靈蹤安全CEO譚粵飛：智能合約安全有其特殊性

金色財經現場報道，4月10日，金色財經主辦的共為創新大會“DeFi的創新進階”專場于上海舉辦，會上靈蹤安全CEO譚粵飛演講表示，

2020年DeFi安全損失超過2億美金，這些安全事故大多來自對智能合約的攻擊，智能合約的安全事故較多，原因有三：第一個是智能合約本身，第二是區塊鏈技術特點，第三是社會因素。

首先智能合約一旦部署，不能被撤回。其次區塊鏈結構使項目方無法知曉攻擊者的社會身份以及交易不可逆。最后是智能合約應用的社會約束比較缺乏，例如缺乏對數字資產的保護，缺乏對區塊鏈應用的約束和規范。

靈蹤安全：Sushi Miso被攻擊的漏洞是一名Sushi雇傭的匿名開發者提交的:9月17日消息，Sushi的Miso項目遭到Supply Chain攻擊，一名Sushi 的匿名前端開發承包商使用GH handle AristoK3將惡意代碼注入Miso前端github倉庫，攻擊者在拍賣創建時插入自己的錢包地址以替換拍賣的錢包地址。

靈蹤安全建議： 開發者應檢查自己的前端應用是否有漏洞，并對前端代碼進行安全審計。[2021/9/17 23:32:08]

靈蹤安全：Arbitrum昨日因channel 阻塞引發內存泄漏，出現網絡故障:9月14日晚，以太坊 Layer2 項目Arbitrum出現網絡故障，其交易排序器因為內存泄漏而停止運行。根據靈蹤安全漏洞檢測系統提示：內存泄漏的位置在源碼SequencerBatcher.SendTransaction() 函數中。

此處漏洞是因為channel 阻塞導致大量goroutine 沒有及時釋放，引發內存泄漏。建議在處理并發時，考慮channel的阻塞情況。當存在高并發條件時，為channel寫入數據時，加上select default 處理。[2021/9/15 23:27:04]

靈蹤安全（Fairyproof Tech）：Iron Bank合約有風險 項目引用須謹慎:靈蹤安全團隊（Fairyproof Tech）分析發現，造成本次事故的原因是Cream協議新引入的無抵押借貸功能Iron Bank相關合約存在漏洞被黑客利用。

Iron Bank大膽采用了無抵押+白名單方式讓用戶從資金池借款。這種方式一方面提高了資金利用率和靈活度，但另一方面增加了項目借貸的風險敞口，試圖采用部分中心化的方式對沖這類風險。

靈蹤安全（Fairyproof Tech）認為由于Iron Bank合約上線時間尚不長，未經過市場檢驗，因此存在較大風險。因此我們提醒所有引用了Cream項目代碼的團隊暫時不要上線Iron Bank功能，加強風險控制。我們后續會發布更進一步的細節。[2021/2/13 19:41:17]