加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > FTX > Info

借著Euler黑客事件 聊聊DeFi的安全審計和安全_DEF:EFI

Author:

Time:1900/1/1 0:00:00

大的DeFi協議基本上都經過多輪審計,我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀,但藍籌DeFi沒哪個沒被黑過?這里原因很簡單,簡單的數學問題從攻防來看,所有靜態審計的輸入和輸出(發現bug)都是有限的。

除了常規審計,Euler還用了Certora做形式化驗證,這個我們之前也用過,形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍,但是無法窮盡“未知的未知”。DeFi是一個開放系統,對于黑客來說,它的輸入是無限的,輸出也是無限的。假設把安全攻防看成挖礦,你守方用三五臺機器算哈希挖礦攻方無數機器時刻在算哈希,只要算對一次就贏了;這個輸贏面對比是明顯的。靜態的安全審計,由于輸入輸出固定,無法覆蓋已知的未知,更無法覆蓋未知之未知。

瑞士央行如期加息50個基點:金色財經報道,瑞士央行加息50個基點至1.50%,符合市場預期,利率達2008年10月以來最高水平。(金十)[2023/3/23 13:21:51]

所以出現另一種審計,叫開發式競爭型審計,如Code4rena,審計獎金池固定,但是輸入在一定時間內是彈性的,所有人都可以參加,誰發現bug按照嚴重程度,分獎金,這個方式是讓審計師/白帽去卷,可以擴大覆蓋面,但總體輸入依然固定,遠遠不夠。最后是完全開放的模式,那就是賞金網絡,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平臺,我建議每個DeFi在上面發bounty,親測效果十分明顯。Immunefy的獎金項目方會給非常高。比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金,但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的,這個類似于黑客的攻擊模式。

美SEC主席:Kraken案件應該讓加密行業警覺:金色財經報道,美國證券交易委員會(SEC)主席Gary Gensler周五在CNBC節目中表示,該機構昨天針對加密貨幣交易所Kraken采取的行動應該讓加密行業警覺。他說,像Kraken這樣的公司可以提供投資合同,但他們必須進行全面、公平和真實的披露。這真的應該讓這個市場上的每個參與者都注意到,無論你稱之為借貸、盈利、收益率,是否提供所謂的年收益率,其他平臺應該注意到這一點并尋求合規。

金色財經此前報道,SEC與Kraken交易所就其質押計劃相關指控達成和解, Kraken關閉美國質押服務,并支付3000萬美元罰款。[2023/2/11 12:00:09]

但兩者激勵模式很大區別。假如把兩者當成是抽獎,同樣1000w獎金池,賞金模式獎金一般都會在10w-30w刀封頂,黑客模式是100%獎金全拿走。這兩種模式,同等投入,同樣中獎概率,假設沒有犯罪成本,毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%,也跑不贏黑客池,除非把犯罪成本加入等式,有人建議把賞金比例和TVL掛鉤,比如10%,是否會激勵更多黑客轉白帽??

Loot衍生鏈游項目Realms完成社區私募:2月2日消息,Loot衍生鏈游項目Realms官方推特宣布完成Bibliotheca Dao社區私募,原定募集625,000美元,實際共籌集3,970,473.75美元,超募6.35倍。參與者將獲得投資金額84.25%的退款,并相應調整LORDS分配。[2023/2/3 11:44:11]

?首先,沒哪個defi協議能支付10%TVL的賞金,其次,遇到真黑客,他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面,還有可組合風險攻擊面上,DeFi本身隨著整合增加,攻擊面是四維增長的,定期靜態安全審計加長期賞金,也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲,唯一靠譜的是在協議上減少外部依賴,最小化攻擊面,盡量待在“自己的舒適區”,不亂做擴展。對開放系統來說,安全代價就是自由的代價

Tags:DEFEFIDEFIKENRio DeFiefinity幣預測價格DeFi BidsPrideToken

FTX
金色觀察 | BanklessDAO:詳述以太坊Shapella升級_以太坊:LID

文/AustinFoss,BanklessDAO;譯/金色財經xiaozou我們都知道以太坊的下一個即將到來的升級稱為Shanghai升級,或硬分叉.

1900/1/1 0:00:00
金色早報 | Arbitrum公布DAO空投細則 耶倫:暫停或提高債務上限_比特幣:加密貨幣

頭條 ▌?美國財長耶倫:國會采取行動暫停或提高債務上限“至關重要”金色財經報道,美國財長耶倫表示,現在決定監管變革還為時過早,需要重新審視當前的銀行業監管.

1900/1/1 0:00:00
18分鐘售罄 漲幅278% 星巴克的第一款付費NFT首戰告捷_STA:Starpunk

目前來看StarbucksOdyssey的節奏和交付還不錯,圍繞生活方式一步步做品牌建設提升其天花板,希望可以影響更多的Web2大公司進入Web3.

1900/1/1 0:00:00
清算、監管等多方利空打壓 比特幣強撐2萬美元壓力位_SILV:ERG

在加密銀行SilvergateBank清算、美國監管機構起訴KuCoin等多方利空消息影響下,加密市場情緒惡化.

1900/1/1 0:00:00
晚間必讀 | 比特幣明星公鏈Stacks 未來能走多遠_區塊鏈:NFT

1.金色觀察|Bankless:5個鯨魚錢包觀察工具幫助你發現alpha“Alpha”來自于“知情者”。如果你不夠“知情”,那么跟隨“知情者”的腳步,當然也是一種在加密領域大有所獲的方法.

1900/1/1 0:00:00
Cobo 神魚:歷史就是你每天的經歷_COB:DEF

作者:神魚Cobo聯合創始人兼CEO近期,Cobo聯合創始人兼CEO神魚接受了新加坡區塊鏈新媒體平臺DeThings專訪.

1900/1/1 0:00:00
ads