EFI:楊民道：從Euler黑客事件，漫談DeFi的安全審計和安全_DeFi Land

借著Euler黑客事件，聊聊DeFi的安全審計和安全。

大的DeFi協議基本上都經過多輪審計，我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀，但藍籌DeFi沒哪個沒被黑過這里原因很簡單，簡單的數學問題從攻防來看，所有靜態審計的輸入和輸出（發現bug)都是有限的。

除了常規審計，Euler還用了Certora做形式化驗證，這個我們之前也用過，形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍，但是無法窮盡“未知的未知”。DeFi是一個開放系統，對于黑客來說，它的輸入是無限的，輸出也是無限的。假設把安全攻防看成挖礦，你守方用三五臺機器算哈希挖礦。

Quadrata與Polygon合作集成Web3 Passport網絡，以提供身份和合規解決方案:9月29日消息，將身份和合規層引入區塊鏈的護照網絡Quadrata正在將其護照身份技術與Polygon集成，該合作關系將為在Polygon上構建的應用程序提供身份和合規性解決方案的訪問權限。Quadrata還計劃在所有與以太坊虛擬機（EVM）兼容的鏈上部署其身份和合規技術。（businesswire）[2022/9/30 6:03:20]

攻方無數機器時刻在算哈希，只要算對一次就贏了；這個輸贏面對比是明顯的。靜態的安全審計，由于輸入輸出固定，無法覆蓋已知的未知，更無法覆蓋未知之未知。所以出現另一種審計，叫開發式競爭型審計，如Code4rena，審計獎金池固定，但是輸入在一定時間內是彈性的，所有人都可以參加，誰發現bug。

DAO平臺DAOLens獲得500萬美元融資 Nexus Venture Partners領投:金色財經報道，DAO平臺初創公司DAOLens最近在由Nexus Venture Partners領投的種子期前融資500萬美元。專注于加密貨幣的投資公司Better Ventures和iSeed II也共同領投了這輪融資。該平臺隨后的估值并未披露。

在種子輪前的其他數十名參與者中，包括曾供職于Coinbase和a16z的巴拉吉?斯里尼瓦桑;Matrix Partners的庫馬爾?阿卡什;Solana的Raj Gokal;SIG的Dean Carlson;Animoca Brands的Simon Doherty;以及Coinbase和軟銀等公司的高管。

這家初創公司由Vikram Aditya和Apoorv Nandan于今年1月創立。（blockworks）[2022/7/14 2:11:35]

按照嚴重程度，分獎金，這個方式是讓審計師/白帽去卷，可以擴大覆蓋面，但總體輸入依然固定，遠遠不夠。最后是完全開放的模式，那就是賞金網絡，DeFi里最出名的Immunefy，云集最多DeFi白帽高手的平臺，我建議每個DeFi在上面發bounty，親測效果十分明顯。Immunefy的獎金項目方會給非常高。

NFT分析平臺NFTEye獲165萬美元種子輪融資，Sky9 Capital領投:6月30日消息，NFT分析平臺NFTEye今日宣布完成165萬美元種子輪融資，Sky9 Capital領投，IMO Ventures、NGC Ventures、Smrti Lab、OFR等參投。本輪資金將用來擴大團隊和用戶群，增強數據基礎設施以增加多鏈支持。

NFTEye是一個提供深度分析和專業交易套件的一體化平臺。借助NFTEye分析，客戶可以通過Mint數據、趨勢收藏、藍籌指數和其他核心指標和信號來識別潛在機會。未來還將支持NFT游戲（GameFi）和虛擬世界分析。[2022/6/30 1:41:36]

比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金，但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的，這個類似于黑客的攻擊模式。

但兩者激勵模式很大區別。假如把兩者當成是抽獎，同樣1000w獎金池，賞金模式獎金一般都會在10w-30w刀封頂黑客模式是100%獎金全拿走這兩種模式，同等投入，同樣中獎概率，假設沒有犯罪成本，毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%，也跑不贏黑客池，除非把犯罪成本加入等式。

有人建議把賞金比例和TVL掛鉤，比如10%，是否會激勵更多黑客轉白帽？首先，沒哪個defi協議能支付10%TVL的賞金，其次，遇到真黑客，他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面，還有可組合風險。

攻擊面上，DeFi本身隨著整合增加，攻擊面是四維增長的，定期靜態安全審計加長期賞金，也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲，唯一靠譜的是在協議上減少外部依賴，最小化攻擊面，盡量待在“自己的舒適區”，不亂做擴展對開放系統來說，安全代價就是自由的代價。

Tags：EFIDEFDEFINFTDeFi LandDefilancer tokenDeFi11NFTI價格

酷幣交易所