,我們會考慮的。我們目前已經有多鏈資產,不會局限在一個鏈上。我們的原則是,選擇最合適的鏈,做去中心化的交易所。

提問:關于去中心化交易所的定義,有不同的說法。有的去中心化交易所不碰用戶資產,也不通過合約托管。相比現在鯨交所目前的形態來說,哪個更好?

俊晶:從交易所的業務來看,不托管用戶資產的這種去中心化交易所,在以太坊上就有的——以德。但以德最終還是小水洼里面的DEX。為什么?

交易所到底是為了去中心化而去中心化?還是一門運營的生意?剛你提到的這種DEX,合約其實很容易,直接部署在EOS上,目前國內外都有。

但交易所是強運營的事情,無法單純的應用去中心化的技術來實現平臺的高速運轉和成長。再有,用戶使用EOS需要處理CPU、RAM等,這些與用戶間的摩擦,是無法讓用戶留存的。

我們舉例鯨礦池,鯨礦池你投入后什么都不用管。其實,在EOS中投票權是隨著時間有衰減的,如果是你個人,就需要自己去處理這些來實現利益最大化,而目前我們是平臺來做的。一種是放在那不用管的躺賺,一種是需要自己處理操作,你會選擇哪個?

這只是DEX的一個細節,還有很多。用戶體驗好,才能讓DEX流行起來。我們選擇這種模式,也與愿景有關。

余弦:兩個團隊互相交流很多,我們審計除了合約外,還有非合約層的代碼,包括業務層、風控等。比較驚訝地是,鯨交所對安全的細節很在意。“在意”分為兩種,一種是不懂,一種是很懂,知道敬畏,鯨交所屬于后者。

合約多簽是鯨交所第一個做的,每個版本都需要我們審計的,很少有項目這樣做。當然,同時也能看出他們996挺瘋狂的。后來我跟他們說,你們也不用不好意思找我們,因為我們是7*24小時的。

在安全方面,鯨交所做的很多,很確定的是,用戶的資產絕對是在你們自己這里的。鯨交所官方是沒法作惡的,內部出問題也沒法作惡,好幾個角色在把關。比如說私鑰,有人可能擔心用鯨交所App私鑰在本地保存的,是否能提取出來?這些我們有驗證,他們做了很多密碼學的加密,破解很難。

還有離線保險箱,他們首創的,防止蘋果企業證書掉簽,很多安全上的做法,都走在行業最前面,會給同業或其他產品很多啟發。慢霧內部有獨立團隊專門響應鯨交所。

回到提問,關于多少比例是去中心化的,這個意義不大,重要看兩點:一是用戶資產的權限一定要在你自己這里。二是誤操作你的權限丟了怎么處理。這兩點上,鯨交所是我們看到做的最好的。至于業務層的平衡,這是很好理解的。

提問:假設鯨交所CEO俊晶有一天要是跑路了,鯨交所的合約、用戶資產是否會出問題?

余弦:大家都知道Google有句話:don'tbeevil,鯨交所已經做到了can'tbeevil。

結語

去中心化交易所一定是未來的趨勢,而鯨交所已經走在了前列,正在邁向星辰大海,讓我們拭目以待!

Tags:EOSETCASHCASHeos幣為什么漲不起來etc幣能漲到1000美金嗎ZIMBOCASHJobCash

Coinw
USD:GJ比特國際關于IMGC充值即上K板的活動公告_https://etherscan.io

尊敬的GJGlobal用戶:?GJ比特國際數字資產平臺即將開始IMGC充值上幣活動,具體內容如下:充值時間:新加坡時間2019年10月28日12:00-2019年10月30日12:00交易時間:.

1900/1/1 0:00:00
WILL:Ampleforth Supply Adjustment Update_AmpleGold

AmpleforthismakingtwoimportantupdatestothewaythatthesupplyofAMPLchanges.Asofthe30thOctober2019.

1900/1/1 0:00:00
BTC:木蘭說幣:比特幣暴漲后,是跟隨還是捧殺?_MWBTC價格

BTC: 昨夜BTC迎來大發力,有很大部分原因,木蘭覺得是習主席近日發表的支持區塊鏈的講話。今晨BTC依舊再次發力,直沖萬元大關。最高達到10350點,漲幅高達28%.

1900/1/1 0:00:00
USD:GJ比特國際關于IMG充值即上K板的活動公告_IMGNAI價格

尊敬的GJGlobal用戶:?GJ比特國際數字資產平臺即將開始IMG充值上幣活動,具體內容如下:充值時間:新加坡時間2019年10月30日12:00-2019年11月1日12:00交易時間:新加.

1900/1/1 0:00:00
數字資產:上線 | AOFEX于10月29日上線CPC/AQ交易對_HPT

尊敬的用戶: AOFEX將于2019年10月29日15:00上線CPC/AQ交易對,并開放交易服務。 CPC幣種介紹: CPC全稱是ConsensusPlanetCoin,簡稱CPC.

1900/1/1 0:00:00
USD:【上線】BFX.NU上線CME、ICE、NDAQ永續合約_MSHIB價格

尊敬的BFX.NU用戶:BFX.NU將于2019年10月8日21:30上線美股股票永續合約,分別是CME、ICE、NDAQ共三類合約.

1900/1/1 0:00:00
ads