比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > Bitcoin > Info

區塊鏈:Fairyproof TechCEO譚粵飛:DeFi投資者一定要看項目審計報告_FAI

Author:

Time:1900/1/1 0:00:00

金色財經現場報道,4月10日,由金色財經主辦,波場TRON總冠名,HBTC、SumSwap、SubGame首席合作企業的“2021共為·創新大會”在上海舉辦。大會以“DeFi的創新進階”為主題,匯聚百家優秀區塊鏈企業和眾多行業大咖,共同探討Defi生態、波卡、NFT、交易所公鏈、ETH 2.0、Layer2六大賽道話題。

在下午的“DeFi+NFT”主題專場,Fairyproof TechCEO譚粵飛做了《小白用戶如何讀懂DeFi合約的審計報告》的主題演講。譚粵飛在演講中指出,2020年DeFi安全損失超過2億美金,這些安全事故大多來自對智能合約的攻擊,智能合約的安全事故較多,原因有三:第一個是智能合約本身,第二是區塊鏈技術特點,第三是社會因素。首先智能合約一旦部署,不能被撤回。其次區塊鏈結構使項目方無法知曉攻擊者的社會身份以及交易不可逆。最后是智能合約應用的社會約束比較缺乏,例如缺乏對數字資產的保護,缺乏對區塊鏈應用的約束和規范。

以下為演講詳情:

譚粵飛:今天我和大家分享的主題是如何閱讀DeFi合約的審計報告。當我們說到審計報告的時候,事實上我們談的是DeFi的安全,我們談安全的時候,很多時候覺得這個概念比較抽象,所以,我給大家展示一些數據。

南非FSCA專員澄清:FAIS法案不包含礦工和NFT:10月23日消息,南非金融市場行為監管局(FSCA)于10月20日在官網發布公告稱,該國《2002年金融咨詢和中介服務法案》(FAIS)已經更新,涵蓋加密資產的定義,并將加密資產歸類為金融產品。不過FCSA專員Unathi Kamlana澄清,“FCSA有意提及加密資產而非加密貨幣,是因為監管機構認為它們并不符合貨幣要求。非同質化代幣(NFT)不包括在聲明中,因為它們更像傳統的藝術投資,但我們將繼續監測NFT市場。”

此前報道,南非監管機構表示,加密貨幣金融公司必須在2023年獲得運營牌照。(Techcabal)[2022/10/23 16:35:50]

整個大餅是2020年整個一年所有和區塊鏈安全事故所引起的損失,所有的損失,請大家注意看,其中光DeFi左邊紅色區域是DeFi損失,2.38億萬美元,占整個區塊鏈安全所引發的損失40.9%,幾乎接近一半。在2020年之前,DeFi安全的事故遠遠沒有這么夸張,但是DeFi的出現導致安全的事故如此嚴重。

還不是這么直觀,我們再看一些更具體的事例,我們從底下看起,2020年12月26日資金池的資金被轉移,2020年12月21日被攻擊,2021年1月份壽司被攻擊,2月份WFI又被攻擊,我羅列的數據不是指出這些項目本身怎么樣,我是想要讓大家注意,這些項目被攻擊的時間點,大家有沒有發現從2020年10月到2021年3月,每個月都有一個比較知名的DeFi項目受到供給,足以說明安全事故在DeFi領域發生的頻率和頻次多么高。

Ethereum Fair(ETF)空投測試合約在以太坊網絡完成部署:金色財經消息,據Ethereum Fair官方消息,目前已經完成以太坊網絡上的空投合約部署,當分叉完成后此合約將同步至Ethereum Fair網絡上,符合條件用戶可以進行空投領取的相關操作。[2022/9/5 13:09:46]

安全事故的頻發不僅僅項目方的聲譽,直接影響投資者的利益,接下來,我和大家分享一下為什么智能合約安全事故這么多,他是由特殊的因素所確定,我們Fairyproof Tech團隊認為,出現安全事故的原因主要有三個因素,第一個智能合約本身運行的機制,第二個區塊鏈技術的特點,第三個智能合約應用的社會約束。

我們首先來看第一個智能合約本身運行機制,智能合約有一個非常大的特點,和我們傳統的IT應用有一個什么樣大的特點,我們使用比較傳統的應用的時候,我們使用一個游戲或者是APP,我們使用過程當中突然有一天項目方告訴我們,這個APP發布一個公告,這個APP有問題,在這種情況下,項目方把APP從APP商店里面下架,讓大家使用舊的版本,他們把有問題的版本撤下去修改完善之后使用新的APP,但是在區塊鏈領域,以太坊領域,一旦智能合約理解成為是一種APP,部署到以太坊上面以后,他是沒有無法被撤退,這是不能像傳統的IT里面的應用被撤回,一旦智能合約開始執行的時候,這是不可逆的,或者我們可以理解,我們發現有問題的智能合約部署到以太坊上面,漏洞被黑客發現,黑客利用漏洞攻擊它的時候我們眼睜睜看到資金池里面的資金被盜走,我們無能為力,我們在傳統領域,把服務器關掉,但是在以太坊上面,這樣的事情是不能發生,我們不可能把以太坊關機。

靈蹤安全(Fairyproof Tech):Iron Bank合約有風險 項目引用須謹慎:靈蹤安全團隊(Fairyproof Tech)分析發現,造成本次事故的原因是Cream協議新引入的無抵押借貸功能Iron Bank相關合約存在漏洞被黑客利用。

Iron Bank大膽采用了無抵押+白名單方式讓用戶從資金池借款。這種方式一方面提高了資金利用率和靈活度,但另一方面增加了項目借貸的風險敞口,試圖采用部分中心化的方式對沖這類風險。

靈蹤安全(Fairyproof Tech)認為由于Iron Bank合約上線時間尚不長,未經過市場檢驗,因此存在較大風險。因此我們提醒所有引用了Cream項目代碼的團隊暫時不要上線Iron Bank功能,加強風險控制。我們后續會發布更進一步的細節。[2021/2/13 19:41:17]

我不知道大家注意到推廣以太坊的時候,很多人不理解以太坊是什么,他用簡單的一句話,以太坊是永遠不停歇的世界計算機,永遠不宕機,一旦運行無法停下來。

第二點跟區塊鏈技術本身相關,我們談到區塊鏈技術的時候,我們首先看看區塊鏈技術的第一個應用就是比特幣,我們最早說比特幣至今很多人比特幣的時候想到第一個特點是匿名,當然如果按照純技術的觀點來講,這是偽匿名,做到擬匿名的情況下,在某種情況下把個人真實的信息進行了隱藏,匿名是什么意思,我們在區塊鏈里面進行每一筆交易的時候,我們在所有的可公開查詢的資料里面,我們只能看到發起這筆交易或者是參與交易的這些地址,但是我們沒有辦法把這個地址和執行這筆交易的持有這個地址的人在社會生活當中的真實身份掛鉤。我們不知道這個地址背后的持有人是誰,他叫什么名字,它的身份證號是多少,他在哪個國家,所以因為這個原因他是匿名的,這樣導致了我們在區塊鏈里面,在智能合約里面一旦發生安全事故,我們知道有黑客攻擊我們只是看到攻擊的地址,我們不知道地址后面的持有人是誰,我們不知道黑客真實的社會身份是什么。

區塊鏈公司FunFair在日本推出本土化B2B區塊鏈平臺:區塊鏈公司FunFair Technologies已在日本推出其本土化平臺,日語將成為該公司技術的第一外語。FunFair是一個B2B區塊鏈平臺,之前只提供英文版本。該公司認為,日本的人口結構非常適合區塊鏈產品,其用戶精通技術、年輕且富裕。(EGR)[2020/4/2]

剛剛我講的智能合約本身的技術特點,還有區塊鏈技術特點,導致安全事故非常特殊的特點,從技術角度考慮,還有一個角度我們平時各個公共場合大家提到比較少,但是在我們團隊看來恰恰也是目前最復雜最難掌控的地方,這就是社會約束。

我在這里羅列兩條,現有的法律法規缺乏對數字資產的保護,當我說這個問題的時候有朋友說,在我們國家關注到最近一兩年關注數字貨幣法律的信息會說,我們國家在民法典出臺具體的措施,保護數字資產,但是請大家注意,這樣的一些條款和民法典里面,不管是我們國家的法律以及世界各國的法律,對傳統資產的保護力度和廣度跟他們相比是無法相比的,所以現在全世界各國對數字資產的保護,在法律上面都是不規范,不完善,不完備。

第二點現有的法律缺乏對區塊鏈的應用和監管。現有的法律對所有的傳統應用,互聯網應用也好,他有一個約束性,有一個規范,但是這樣的法律對智能合約的規范,目前在全世界任何一個國家幾乎一個都沒有,最近在美國,美國的某些州已經成人智能合約的某些法律效應,但是這是吃螃蟹而已,只是嘗試而已,真正在具體落地或者是未來實現過程當中存在什么問題會產生新的問題或者是新的方式,我們目前都不得而知,在這方面也是一片空白。

動態 | FairWin合約內價值300萬美元的ETH被轉移清空:根據Etherscan的數據,以太坊上資金盤游戲FairWin的智能合約錢包已被清空,此前有價值300萬美元的ETH。鏈上數據顯示,這些ETH被轉移至多個以太坊地址。目前并不清楚這是黑客所為還是用戶提出ETH。(The Block)[2019/10/1]

所以,智能合約本身的問題,區塊鏈技術本身的問題,以及智能合約應用缺乏的社會約會導致智能合約的安全有非常特殊的地方,所以,造成的事故這么頻繁,造成的危害這么大。

剛剛我跟大家分享的是安全的一些特殊性,下面我和大家分享一下我們團隊目前對所有在智能合約安全領域發生的事故我們一般分成三類,第一類是已知風險,第二類是潛在風險,第三類是人為風險。

什么是已知風險,已知風險我們現在在技術領域技術團隊或者是業界根據以往所有發生的安全事故所總結出來的一些安全的特點,一些事故的特點,總結出來的一些規律,我們知道了這些規律,知道了這些事故的特點和特性我們很容易判斷,所以我們稱之為是已知的風險。

潛在的風險是什么,這些風險從來沒有出現過,或許在我們運行的智能合約里面,但是我們不知道,或者說這些風險暫時因為條件不成熟,還沒有被觸發,這是潛在風險。

第三個是人為風險。我羅列了11個風險,實際上,并不是說在智能合約領域只有這11個風險,我羅列這11個風險,這是目前出現比較頻繁的風險,而且我們見到比較多的風險,具體到每個風險,在業界有很多的分析和講解,在這里我不和大家細說。

我們舉一些更詳細的例子講講已知風險和潛在風險和人為風險。我們看看這個風險,在座的朋友們有沒有在2018年4月份之前上一輪進入幣圈(有),那一輪的牛市瘋狂,瘋狂到什么地步,不僅很多小白用戶進來,而且傳統的IT界的大佬在這個領域,美鏈跟某一位傳統的IT公司有非常深的關系,他做了什么事情,他發布一個智能合約出現一個重大的安全漏洞,什么漏洞?在一行代碼計算過程當中沒有使用安全的數學庫,導致計算溢出,溢出導致的代幣被巨量增發,導致價格暴跌。這是2018年4月22日。

在此之前可能這樣的事故叫做潛在風險,現在這個事故發生以后,在業界我們用技術分析出來出現安全事故的原因以及可能出現的征兆和特點,我們現在稱之為已知風險,這是已知風險的典型。

第二個案例,2020年312,比特幣和以太坊全部報鐵,比特幣跌到4000美元以下,以太坊跌到100美元,在比特幣和以太坊暴跌以后,MakerDAO出現瘋狂擠兌的機制,最后發現是機制設計的問題。

接著紅薯被攻擊,20206年6月份,YAM被攻擊,紅薯這個項目非常有名,這個項目被攻擊以后,它的創始人在推特上面發了一段話,對不起,我們失敗了,這么大的事故是怎么產生的,主要是因為邏輯運算中缺乏分母,就是這么簡單。

第三個案例,是YFI是去年一整輪過程當中,運行大半年沒有出現問題,今年二月份出現問題,這個事件的出現是因為出現了一個應用方式善待貸導致穩定幣的價格被操控。還有TSD被攻擊,我們審查合約代碼的時候,如果不是對邏輯理解特別深刻,紅薯被攻擊的除法算法不對,幾乎很難被發現,另外三個更加困難,是治理機制出現了問題,而不是代碼的問題,這個問題更難發現,對于這樣的問題我們歸結為潛在問題,潛在的問題以前有,今天有,未來還有,甚至包括我們所有運營的這么多合約上面,雖然很多都通過了很多公司的審計,但是我們依然擔心里面還存在著很多潛在的大量的隱患,只不過這些隱患由于條件不成熟,沒有被觸發而已。潛在問題是對整個安全行業以及整個區塊鏈行業最大的挑戰,也是我們著力最重的地方。

還有一個是人為風險,因為時間有限,后面的內容我講快一點,人為的疏忽跟代碼的關系更少,幾乎是因為人為的管理方面出現問題,我前面講了安全的特殊性以及安全有哪些問題,下面我和大家講一個非常重要的事項,也就是說,我們作為智能合約的審計公司,我們最重要的事情是做什么,就是為項目審計智能合約代碼,看里面有沒有安全事故,我剛剛在展臺的時候有很多朋友過來問我們,你們寫的這些報告對我們普通投資者小白來說到底有什么作用,我在這里講,作用非常非常大。很多小白用戶看到我們寫的報告,這是技術文檔,雖然是技術文檔,但是里面有一部分內容非常通俗易懂,并且跟你的利益密切相關的。

在我們的報告里面這部分關鍵的內容就是我們整個審計報告里面的第一章,在我們審計報告當中的第一章,我們會開宗明義寫這個項目是做什么的?這個項目的合約有什么功能?以及在我們審查過程當中,我們發現這個項目的風險沒有?所以,對于任何用戶而言,當你看一個項目的時候,如果這個項目有我們的審計報告,我個人建議處于你對自己投資利益的保護和自己利益的關心,無論如何你要看一看審計報告,當你拿到這份審計報告的時候,你可以不堪其他的章節,但是一定要看第一章,看完第一章,基本上不用花5分鐘的時間你就能夠明白這份合約安全不安全或者說這個項目通過我們公司審計的時候發現存在的問題,項目方是怎么處理這些問題,起碼可以看到項目方對于處理問題的態度,對于你投資項目而言是參考的作用。

所以我強調審計報告一定要看,如果各位拿到是我們公司出的審計報告,關于技術部分不用看,但是一定要看第一章,第一章報告是我們對整個審計過程的精華和總結,看完第一章不需要5分鐘,5分鐘時間內大致理解這個項目做什么,合約是干什么的,安不安全,以及在審計過程當中出現什么問題。

Tags:區塊鏈FAI以太坊DEF哪個不是區塊鏈特性FAIR幣以太坊幣怎么挖礦網站下載DEFLY

Bitcoin
OIN:Coinbase成功上市或會刺激加密貨幣牛市延續 合規對其股價發展仍是較大隱患_BitNewCoin

距離美國加密交易平臺 Coinbase 的A類普通股在納斯達克交易的日期還有1天。Coinbase 的上市一直以來被認為是加密行業里程碑式的事件.

1900/1/1 0:00:00
EFI:BitMEX創始人:如何給以太坊的未來估值?_比特幣以太坊行情分析

如何為以太坊網絡估值一直都是行業性難題,近日BitMEX創始人Arthur Hayes撰文談及這一問題.

1900/1/1 0:00:00
區塊鏈:?區塊鏈技術代幣激勵機制研究_比特幣

中本聰于2009年發布的《比特幣:一種點對點的現金支付系統》中將區塊鏈技術規納為一種去中心化的由各個參與節點驗證存儲、防篡改、可追溯、去中心化的分布式賬本.

1900/1/1 0:00:00
INB:“木頭姐”繼續加倉Coinbase 分析師給出目標價450美元_COIN

在“加密第一股”Coinbase在納斯達克上市一周后,備受市場關注的華爾街明星基金經理凱西·伍德(Cathie Wood)再次增持了該交易所的股票,這已經是伍德第三次增持該股票了.

1900/1/1 0:00:00
KUSA:Kusama什么時候開始拍賣?我的DOT為什么總是轉賬失敗?_SAM

最近收到很多同學關于拍賣和質押的私信,所以在昨天舉辦了一次線上直播,統一回答了一些大家的疑問。針對提問比較多的問題,也整理成文字版供大家參考.

1900/1/1 0:00:00
比特幣:Coinbase早期投資人Garry:復盤6000倍回報誕生始末_COIN

Coinbase的上市已經成為行業的里程碑事件,其巨大的市值也為早期投資者帶來豐厚的回報,例如其早期投資者Garry Tan.

1900/1/1 0:00:00
ads