比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 幣贏 > Info

DEFI:借著Euler黑客事件 聊聊DeFi的安全審計和安全_DEF

Author:

Time:1900/1/1 0:00:00

大的DeFi協議基本上都經過多輪審計,我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀,但藍籌DeFi沒哪個沒被黑過?這里原因很簡單,簡單的數學問題從攻防來看,所有靜態審計的輸入和輸出(發現bug)都是有限的。

除了常規審計,Euler還用了Certora做形式化驗證,這個我們之前也用過,形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍,但是無法窮盡“未知的未知”。DeFi是一個開放系統,對于黑客來說,它的輸入是無限的,輸出也是無限的。假設把安全攻防看成挖礦,你守方用三五臺機器算哈希挖礦攻方無數機器時刻在算哈希,只要算對一次就贏了;這個輸贏面對比是明顯的。靜態的安全審計,由于輸入輸出固定,無法覆蓋已知的未知,更無法覆蓋未知之未知。

2264枚BTC從未知錢包轉移到Coinbase:金色財經報道,據Whale Alert監測,4小時34分鐘前有2264枚BTC(63,865,017USD)從未知錢包轉移到Coinbase。[2023/6/21 21:51:40]

所以出現另一種審計,叫開發式競爭型審計,如Code4rena,審計獎金池固定,但是輸入在一定時間內是彈性的,所有人都可以參加,誰發現bug按照嚴重程度,分獎金,這個方式是讓審計師/白帽去卷,可以擴大覆蓋面,但總體輸入依然固定,遠遠不夠。最后是完全開放的模式,那就是賞金網絡,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平臺,我建議每個DeFi在上面發bounty,親測效果十分明顯。Immunefy的獎金項目方會給非常高。比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金,但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的,這個類似于黑客的攻擊模式。

Phantom:影響部分用戶的服務中斷問題已解決:6月14日消息,加密錢包Phantom官方表示,目前影響部分用戶的服務中斷問題已解決。數小時前,官方發推提示,由于Amazon Web Services(AWS)中斷,錢包服務會受到影響,用戶的資產是安全的。[2023/6/14 21:35:57]

但兩者激勵模式很大區別。假如把兩者當成是抽獎,同樣1000w獎金池,賞金模式獎金一般都會在10w-30w刀封頂,黑客模式是100%獎金全拿走。這兩種模式,同等投入,同樣中獎概率,假設沒有犯罪成本,毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%,也跑不贏黑客池,除非把犯罪成本加入等式,有人建議把賞金比例和TVL掛鉤,比如10%,是否會激勵更多黑客轉白帽??

安全團隊:Mutant Cats項目Discord賬戶可能已被攻擊:金色財經報道,據CertiK監測,Mutant Cats項目Discord賬戶可能已被攻擊。請社區用戶不要點擊其中的任何鏈接。[2022/9/23 7:16:17]

?首先,沒哪個defi協議能支付10%TVL的賞金,其次,遇到真黑客,他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面,還有可組合風險攻擊面上,DeFi本身隨著整合增加,攻擊面是四維增長的,定期靜態安全審計加長期賞金,也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲,唯一靠譜的是在協議上減少外部依賴,最小化攻擊面,盡量待在“自己的舒適區”,不亂做擴展。對開放系統來說,安全代價就是自由的代價

Tags:DEFIEFIDEFANTPyrrho DeFiZEFI幣DEFTFantom

幣贏
NFT:NFT 市場之戰:Blur vs OpenSea_OpenSea

在之前的2021年末和2022年初的NFT牛市中,OpenSea幾乎占據了市場主導地位,日交易量達數十億美元.

1900/1/1 0:00:00
BIT:晚間必讀|Arbitrum發幣 對L2大戰有何影響?_Serum

1.金色觀察|Nansen:Arbitrum空投鏈上分發模型詳解Arbitrum空投鏈上分發發模型依賴于Nansen鏈上數據和標簽,根據錢包的鏈上歷史活動為其分配資格積分.

1900/1/1 0:00:00
FTX:FTX余波未了?Crypto銀行Silvergate Capital能否經受市場震蕩的考驗?_gate.io官網下載最新版二維碼

SilvergateCapital曾經是Crypto公司的重要銀行合作伙伴,現在正處于破產的邊緣.

1900/1/1 0:00:00
人工智能:6個讓你生活更輕松的人工智能工具(不包括ChatGPT)_LootBot

試用了ChatGPT好幾周之后,我突然想知道,是否有其他人工智能工具也能像ChatGPT一樣,讓我的生活更輕松?人工智能正在改變我們的工作和生活方式,我不想錯過充分利用它的機會.

1900/1/1 0:00:00
BTC:金色午報 | 3月17日午間重要動態一覽_比特幣

7:00-12:00關鍵詞:Arbitrum、美聯儲、Base測試網、Tether1.Arbitrum宣布允許開發者部署L3區塊鏈的ArbitrumOrbit;2.

1900/1/1 0:00:00
區塊鏈:如何將交互式的零知識證明(zk proof)協議改造為非交互式_3COMMAS價格

前言 密碼學當中的零知識證明技術在web3世界有著廣泛的應用,包括進行隱私計算、zkRollup等等。其中Layer2項目FOX所使用的FOAKS就是一個零知識證明算法.

1900/1/1 0:00:00
ads