區塊鏈:首發 | 遇到有漏洞的DeFi合約概率是多少？審計后又有多大概率被攻擊？_DOGETF幣

身在新冠日增確診10萬例美國的小編，因為硬核原因不得不搭乘飛機出門。出行前一直擔心是否會被感染，途中卻被飛機遇到猛烈氣流的顛簸唬住了。

雖然心里默默安慰自己飛機空難發生的概率非常低，感染新冠肺炎的概率也沒那么高，但還是想起來了四個字：“墨菲定律”

在現代科技發展的大潮流下，鎖定在區塊鏈領域里的資產愈發龐大。隱藏在計算機背后的危機也隨著區塊鏈的發展日益展露猙獰的面目。

智能合約當中，任何一個小bug，都可能會給項目或者投資者造成無法挽回的損失。

受此警示之下，CertiK安全團隊利用CertiK天網系統?，對自北京時間2020年12月4日0時至24時之間，新加入Uniswap的代幣智能合約進行了監控分析。

在本次分析的時間段內，一共產生了29個智能合約代幣項目。

LBank藍貝殼于5月3日20:00首發 CSPR(Casper)，開放USDT交易:據官方公告，5月3日20:00，LBank藍貝殼上線 CSPR(Casper)，開放USDT交易，同時并開放充值，資料顯示，Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用，同時確保隨著網絡參與者需求的發展，其在未來仍能保持高性能。[2021/5/3 21:19:51]

經過CertiK的Skynet分析，總計發現16個智能合約存在漏洞或者缺陷！

大概有55%的智能合約項目或多或少存在漏洞或者缺陷，其中大約有10%存在嚴重漏洞，45%存在項目擁有者權限過大，權限中心化過高的缺陷。

本次分析的智能合約項目名稱和合約地址如下：

分析結果如下：?

LBANK藍貝殼于3月22日18:00首發 DORA，開放USDT交易:據官方公告，3月22日18:00，LBANK藍貝殼首發DORA(Dora Factory)，開放USDT交易，現已開放充值。

資料顯示，Dora Factory 是基于波卡的 DAO 即服務基礎設施，基于 Substrate 的開放、可編程的鏈上治理協議平臺，為新一代去中心化組織和開發者提供二次方投票、曲線拍賣、Bounty 激勵、跨鏈資產管理等可插拔的治理功能。同時，開發者可以向這個 DAO 即服務平臺提交新的治理模塊，并獲得持續的激勵。[2021/3/22 19:07:06]

雖然難以通過一天的情況來預估所有時間范圍內的智能合約安全情況，但窺一斑而知全豹。

下面主要針對三個相對重要的漏洞進行分析：

nostromo.finance(NSTR)

首發 | imKey正式支持Filecoin，成為首批Filecoin硬件錢包:12月1日，隨著imToken2.7.2版本上線，imKey同步支持Filecoin，成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一，成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。

據悉，imKey團隊已在Q4全面啟動多鏈支持計劃，計劃實現imToken已經支持的所有公鏈項目，本次imKey升級更新，無需更換硬件，不涉及固件升級，通過應用（Applet）自動升級，即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]

圖1:burnFrom()函數

圖1中burnFrom函數受到ownerOnly修飾詞限制，只允許項目管理者執行該函數。該函數內部邏輯實現允許通過設置account,balance和subtractValue的值，間接對_totalSupply和給定賬戶的_balances值進行任意修改。

首發 | 區塊鏈技術及軟件安全實戰基地正式成立:金色財經報道，今日，中軟協區塊鏈分會、人民大學、菏澤市局相關部門聯合共建的區塊鏈技術及軟件安全實戰基地正式成立。同時聘任中軟協區塊鏈分會副秘書長宋愛陸為區塊鏈技術及軟件安全實戰基地特別專家。

區塊鏈技術及軟件安全實戰基地主要涉及領域為：非法數字貨幣交易與洗錢、區塊鏈傳銷與電信詐騙、網絡賭博、四方支付、冒用商標注冊等，聯合社會治理、城市安全、前沿技術領域的行業專家，進行警協合作。

據公開報道，近期菏澤市下屬機關剛破獲一起特大電信網絡詐騙案，打掉多個涉嫌以網貸和投資“比特幣”為名的詐騙團伙，抓獲犯罪嫌疑人83名，扣押凍結涉案資金2700萬元。[2020/7/21]

PowerPool.Finance(CVP)

圖2:?powerpoolttl合約中回退函數

圖2中為powerpoolttl合約的回退函數。當外部用戶對該智能合約進行調用，如果該調用中沒有調用合約中的任何一個函數，或者僅僅轉移了代幣到該合約中，則回退函數會被調用。70行的邏輯顯示，當回退函數被調用時，調用中被轉移到合同中的代幣會被直接轉移到teamAddress的地址中。

首發 | 嘉楠耘智宣布與Northern Data在AI、區塊鏈等高性能計算領域達成戰略合作:據官方消息，2020年2月17日，嘉楠耘智宣布與區塊鏈解決方案及數據中心服務提供商Northern Data AG達成戰略合作。本次合作的內容涵蓋AI、區塊鏈及數據中心運維等高性能計算領域。

嘉楠耘智擁有豐富的高性能計算專用ASIC芯片研發經驗。Northern Data AG則專注于區塊鏈和數據中心等高性能計算基礎設施的建設。通過本次戰略合作，雙方將在AI、區塊鏈等新興領域進一步釋放增長潛能。[2020/2/19]

omphalos.co(OMPL)

該項目中可以通過執行transferFrom()函數進行對代幣轉移，根據圖3中transferFrom()函數定義，211行需要執行getFee函數決定每次代幣轉移需要扣除的費用。從圖3中getFee()函數的定義可以看到，決定費用高低的邏輯是取決與241行調用的Management.getFee()函數的定義。當前Management.getFee()函數的邏輯定義是根據manager變量中存儲的地址值的不同而進行改變。當前manager變量中存儲的地址值如圖6所示。

然而manager變量中存儲的地址值所指向的智能合約并未在etherscan上被認證，因此無法得知該智能合約的源代碼，繼而無從得知Management.getFee()函數的定義。

由于Management.getFee()函數背后的邏輯無法得知，因此項目擁有者有可能通過操作Management.getFee()函數返回值的方式，調整每次代幣轉移的費用，進行惡意操作等。

圖3：transferFrom()函數

圖4：StandardToken合約中的getFee()函數?

圖5：Management智能合約接口與getFee函數接口

圖6：當前manager變量存儲的地址值

圖7：當前manager變量存儲的地址值指向的智能合約

大家都知道2020年最知名的一個例子——DeFi項目Yam于北京時間8月12日3:00啟動后，盡管該項目的博客文章警告稱尚未對其合約進行任何審計，但瘋狂的Yieldfarmers在不到一小時內向該項目存入了7600萬美元。

后期不出意料，Yam在短短36小時內，數億美元因為一個小小的漏洞，消失于無形。

安全審計現在已經是高質量DeFi項目的標配。當前DeFi項目熱潮持續不減，很多項目為了抓住熱點與機遇，在未經嚴格測試和審計的情況下便匆忙上線。

這些項目中，大部分的漏洞是無法通過常見的測試方法和工具來發現的。只有尋找專業的審計專家進行嚴謹的數學模型證明，才可以發現該漏洞。形式化驗證是當前唯一被證明可以產生可信數學證明的軟件驗證方法。

因此，采用基于形式化驗證方法的區塊鏈檢測工具來驗證項目中的安全漏洞，應成為每一個項目在上鏈前的必經步驟。

每一個項目受到攻擊或是損失資產的原因，都是因為一個非常小的代碼漏洞。

計算機領域中，平均每1000行代碼中，會有1-25個bug。也就是說，這個概率的區間是千分之一至百分之二點五。

那么那些已經接受安全審計并通過的項目呢？

CertiK選取了三家公開審計信息的安全公司進行了數據統計。

此次統計了這三家公司的共計377個被審計的項目。

其中有8個項目在至少被審計過一次的情況下，仍舊遭受到了黑客攻擊。

這8個已審計卻被攻擊的項目，整整損失了6900萬美元。

根據此三家審計公司的數據來計算審計后被黑客攻擊的比例是：8/377=2.12%

代碼產生bug的幾率和項目已通過審計但仍舊被攻擊的概率大抵都約等于2%，在這里舉個簡單的例子：

根據SquareTrade數據統計顯示——在美國，短短一小時內就有5761個手機屏幕壯烈犧牲。假設，美國人均一部手機，并且沒有重復摔同一部手機的癖好。那么50天內，一位美國小伙兒有2%的幾率把手機屏幕摔碎。

但是一部手機的使用壽命肯定不止50天，如果用一年呢？這個概率驟增為15%！使用超過三年半，概率就超過了50%！

這就印證了上文中的墨菲定律——小概率事件的必然性：時間基數夠長的情況下，壞事總會輪到你的。

而空難發生的幾率是五百萬分之一。

相比之下，代碼產生漏洞的概率以及項目已通過審計但仍舊被攻擊的概率是空難的整整12.5萬倍！

如果在飛機顛簸的時候，你害怕飛機失事，那么不妨用超出10萬倍的擔心，去保護你的項目。

這么對比過后，你還覺得項目不需要額外的保障嗎？

為之于未有，制治于未亂。

除靜態審計之外，動態的安全防護更能夠防范攻擊事件。CertiK開發的動態安全工具：快速掃描——安全預言機——CertiKShield，從預警到實時評測到保險計劃，可以全方位為項目方提供安全保障。

Tags：區塊鏈MANMANAETF國內區塊鏈公司前十排名HumanscapeMANA價格DOGETF幣

芝麻開門交易所下載