加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

首發 | 遇到有漏洞的DeFi合約概率是多少?審計后又有多大概率被攻擊?_MANA:ETF

Author:

Time:1900/1/1 0:00:00

身在新冠日增確診10萬例美國的小編,因為硬核原因不得不搭乘飛機出門。出行前一直擔心是否會被感染,途中卻被飛機遇到猛烈氣流的顛簸唬住了。

雖然心里默默安慰自己飛機空難發生的概率非常低,感染新冠肺炎的概率也沒那么高,但還是想起來了四個字:“墨菲定律”

在現代科技發展的大潮流下,鎖定在區塊鏈領域里的資產愈發龐大。隱藏在計算機背后的危機也隨著區塊鏈的發展日益展露猙獰的面目。

智能合約當中,任何一個小bug,都可能會給項目或者投資者造成無法挽回的損失。

受此警示之下,CertiK安全團隊利用CertiK天網系統?,對自北京時間2020年12月4日0時至24時之間,新加入Uniswap的代幣智能合約進行了監控分析。

在本次分析的時間段內,一共產生了29個智能合約代幣項目。

LBank藍貝殼于4月9日16:50首發 BOSON:據官方公告,4月9日16:50,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日16:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月9日16:50開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT空投獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/9 20:02:26]

經過CertiK的Skynet分析,總計發現16個智能合約存在漏洞或者缺陷!

大概有55%的智能合約項目或多或少存在漏洞或者缺陷,其中大約有10%存在嚴重漏洞,45%存在項目擁有者權限過大,權限中心化過高的缺陷。

首發 | imKey正式支持Filecoin,成為首批Filecoin硬件錢包:12月1日,隨著imToken2.7.2版本上線,imKey同步支持Filecoin,成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一,成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。

據悉,imKey團隊已在Q4全面啟動多鏈支持計劃,計劃實現imToken已經支持的所有公鏈項目,本次imKey升級更新,無需更換硬件,不涉及固件升級,通過應用(Applet)自動升級,即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]

本次分析的智能合約項目名稱和合約地址如下:

分析結果如下:?

雖然難以通過一天的情況來預估所有時間范圍內的智能合約安全情況,但窺一斑而知全豹。

《精靈達人3D》正式首發 Cocos-BCX 主網:據官方消息,近日,由生態合伙人 DAPPX 參與開發的《精靈達人3D》正式首發于游戲公鏈 Cocos-BCX 主網。《精靈達人3D》是一款以精靈寶可夢為題材的抓寵游戲,游戲美術采用全3D 制作。用戶可通過 CocosWallet , DAPPX 或 IMCOCOS 登錄 COCOS 主網賬號即可體驗。截至目前,Cocos-BCX 主網已上線《加密騎士團》《惡龍必須死》《XPEX怪獸世界》《Go Block》《可可奪幣》《熊貓運動會》等多款玩法多樣的趣味性鏈游,游戲公鏈生態在逐步壯大和完善。[2020/8/20]

下面主要針對三個相對重要的漏洞進行分析:

nostromo.finance(NSTR)

圖1:burnFrom()函數

圖1中burnFrom函數受到ownerOnly修飾詞限制,只允許項目管理者執行該函數。該函數內部邏輯實現允許通過設置account,balance和subtractValue的值,間接對_totalSupply和給定賬戶的_balances值進行任意修改。

首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露,Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務,每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉,目前僅支持BTC和ETH資產轉賬。[2020/2/26]

PowerPool.Finance(CVP)

圖2:?powerpoolttl合約中回退函數

圖2中為powerpoolttl合約的回退函數。當外部用戶對該智能合約進行調用,如果該調用中沒有調用合約中的任何一個函數,或者僅僅轉移了代幣到該合約中,則回退函數會被調用。70行的邏輯顯示,當回退函數被調用時,調用中被轉移到合同中的代幣會被直接轉移到teamAddress的地址中。

首發 | 此前18000枚BTC轉賬是交易所Bithumb內部整理:北京鏈安鏈上監測系統發現,北京時間10月24日,17:07分發生了一筆18000枚BTC的轉賬,經分析,這實際上是交易所Bithumb的內部整理工作,將大量100到200枚BTC為單位的UTXO打包成了18筆1000枚BTC的UTXO后轉入其內部地址。通常,對各種“面值”的UTXO進行整數級別的整理,屬于交易所的規律性操作。[2019/10/24]

omphalos.co(OMPL)

該項目中可以通過執行transferFrom()函數進行對代幣轉移,根據圖3中transferFrom()函數定義,211行需要執行getFee函數決定每次代幣轉移需要扣除的費用。從圖3中getFee()函數的定義可以看到,決定費用高低的邏輯是取決與241行調用的Management.getFee()函數的定義。當前Management.getFee()函數的邏輯定義是根據manager變量中存儲的地址值的不同而進行改變。當前manager變量中存儲的地址值如圖6所示。

然而manager變量中存儲的地址值所指向的智能合約并未在etherscan上被認證,因此無法得知該智能合約的源代碼,繼而無從得知Management.getFee()函數的定義。

由于Management.getFee()函數背后的邏輯無法得知,因此項目擁有者有可能通過操作Management.getFee()函數返回值的方式,調整每次代幣轉移的費用,進行惡意操作等。

圖3:transferFrom()函數

圖4:StandardToken合約中的getFee()函數?

圖5:Management智能合約接口與getFee函數接口

圖6:當前manager變量存儲的地址值

圖7:當前manager變量存儲的地址值指向的智能合約

大家都知道2020年最知名的一個例子——DeFi項目Yam于北京時間8月12日3:00啟動后,盡管該項目的博客文章警告稱尚未對其合約進行任何審計,但瘋狂的Yieldfarmers在不到一小時內向該項目存入了7600萬美元。

后期不出意料,Yam在短短36小時內,數億美元因為一個小小的漏洞,消失于無形。

安全審計現在已經是高質量DeFi項目的標配。當前DeFi項目熱潮持續不減,很多項目為了抓住熱點與機遇,在未經嚴格測試和審計的情況下便匆忙上線。

這些項目中,大部分的漏洞是無法通過常見的測試方法和工具來發現的。只有尋找專業的審計專家進行嚴謹的數學模型證明,才可以發現該漏洞。形式化驗證是當前唯一被證明可以產生可信數學證明的軟件驗證方法。

因此,采用基于形式化驗證方法的區塊鏈檢測工具來驗證項目中的安全漏洞,應成為每一個項目在上鏈前的必經步驟。

每一個項目受到攻擊或是損失資產的原因,都是因為一個非常小的代碼漏洞。

計算機領域中,平均每1000行代碼中,會有1-25個bug。也就是說,這個概率的區間是千分之一至百分之二點五。

那么那些已經接受安全審計并通過的項目呢?

CertiK選取了三家公開審計信息的安全公司進行了數據統計。

此次統計了這三家公司的共計377個被審計的項目。

其中有8個項目在至少被審計過一次的情況下,仍舊遭受到了黑客攻擊。

這8個已審計卻被攻擊的項目,整整損失了6900萬美元。

根據此三家審計公司的數據來計算審計后被黑客攻擊的比例是:8/377=2.12%

代碼產生bug的幾率和項目已通過審計但仍舊被攻擊的概率大抵都約等于2%,在這里舉個簡單的例子:

根據SquareTrade數據統計顯示——在美國,短短一小時內就有5761個手機屏幕壯烈犧牲。假設,美國人均一部手機,并且沒有重復摔同一部手機的癖好。那么50天內,一位美國小伙兒有2%的幾率把手機屏幕摔碎。

但是一部手機的使用壽命肯定不止50天,如果用一年呢?這個概率驟增為15%!使用超過三年半,概率就超過了50%!

這就印證了上文中的墨菲定律——小概率事件的必然性:時間基數夠長的情況下,壞事總會輪到你的。

而空難發生的幾率是五百萬分之一。

相比之下,代碼產生漏洞的概率以及項目已通過審計但仍舊被攻擊的概率是空難的整整12.5萬倍!

如果在飛機顛簸的時候,你害怕飛機失事,那么不妨用超出10萬倍的擔心,去保護你的項目。

這么對比過后,你還覺得項目不需要額外的保障嗎?

為之于未有,制治于未亂。

除靜態審計之外,動態的安全防護更能夠防范攻擊事件。CertiK開發的動態安全工具:快速掃描——安全預言機——CertiKShield,從預警到實時評測到保險計劃,可以全方位為項目方提供安全保障。

Tags:MANAMANETFGETmana幣價格今日行情MANYROCKETFITogetherBNB和娜娜互動

歐易交易所
Hotbit 定于12月9日上線 DAC (Davinci coin)_HOT:TBI

尊敬的用戶: Hotbit即將開啟DAC(Davincicoin)數字資產服務,并開放DAC理財產品。預計年化收益:10%;計息:T1.

1900/1/1 0:00:00
目前FIL已銷毀600萬枚,Filecoin代幣銷毀的意義在哪?_FIL:ecoin幣免費碼

Filecoin挖礦,需要在Filecoin區塊鏈瀏覽器上查詢一系列數據,全網區塊高度、最新區塊時間、全網有效算力、活躍礦工數、每區塊獎勵、24小時平均挖礦收益、近24h產出量、當前扇區質押量、.

1900/1/1 0:00:00
偽命題?關于算法穩定幣的思辨_穩定幣:MPL

最近看到算法穩定幣伴隨著AMPL的持續通脹,開始死灰復燃,而且有相當的熱度。說它死灰復燃是因為之前就有,2020年之前就火過.

1900/1/1 0:00:00
一文看懂波卡平行鏈插槽拍賣 風險與收益并存?_KSM:區塊鏈運用的技術不包括

最近一段時間,波卡/KSM平行鏈插槽拍賣的熱度越來越高:社群里討論的人變多了,波卡生態里之前一直很低調的那些項目方紛紛出來做活動宣傳,連各大交易平臺也開始爭相布局,推出各式各樣的DOT鎖倉理財.

1900/1/1 0:00:00
BiONE is temporarily shutting down its GTO currency withdrawal business_BIO:ONE

DearBiONEusers,Duetothesystemupgrade,theBiONEplatformhassuspendedthewithdrawalofGTOcurrency.Wewil.

1900/1/1 0:00:00
【年終盤點之二】2020 區塊鏈創新項目里程碑事件_區塊鏈:beth幣值得買嗎

1990年代,計算機科學家NickSzabo首次提出智能合約概念。簡單說,智能合約指的是將各方所做出的承諾,以數字形式寫入程序,讓參與者在遵循這些承諾的前提下,進行互動.

1900/1/1 0:00:00
ads