借著Euler黑客事件,聊聊DeFi的安全審計和安全。
大的DeFi協議基本上都經過多輪審計,我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀,但藍籌DeFi沒哪個沒被黑過這里原因很簡單,簡單的數學問題從攻防來看,所有靜態審計的輸入和輸出(發現bug)都是有限的。
除了常規審計,Euler還用了Certora做形式化驗證,這個我們之前也用過,形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍,但是無法窮盡“未知的未知”。DeFi是一個開放系統,對于黑客來說,它的輸入是無限的,輸出也是無限的。假設把安全攻防看成挖礦,你守方用三五臺機器算哈希挖礦。
數據:過去半年,103家Web3公司在鏈上產生了收入:1月3日消息,紅點創投知名風險投資家Tomasz Tunguz發文表示,在過去6個月,103家Web3公司在鏈上產生了收入,其中44%的產值低于50萬美元,41家公司在500到2500萬美元之間,最大的以太坊產生了4.01億美元。[2023/1/3 22:23:13]
攻方無數機器時刻在算哈希,只要算對一次就贏了;這個輸贏面對比是明顯的。靜態的安全審計,由于輸入輸出固定,無法覆蓋已知的未知,更無法覆蓋未知之未知。所以出現另一種審計,叫開發式競爭型審計,如Code4rena,審計獎金池固定,但是輸入在一定時間內是彈性的,所有人都可以參加,誰發現bug。
Reddit Collectible Avatar總量超460萬,銷售總量突破9萬筆:金色財經報道,據Dune Analytics最新數據顯示,Reddit于Polygon網絡發行的NFT系列Reddit Collectible Avatar銷售總量已突破9萬筆,本文撰寫時達到94,338筆,交易總額11,693,810美元。此外,當前Reddit Avatar NFT持有地址總量為3,918,636個,單一NFT持有地址為3,656,725個,Reddit Collectible Avatar總量為4,628,608個。[2022/12/7 21:27:43]
按照嚴重程度,分獎金,這個方式是讓審計師/白帽去卷,可以擴大覆蓋面,但總體輸入依然固定,遠遠不夠。最后是完全開放的模式,那就是賞金網絡,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平臺,我建議每個DeFi在上面發bounty,親測效果十分明顯。Immunefy的獎金項目方會給非常高。
歐洲央行將創建統一的監管框架,以管理加密活動和服務:金色財經報道,歐洲中央銀行(ECB)正在努力協調歐盟的加密貨幣活動和服務的監管框架。該監管機構指出,歐洲和國際層面的幾項監管舉措正在敲定。該監管機構解釋說,銀行越來越多地考慮是否提供加密貨幣產品和服務,而歐洲央行的作用是“確保他們安全和健全地這樣做”。歐洲央行稱,它與國家監管機構密切合作,“以確保各國采取一致的方法和高標準”。目前,在歐盟還沒有統一的監管框架來管理加密資產活動和服務。(Bitcoin.com)[2022/8/19 12:35:56]
比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金,但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的,這個類似于黑客的攻擊模式。
但兩者激勵模式很大區別。假如把兩者當成是抽獎,同樣1000w獎金池,賞金模式獎金一般都會在10w-30w刀封頂黑客模式是100%獎金全拿走這兩種模式,同等投入,同樣中獎概率,假設沒有犯罪成本,毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%,也跑不贏黑客池,除非把犯罪成本加入等式。
有人建議把賞金比例和TVL掛鉤,比如10%,是否會激勵更多黑客轉白帽?首先,沒哪個defi協議能支付10%TVL的賞金,其次,遇到真黑客,他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面,還有可組合風險。
攻擊面上,DeFi本身隨著整合增加,攻擊面是四維增長的,定期靜態安全審計加長期賞金,也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲,唯一靠譜的是在協議上減少外部依賴,最小化攻擊面,盡量待在“自己的舒適區”,不亂做擴展對開放系統來說,安全代價就是自由的代價。
Tags:DEFDEFIEFIREDGDEFI價格defi幣是什么velodromefinance幣開盤價預測BORED價格
最近一段時間,市場開始對usdc,busd甚至dai都有了一些fud,從curve的交易量我們就能看出來市場情緒的變化,3pool24小時的交易量達到了6.13億美金,甚至超過了池子的TVL.
1900/1/1 0:00:002月22日,Obol宣布了MainnetEthereum第一個分布式驗證器的發布,Obol認為這標志著以太坊質押新篇章的到來,這是一個對所有驗證者和質押者都更加安全、有彈性和去中心化的新篇章.
1900/1/1 0:00:00ArchiFinance這個我剛看了,感覺他們是想做GearboxProtocol類似的去中心化配資“平臺”,而不僅是一個GLPLego“產品”平臺做起來的難度比GLPLego產品要大.
1900/1/1 0:00:003月13日,加密貨幣金融服務商貝寶金融創始人、前CEOFlexYang開啟的DeFi項目HOPE正式官宣,而貝寶金融也在一周前,向新加坡法院提交了暫緩執行申請書,開啟重組的第一步.
1900/1/1 0:00:00概述 ChatGPT推出兩個月后用戶數量迅速突破1億,成為業內和資本市場的關注熱點。目前,國內外已有多家科技巨頭在AIGC領域布局.
1900/1/1 0:00:00收益率具有跟代幣價格相似的波動性,在牛市中上漲,在熊市中下跌。PendleFinance的目標是通過增加牛市中的收益率敞口和對沖熊市期間的收益率下滑風險,為用戶提供具有吸引力的收益率.
1900/1/1 0:00:00