加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

CertiK:流動性挖礦的安全問題與風險提示_CER:certik幣價

Author:

Time:1900/1/1 0:00:00

近幾個月以來,流動性挖礦風靡一時,那么流動性挖礦是否能夠持久?究竟是曇花一現還是星星之火?流動性挖礦的市場

Dex也好,流動性挖礦項目也好,本質上都是對金融市場中流動性的爭奪。流動性越多,意味著DeFi市場越繁榮,獲利的機會也就越多。

DeFi市場飆升的同時,諸如YamFinance、SpaghettiMoney、SushiSwap以及KimchiFinance等流動性挖礦項目也正以巨額挖礦收益收割著市場上的流動性,并強勢吸引了數十億美元的資產。然而,流動性挖礦項目火熱的同時,安全和風險問題也層出不窮。冷靜觀察火熱背后的真正原因,有助于幫助我們理解這些安全問題的深層原理,進而幫助我們識別不安全的項目并規避風險。大量的流動性被收割的背后必然導致其它流動性挖礦或Dex的流動性銳減,這也就是“吸血鬼攻擊”。這些流動性的很大部分來自于其它的Dex或流動性挖礦項目,最終會導致這些失去流動性的項目的衰敗。因此,對于Dex或者流動性挖礦項目而言,流動性挖礦的整體是一個零和游戲。為了避免自己成為失去流動性的衰敗項目,新項目只有依靠快速上線、放出巨大收益率等手段來吸引投資者進而攫取利潤,而隨之帶來了許多方面的負面影響——例如,任何區塊鏈項目都應當最為重視的安全問題。對于投資者而言,面對如雨后春筍般出現的眾多流動性挖礦項目,以及動輒百分之幾千的收益率,很難不被吸引。瘋狂的市場熱度也會影響著投資者的情緒。眾多投資者在這股流動性挖礦的熱潮中,投資著見到的每一個挖礦項目并希望暴富,卻忽視了基本的經濟規律:在資產層面上,金融產品的收益與風險總是成正比的。在流動性挖礦項目市場的整體零和游戲中,這些“投資者”更像是投機者,安全對于他們而言,是排在利潤之后的考量。安全問題

當前zkSyncEra TVL達到9392萬美元,超過zkSync Lite:金色財經報道,據L2BEAT數據顯示,zkSync Era在推出一周后網絡總鎖倉量(TVL)目前達到9392萬美元,超過zkSync Lite(8622萬美元)。[2023/4/1 13:39:27]

答案其實不難得到。誰在這個流動性挖礦熱潮中最有可能受到損失,誰就最應該在乎安全。項目建立者既可以依靠項目正規經營手段盈利,也可以依靠故意隱藏的漏洞來獲利。早期參與項目的投機者可以通過套利來快速獲利。而跟隨市場熱度流向、對項目的安全完全沒有進行了解就盲目投資的投資者則會有很大概率成為受害者。作為普通投資者,對將要投資的項目應有足夠的了解,尤其是該項目的安全情況。為了規避風險,及時發現流動性挖礦項目的安全問題,普通投資者可以考慮從以下幾方面進行了解:代碼安全:包括項目中所有代碼的安全,如前端代碼安全,智能合約安全等。前端代碼的漏洞主要在網站以及桌面應用中存在。這些漏洞可能導致DeFi項目網站在遭受DDoS攻擊的時候無法正常訪問,嚴重的甚至可能導致用戶資產被盜。而智能合約方面的漏洞種類則比較多,從經典的DAO重入攻擊,到DeFi項目Lendf.me的hook重入攻擊,以及當前流動性挖礦項目Yuno和Kimichi中由于智能合約擁有者權限過大而可能會導致無限增發代幣的漏洞等。邏輯安全:包括了金融模型安全、邏輯實現安全等。金融模型方面的近期著名漏洞有7月發生的bZx套利攻擊。邏輯實現方面的漏洞則需要根據檢查項目代碼是否與項目描述一致。管理風險:包括項目管理方安全、審計驗證安全等。項目管理方需要查看項目團隊的行業經驗、既往項目等。而審計驗證安全則需要查看是否有專業審計公司或者團隊對該項目進行了嚴謹的驗證,以及項目方是否為項目加入保險來確保自身及投資者的資產安全。代碼安全

NEAR將于本月啟動夜影協議第一階段并引入Chunk-Only Producers:9月9日消息,NEAR宣布將于本月啟動夜影協議第一階段并引入Chunk-Only Producers,Chunk-Only Producers僅負責在一個分片中生成區塊。NEAR計劃引入250至400名Chunk-Only Producers,該階段預計將于本月下旬啟動。

據悉,之后的第二和第三階段均將于2023年啟動,第二階段會將狀態和處理都將完全分片,第三階段則將實現動態分片,網絡將被動態拆分為分片,然后根據資源利用率進行合并,進一步提高網絡可擴展性。[2022/9/9 13:20:23]

代碼安全是任何計算機程序都需要關注的問題。智能合約本質上是一個運行在區塊鏈系統上的計算機程序,其獨特的開放性、透明性則需要更高的程序安全性。近兩個月內,流動性挖礦項目的火熱潮流中,安全問題層出不窮。CertiK安全研究團隊簡要搜集了一些最近比較熱門的挖礦項目,列表如下:

這些流動性挖礦項目均來自同一個代碼庫——SushiSwap,甚至某些項目的安全漏洞都是直接復制自其它項目,比如Yuno和Kimchi項目中的無限鑄幣漏洞。“無限鑄幣漏洞”即為:在項目智能合約代碼中,合約擁有者權限過大,可以任意增發代幣,且沒有任何社區治理來限制合約擁有者的操作。雖然Yuno和Kimchi的項目方宣布使用時間鎖對智能合約加以限制,但這并未從根本上對項目智能合約本身的漏洞進行修復。代碼層面來說,智能合約中若缺少對項目方的權限約束,也會帶來安全風險。而制約其權限的方法包括:在項目智能合約內部建立社區治理投票機制,對操作給出許可。采用技術手段,分散項目方權力。例如,使用多簽名錢包的方式來進行操作。此外,流動性挖礦項目也屬于區塊鏈智能合約項目,因此傳統智能合約項目中的安全漏洞也不應忽視,例如重入攻擊或者整數溢出等常見的智能合約漏洞。安全檢測方法

Balancer現已上線Optimism:金色財經消息,Balancer Labs表示,在Beethoven X的幫助下現已在Optimism上線Balancer協議,在啟動時,已經分配了BAL和BEET形式的臨時激勵。Beethoven X負責合約部署、前端、基礎設施和持續維護。[2022/6/3 3:59:34]

隨著技術發展,目前已有許多針對智能合約安全漏洞的驗證工具,其驗證方式主要可以分為靜態分析、符號化執行、模糊測試等幾類。靜態分析、符號化執行和模糊測試都存在測試狀態爆炸問題。一旦被檢測的智能合約較為龐大或有較多循環結構,將導致工具無法檢測合約的所有可能路徑。傳統符號化執行雖然可以通過使用符號化輸入來代替具體輸入值,采用SMT求解器對程序中特定路徑的條件進行求解,來確認該路徑是否會被實際執行,但依舊無法處理大型智能合約或在合約中的循環結構。當前,在軟件驗證領域,人們已達成某種程度的共識,認為只有形式化驗證才能夠徹底解決測試狀態爆炸問題。形式化驗證可以從兩個層面上對合約進行保證。第一層面是安全無漏洞,即用數學推理的方法,捕捉合約的所有行為,覆蓋所有的執行可能性,從而保證合約沒有漏洞。第二層面是可信,即公開透明。合約的創建者不僅要說明會執行哪些操作,還需要證明其代碼確實精確執行了這些操作。經過這兩個層面所驗證過、并證明了安全性的智能合約,只要源代碼不發生任何變化,就能保證100%安全無漏洞,并且無法被黑客攻破。這里簡單解釋一下第一層的數學推理方法。形式化驗證是通過從被檢測的智能合約中抽象出數學模型并利用證明器對其進行證明的方法。對智能合約抽象后,便可以利用數學證明的方法處理合約中的循環結構,進而將大型程序進一步簡化。因此可以在嚴謹的數學層面上證明智能合約的安全性和正確性。而CertiK的安全審計,也采用了這樣的方法,即用形式化驗證將智能合約轉化為數學模型,通過邏輯推演驗證模型,從而證明合約的安全性。除此之外,CertiK還開發了基于形式化驗證的編程語言DeepSEA,其編譯器是用Coq,一個機器輔助人工證明工具及語言,編寫并完全證明了正確性的,從而可以確保使用DeepSEA語言編寫的智能合約不會出現安全漏洞。今天我們不對形式化驗證進一步展開討論,但是大家可以簡單理解為,這是一種可以從嚴謹的數學邏輯上證明并確保智能合約中不存在漏洞的方法。動態檢測

CertiK:ALG代幣跌幅超過94%,需警惕風險:5月30日消息,CertiK Alert發推稱,此前曾在5月17日提醒社區ALG代幣暴跌超過99%。5月19日,新ALG代幣被創建,今天的跌幅超過94%,CertiK提醒社區警惕風險。合約創建者地址為0xb428bf8b0b42d12f8ff38786ff6e226353709223。[2022/5/31 3:51:35]

大部分人都知道,智能合約有著自身一旦部署到鏈上就無法修改的特點,因此任何現有的安全檢查都必須在部署之前完成,而之前提到的安全驗證方法均為鏈下靜態驗證。在實際中,流動性挖礦項目不僅需要鏈下靜態驗證,還需要“動靜結合”進行安全檢測。這是因為DeFi項目一經發布并運用,智能合約上線到了真實環境中,未授權的軟件程序和未審核的合約就會與之交互。由于這種交互是動態的,因此靜態安全審計再完備也不能百分百確保項目是安全的。因此,對于用戶和DeFi項目方來說,理想的動態安全檢測工具應當能實時在線判斷要被調用的智能合約是否安全。對于智能合約的用戶而言,每次只通過調用接口來調用其它智能合約,是無法了解即將被調用的智能合約內部的邏輯情況的,因此時刻都有未知安全風險。如果事前被調用的智能合約沒有經過仔細的安全驗證,則風險將進一步擴大。換句話說,如果在調用外部智能合約之前,可以先通過鏈上的動態驗證方法來確認該外部合約的安全性,將會極大地提高用戶的使用安全,從而避免因調用外部合約而產生未知風險。我們都知道,靜態驗證可以通過對智能合約的安全審計來完成。那么動態檢測應該怎樣進行呢?就在上周,CertiKFoundation正式發布了CertiKSecurityOracle,即去中心化安全預言機。CertiK預言機可通過實時安全檢測,防止DeFi項目受到惡意攻擊。同時,CertiK預言機可被應用于任何支持智能合約功能的區塊鏈平臺。簡單來說,如果想要為即將進行的交易取得實時的安全信息,查詢CertiK預言機即可。更多詳情請關注我們的公眾號獲取。除了代碼層面的安全,DeFi項目同樣面臨來自其它方面的風險。其他安全威脅

SumSwap V3 代碼開發完畢,已交付給安全公司Certik審計:據官方消息,創新型去中心化協議SumSwap V3 代碼已開發完畢,新版本合約擁有豐富多樣的功能,除了對以前功能的優化外,還包括交易挖礦、推薦返手續費等眾多新功能。新版本已經開發完畢并進行了完整的功能測試,目前SumSwap V3已交付給合約安全公司Certik審計,審計完成即可正式上線。[2021/9/2 22:55:26]

金融模型安全本身是一個被廣泛關注的話題,而流動性挖礦等DeFi項目本身與傳統金融項目息息相關,因此例如套利、通脹等傳統金融項目中存在的風險,在流動性挖礦中也依舊存在。例如,在bZx套利事件中,套利者利用了信息不對稱優勢進行獲利;再比如UniSwap項目,獲利者通過利用比其他投資者提前購買代幣的時間優勢完成套利操作。兩個事件的套利都并不依賴于代碼層面的漏洞。邏輯實現安全則需要確保項目描述與實際的項目代碼邏輯實現一致,以防項目方將與項目不一致的代碼無意甚至惡意地隱藏在項目代碼中。當前區塊鏈行業方興未艾,存在許多不成熟的企業和項目。衡量或評價一個項目的優質與否,很大程度上依賴于項目團隊經驗水平以及項目管理權限。如果一個匿名團隊擁有很大的項目權限,該項目就有可能存在風險,甚至由于項目方管理權限過大而“卷錢跑路”。個人關于流動性挖礦看法

流動性挖礦,是對DeFi項目前景和落地應用的一次探索。市場規模的迅速壯大以及市場熱度急速上升,都側面反映出探索的成功。然而,某些新項目“剪切-粘貼-上鏈”的粗暴流程,與區塊鏈的可信優勢完全背道而馳。為了爭奪流動性,不考慮項目安全就匆忙上鏈,無疑加深了市場對流動性挖礦項目的質疑。防范建議

CertiK團隊給大家提供以下幾點安全隱患防范建議,作為參考:首先,投資前評估自己的風險偏好和資金實力。切勿因DeFi項目火熱并且出新頻繁就在短時間內忽略自己對風險偏好的判斷以及對風險承受能力的評估。其次,在投資前盡量做好項目的調研。比如關注相關社區及媒體消息,是否有人對合約的安全性提出過質疑。兼聽不同來源的不同聲音,同時獨立思考、積極辨識消息的真實性。最后,也是最直接的方法:檢查項目及其合約是否由著名安全團隊進行過專業審計并取得較高安全評價。當前最火爆的流動性挖礦項目,絕大多數在上線前未經過嚴格、專業的安全審計,例如SushiSwap、Yuno以及Kimchi等。雖然上線后有的項目邀請了安全公司來進行審計,但此時即使安全審計能夠進行并完成,項目也已經很可能沒有任何提升安全性或修復安全漏洞的空間和余地了。目前,安全審計已成為了高質量DeFi項目的標配。對未經審計的項目投資需格外慎重。若項目已審計,投資者則需盡量了解審計公司的背景以及其審計報告中的各項指標,例如:

盲目地跟風、將安全性拋之腦后的行為,最終會使得流動性挖礦如曇花一現般不可持久。DeFi項目只有在市場各方參與者的利益均受到保護并且沒有安全風險和漏洞的情況下才能真正做到可持續發展。只有回歸區塊鏈公開、透明、去中心化的本質,結合金融市場的客觀規律,杜絕安全漏洞,DeFi的星星之火,才能點亮區塊鏈世界。

Tags:CERERTCERTcertikceres幣價格趨勢qwertycoinCERT立方根certik幣價

狗狗幣價格
一文回顧“明星”分叉項目:SushiSwap和Swerve_SWAP:SUSHI

編者按:本文來自加密谷Live,作者:LarryCermak,翻譯:Olivia,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
加密穩定幣報告:穩定幣市值升至185.3億美元,央行數字貨幣的崛起_CBD:穩定幣

作者:MYKEY研究員蔣海波為幫助加密市場參與者對穩定幣發展狀態保持更新,我們推出MYKEY穩定幣報告,分享我們對穩定幣發展狀態的解讀、對其發展趨勢的分析.

1900/1/1 0:00:00
12小時鎖倉3.8億美元?Pantera合伙人解讀「社區版Curve」Swerve_USD:CUR

編者按:本文來自鏈聞ChainNews,星球日報經授權發布。撰文:PaulVeradittakit,PanteraCapital風投合伙人編譯:詹涓3.8億美元,這是一個名為Swerve的新項目.

1900/1/1 0:00:00
星球前線|大型銀行主導的數字結算代幣項目Fnality被推遲_區塊鏈:STC

本文來自Decrypt,作者:JeffBensonOdaily星球日報譯者|余順遂 摘要: 多家主要銀行參與FnalityInternational項目.

1900/1/1 0:00:00
科普 | 擴展DeFi吞吐量:Layer-One篇_GAS:ugas幣怎么找不到了

編者按:本文來自以太坊愛好者,作者:RemcoBloemen,翻譯&校對:閔敏&阿劍,Odaily星球日報經授權轉載。如果你最近用過DeFi,最近高漲的交易費會令你瞠目結舌.

1900/1/1 0:00:00
后農耕時代,DeFi何去何從?_DEFI:中國比特幣交易網站

文|秦曉峰編輯|郝方舟出品|Odaily星球日報 「幣圈一天,人間一年」,這是幣圈古典韭菜總結出來的規律。但現在,似乎還應該加上一句:「DeFi一天,幣圈一年」.

1900/1/1 0:00:00
ads