金色財經現場報道,4月10日,由金色財經主辦,波場TRON總冠名,HBTC、SumSwap、SubGame首席合作企業的“2021共為·創新大會”在上海舉辦。大會以“DeFi的創新進階”為主題,匯聚百家優秀區塊鏈企業和眾多行業大咖,共同探討Defi生態、波卡、NFT、交易所公鏈、ETH 2.0、Layer2六大賽道話題。
在下午的“DeFi+NFT”主題專場,Fairyproof TechCEO譚粵飛做了《小白用戶如何讀懂DeFi合約的審計報告》的主題演講。譚粵飛在演講中指出,2020年DeFi安全損失超過2億美金,這些安全事故大多來自對智能合約的攻擊,智能合約的安全事故較多,原因有三:第一個是智能合約本身,第二是區塊鏈技術特點,第三是社會因素。首先智能合約一旦部署,不能被撤回。其次區塊鏈結構使項目方無法知曉攻擊者的社會身份以及交易不可逆。最后是智能合約應用的社會約束比較缺乏,例如缺乏對數字資產的保護,缺乏對區塊鏈應用的約束和規范。
以下為演講詳情:
譚粵飛:今天我和大家分享的主題是如何閱讀DeFi合約的審計報告。當我們說到審計報告的時候,事實上我們談的是DeFi的安全,我們談安全的時候,很多時候覺得這個概念比較抽象,所以,我給大家展示一些數據。
NFT鑄造平臺Fair.xyz與OpenSea合作推出靈魂綁定代幣Minter Token:9月8日消息,針對創作者的NFT鑄造平臺Fair.xyz與OpenSea合作推出靈魂綁定代幣Minter Token,以作為創作者與OG社區互動的新方式,它可直接集成到智能合約中,允許為NFT項目的鑄幣者構建封閉式體驗,并兼容所有歷史、現在和未來的NFT。其中用戶可進行免費Claim,前500名免Gas費,同時可通過分享Minter Token以參與RTFKT贈品的抽獎活動。[2022/9/8 13:15:39]
整個大餅是2020年整個一年所有和區塊鏈安全事故所引起的損失,所有的損失,請大家注意看,其中光DeFi左邊紅色區域是DeFi損失,2.38億萬美元,占整個區塊鏈安全所引發的損失40.9%,幾乎接近一半。在2020年之前,DeFi安全的事故遠遠沒有這么夸張,但是DeFi的出現導致安全的事故如此嚴重。
還不是這么直觀,我們再看一些更具體的事例,我們從底下看起,2020年12月26日資金池的資金被轉移,2020年12月21日被攻擊,2021年1月份壽司被攻擊,2月份WFI又被攻擊,我羅列的數據不是指出這些項目本身怎么樣,我是想要讓大家注意,這些項目被攻擊的時間點,大家有沒有發現從2020年10月到2021年3月,每個月都有一個比較知名的DeFi項目受到供給,足以說明安全事故在DeFi領域發生的頻率和頻次多么高。
Fairlead Strategies創始人:技術分析顯示,比特幣短期看漲信號已經出現:4月21日消息,Fairlead Strategies創始人兼管理合伙人Katie Stockton的技術分析顯示,比特幣的看漲信號已經出現,支持比特幣價格繼續向廣泛跟蹤的200天簡單移動均線(SMA)上漲。
日線圖顯示,比特幣在過去三天從38500美元上升到42200美元,捍衛了一目均衡圖(Ichimoku Cloud)的支持。
Stockton在一封電子郵件中表示:“比特幣在接近4萬美元獲得了重要支撐,在三天的反彈后,從每日隨機數據中產生了超賣‘買入’信號,支撐了短期看漲的趨勢。日MACD指標也受到擠壓,反映出短期勢頭改善,支持向靠近48100美元的下一個阻力位(由200日移動均線定義)上行。”(CoinDesk)[2022/4/21 14:39:23]
安全事故的頻發不僅僅項目方的聲譽,直接影響投資者的利益,接下來,我和大家分享一下為什么智能合約安全事故這么多,他是由特殊的因素所確定,我們Fairyproof Tech團隊認為,出現安全事故的原因主要有三個因素,第一個智能合約本身運行的機制,第二個區塊鏈技術的特點,第三個智能合約應用的社會約束。
我們首先來看第一個智能合約本身運行機制,智能合約有一個非常大的特點,和我們傳統的IT應用有一個什么樣大的特點,我們使用比較傳統的應用的時候,我們使用一個游戲或者是APP,我們使用過程當中突然有一天項目方告訴我們,這個APP發布一個公告,這個APP有問題,在這種情況下,項目方把APP從APP商店里面下架,讓大家使用舊的版本,他們把有問題的版本撤下去修改完善之后使用新的APP,但是在區塊鏈領域,以太坊領域,一旦智能合約理解成為是一種APP,部署到以太坊上面以后,他是沒有無法被撤退,這是不能像傳統的IT里面的應用被撤回,一旦智能合約開始執行的時候,這是不可逆的,或者我們可以理解,我們發現有問題的智能合約部署到以太坊上面,漏洞被黑客發現,黑客利用漏洞攻擊它的時候我們眼睜睜看到資金池里面的資金被盜走,我們無能為力,我們在傳統領域,把服務器關掉,但是在以太坊上面,這樣的事情是不能發生,我們不可能把以太坊關機。
Fairyproof提示:定期檢查錢包授權情況及時取消不合適的授權:3月20日,跨鏈應用平臺 Li.Fi遭到攻擊。由于項目合約未開源,本次被利用的漏洞尚未被第三方公開報道。Fairyproof研究得到的信息是:事件中受到損失的用戶,其錢包中有授權的代幣皆被黑客卷走。
Fairyproof提示:代幣持有者在授權任何第三方協議或應用轉賬其錢包中的代幣時,千萬要注意授權,尤其要小心無限額的授權。代幣持有者最好定期檢查自己的代幣授權情況,及時取消不合適的授權。[2022/3/21 14:08:53]
我不知道大家注意到推廣以太坊的時候,很多人不理解以太坊是什么,他用簡單的一句話,以太坊是永遠不停歇的世界計算機,永遠不宕機,一旦運行無法停下來。
第二點跟區塊鏈技術本身相關,我們談到區塊鏈技術的時候,我們首先看看區塊鏈技術的第一個應用就是比特幣,我們最早說比特幣至今很多人比特幣的時候想到第一個特點是匿名,當然如果按照純技術的觀點來講,這是偽匿名,做到擬匿名的情況下,在某種情況下把個人真實的信息進行了隱藏,匿名是什么意思,我們在區塊鏈里面進行每一筆交易的時候,我們在所有的可公開查詢的資料里面,我們只能看到發起這筆交易或者是參與交易的這些地址,但是我們沒有辦法把這個地址和執行這筆交易的持有這個地址的人在社會生活當中的真實身份掛鉤。我們不知道這個地址背后的持有人是誰,他叫什么名字,它的身份證號是多少,他在哪個國家,所以因為這個原因他是匿名的,這樣導致了我們在區塊鏈里面,在智能合約里面一旦發生安全事故,我們知道有黑客攻擊我們只是看到攻擊的地址,我們不知道地址后面的持有人是誰,我們不知道黑客真實的社會身份是什么。
FairySwap推出女性NFT系列“Pixie Power”:據官方消息,FairySwap在國際婦女節推出女性NFT系列,取名為“Pixie Power”,意思是記錄與祝賀那些正在創造數字元宇宙未來的女性們。FairySwap官方提到,FairyNFTs不僅是藝術收藏品和Fairy元宇宙中的身份標識,還是Fairy 生態中的實用工具,可以用于Staking和給予擁有者特殊的治理權利。FairyNFTs的持有者將有資格在未來的FaiySwap活動中提前進入白名單,并將能夠在即將推出的RPG游戲“Fairyverse”中使用他們的NFTs。
據此前報道,FairySwap是構建在Findora公鏈上的首個自動做市商(AMM)去中心化交易所(DEX)。[2022/3/9 13:46:09]
剛剛我講的智能合約本身的技術特點,還有區塊鏈技術特點,導致安全事故非常特殊的特點,從技術角度考慮,還有一個角度我們平時各個公共場合大家提到比較少,但是在我們團隊看來恰恰也是目前最復雜最難掌控的地方,這就是社會約束。
我在這里羅列兩條,現有的法律法規缺乏對數字資產的保護,當我說這個問題的時候有朋友說,在我們國家關注到最近一兩年關注數字貨幣法律的信息會說,我們國家在民法典出臺具體的措施,保護數字資產,但是請大家注意,這樣的一些條款和民法典里面,不管是我們國家的法律以及世界各國的法律,對傳統資產的保護力度和廣度跟他們相比是無法相比的,所以現在全世界各國對數字資產的保護,在法律上面都是不規范,不完善,不完備。
LendHub合約代碼已通過fairproof安全審計:據官方消息,LendHub合約代碼已通過知名安全公司fairproof的安全審計。目前,LendHub已通過3家第三方公司的安全審計,其它知名安全公司的審計也在進行中。
LendHub團隊尤其重視平臺底層技術與安全問題,始終把保護用戶的資產安全放在發展的首位,并時刻為用戶提供全方位的安全保障。
LendHub是一個基于火幣生態鏈Heco的去中心化借貸平臺,目前已支持12種資產借貸挖礦LHB,以及LHB-USDT和LHB-HT的流動性質押挖礦。[2021/2/10 19:27:35]
第二點現有的法律缺乏對區塊鏈的應用和監管。現有的法律對所有的傳統應用,互聯網應用也好,他有一個約束性,有一個規范,但是這樣的法律對智能合約的規范,目前在全世界任何一個國家幾乎一個都沒有,最近在美國,美國的某些州已經成人智能合約的某些法律效應,但是這是吃螃蟹而已,只是嘗試而已,真正在具體落地或者是未來實現過程當中存在什么問題會產生新的問題或者是新的方式,我們目前都不得而知,在這方面也是一片空白。
所以,智能合約本身的問題,區塊鏈技術本身的問題,以及智能合約應用缺乏的社會約會導致智能合約的安全有非常特殊的地方,所以,造成的事故這么頻繁,造成的危害這么大。
剛剛我跟大家分享的是安全的一些特殊性,下面我和大家分享一下我們團隊目前對所有在智能合約安全領域發生的事故我們一般分成三類,第一類是已知風險,第二類是潛在風險,第三類是人為風險。
什么是已知風險,已知風險我們現在在技術領域技術團隊或者是業界根據以往所有發生的安全事故所總結出來的一些安全的特點,一些事故的特點,總結出來的一些規律,我們知道了這些規律,知道了這些事故的特點和特性我們很容易判斷,所以我們稱之為是已知的風險。
潛在的風險是什么,這些風險從來沒有出現過,或許在我們運行的智能合約里面,但是我們不知道,或者說這些風險暫時因為條件不成熟,還沒有被觸發,這是潛在風險。
第三個是人為風險。我羅列了11個風險,實際上,并不是說在智能合約領域只有這11個風險,我羅列這11個風險,這是目前出現比較頻繁的風險,而且我們見到比較多的風險,具體到每個風險,在業界有很多的分析和講解,在這里我不和大家細說。
我們舉一些更詳細的例子講講已知風險和潛在風險和人為風險。我們看看這個風險,在座的朋友們有沒有在2018年4月份之前上一輪進入幣圈(有),那一輪的牛市瘋狂,瘋狂到什么地步,不僅很多小白用戶進來,而且傳統的IT界的大佬在這個領域,美鏈跟某一位傳統的IT公司有非常深的關系,他做了什么事情,他發布一個智能合約出現一個重大的安全漏洞,什么漏洞?在一行代碼計算過程當中沒有使用安全的數學庫,導致計算溢出,溢出導致的代幣被巨量增發,導致價格暴跌。這是2018年4月22日。
在此之前可能這樣的事故叫做潛在風險,現在這個事故發生以后,在業界我們用技術分析出來出現安全事故的原因以及可能出現的征兆和特點,我們現在稱之為已知風險,這是已知風險的典型。
第二個案例,2020年312,比特幣和以太坊全部報鐵,比特幣跌到4000美元以下,以太坊跌到100美元,在比特幣和以太坊暴跌以后,MakerDAO出現瘋狂擠兌的機制,最后發現是機制設計的問題。
接著紅薯被攻擊,20206年6月份,YAM被攻擊,紅薯這個項目非常有名,這個項目被攻擊以后,它的創始人在推特上面發了一段話,對不起,我們失敗了,這么大的事故是怎么產生的,主要是因為邏輯運算中缺乏分母,就是這么簡單。
第三個案例,是YFI是去年一整輪過程當中,運行大半年沒有出現問題,今年二月份出現問題,這個事件的出現是因為出現了一個應用方式善待貸導致穩定幣的價格被操控。還有TSD被攻擊,我們審查合約代碼的時候,如果不是對邏輯理解特別深刻,紅薯被攻擊的除法算法不對,幾乎很難被發現,另外三個更加困難,是治理機制出現了問題,而不是代碼的問題,這個問題更難發現,對于這樣的問題我們歸結為潛在問題,潛在的問題以前有,今天有,未來還有,甚至包括我們所有運營的這么多合約上面,雖然很多都通過了很多公司的審計,但是我們依然擔心里面還存在著很多潛在的大量的隱患,只不過這些隱患由于條件不成熟,沒有被觸發而已。潛在問題是對整個安全行業以及整個區塊鏈行業最大的挑戰,也是我們著力最重的地方。
還有一個是人為風險,因為時間有限,后面的內容我講快一點,人為的疏忽跟代碼的關系更少,幾乎是因為人為的管理方面出現問題,我前面講了安全的特殊性以及安全有哪些問題,下面我和大家講一個非常重要的事項,也就是說,我們作為智能合約的審計公司,我們最重要的事情是做什么,就是為項目審計智能合約代碼,看里面有沒有安全事故,我剛剛在展臺的時候有很多朋友過來問我們,你們寫的這些報告對我們普通投資者小白來說到底有什么作用,我在這里講,作用非常非常大。很多小白用戶看到我們寫的報告,這是技術文檔,雖然是技術文檔,但是里面有一部分內容非常通俗易懂,并且跟你的利益密切相關的。
在我們的報告里面這部分關鍵的內容就是我們整個審計報告里面的第一章,在我們審計報告當中的第一章,我們會開宗明義寫這個項目是做什么的?這個項目的合約有什么功能?以及在我們審查過程當中,我們發現這個項目的風險沒有?所以,對于任何用戶而言,當你看一個項目的時候,如果這個項目有我們的審計報告,我個人建議處于你對自己投資利益的保護和自己利益的關心,無論如何你要看一看審計報告,當你拿到這份審計報告的時候,你可以不堪其他的章節,但是一定要看第一章,看完第一章,基本上不用花5分鐘的時間你就能夠明白這份合約安全不安全或者說這個項目通過我們公司審計的時候發現存在的問題,項目方是怎么處理這些問題,起碼可以看到項目方對于處理問題的態度,對于你投資項目而言是參考的作用。
所以我強調審計報告一定要看,如果各位拿到是我們公司出的審計報告,關于技術部分不用看,但是一定要看第一章,第一章報告是我們對整個審計過程的精華和總結,看完第一章不需要5分鐘,5分鐘時間內大致理解這個項目做什么,合約是干什么的,安不安全,以及在審計過程當中出現什么問題。
Tags:FAIFAIRAIR區塊鏈fair幣未來前景Fairly Advance FutureFair Safe如何做區塊鏈
如果把區塊鏈的發展史類比為地球元年史,那么比特幣的誕生就是云古代,在這個時期,中本聰發布的白皮書開啟了去中心化的電子貨幣時代,而接下來第二波是以太坊為代表的智能合約的誕生就是震旦紀.
1900/1/1 0:00:00DeFi流動性挖礦火爆一時,為了方便投資者及時了解DeFi挖礦項目的相關信息和挖礦流程,金色財經推出了“金色說明書”系列挖礦教程.
1900/1/1 0:00:00在過去的幾年中,隨著企業和個人開始認識到區塊鏈技術的好處,人們對加密技術的興趣急劇增加。同時,隨著比特幣(BTC)價格最近達到歷史新高,許多新消費者希望在日常生活中使用加密貨幣.
1900/1/1 0:00:00注:原文作者是glassnode數據分析師CHECKMATE。上周比特幣經歷了大幅波動,在備受期待的Coinbase直接上市之前,BTC價格一度創下了64717美元的歷史新高,然而這是短暫的,到.
1900/1/1 0:00:00本報告旨在信息傳遞,不構成任何投資建議。 摘要 1、2021年一季度,全球區塊鏈領域融資數量為365筆,融資金額達86.97億美元。融資數量整體呈增長趨勢,融資金額整體波動幅度不大.
1900/1/1 0:00:00原標題:《Meme打敗基本面?》市場不再由基本面推動,而是由Meme驅動。什么是Meme?Meme指的是一個不斷變得流行起來的想法、行為或風格,通過人與人之間的相互模仿進行傳播.
1900/1/1 0:00:00