轉眼間已經陪伴CertiK走入了第五個年頭,然而隨著閱盡千篇審計報告,卻一直有一個問題,讓譬如小編這樣的技術門外漢倍感疑惑。有的時候,我們辨別一個項目的代碼是否優質,就是查看它的審計報告。而后根據審計報告中的風險等級和數目來判斷這個項目代碼的安全性是否達到標準。
但是近一年中,很多項目的代碼相對足夠完善和安全,卻不約而同地存在著一個主要風險——中心化風險。
那么具備這一風險的項目,假如它的代碼在其他方面表現得很良好,我們如何判斷它的代碼質量優質亦或不優質?
這樣的項目在以往的審計記錄中,占據了很大的比例——在CertiK統計的2021年1737份審計報告中,具備中心化風險的項目竟有286個之多,占據比例近17%。
去中心化衍生品項目Mycelium已上線永續合約交易測試網:金色財經消息,去中心化衍生品項目Mycelium已上線永續合約交易測試網,用戶可對ETH、BTC、LINK、UNI、CRV、BAL和FXS以及各種穩定幣進行資產交易。此前報道,8月11日Tracer DAO過渡至Mycelium的關鍵提案已由DAO達成一致。[2022/8/15 12:25:53]
而在CertiK近期發布的中,更是指出:2021年造成黑客攻擊最常見的原因是中心化風險,在因此產生的44起DeFi黑客攻擊事件中,總資產損失高達13億美元!
去中心化交易平臺prePO完成210萬美元融資,IOSG Ventures和Republic Capital領投:金色財經消息,專注于pre-IPO以及pre-Token項目的去中心化交易平臺prePO完成210萬美元戰略輪融資,IOSG Ventures以及Republic Capital領投。參投方包括MEXC、AscendEX、Shima Capital、HoneyDAO、NeptuneDAO、GCR,以及來自Gnosis、1inch、Moonbeam、Zapper、Gelato、BarnBridge、Immunefi、Thales和Dapp.com等項目的創始人。
prePO允許用戶對上市前的公司或者項目的估值進行預測,以即時和非監管的方式對任何pre-IPO或pre-Token項目做多或做空,每個用戶都可以成為全球項目/平臺IPO或代幣發售的一部分,并獲得多重獎勵。投資者還可以利用該平臺對沖其投資組合中的風險,或者用于后續市場的定價參考。(blockworks)[2022/3/23 14:13:52]
復制鏈接至瀏覽器即可下載安全報告:
聲音 | 王志誠:谷歌時代的中心化將讓位于基于隱私和安全的區塊鏈系統:據mbachina消息,北京大學光華管理學院金融系副教授在其新文中表示,谷歌時代的本質是金字塔結構的中心化和被廣告所粉飾的“免費”,這在很大程度上都是互聯網中的三個架構層:安全、信任、交易缺失所致的產物。現在,區塊鏈技術可以用安全、信任、交易重建互聯網,讓個人數據重歸個人掌控,讓隱私得到應有的尊重,讓個人價值產生財富。基于廣告收入和公民隱私安全利用的自由經濟將讓位給基于隱私和安全的系統。[2019/5/30]
https://certik-2.hubspotpagebuilder.com/the-state-of-defi-security-2021-chinese
什么是中心化風險?
聲音 | 清華大學徐恪:未來區塊鏈會引領新的去中心化世界:據DoNews消息,近日,上海市科委主導的“上海市區塊鏈工程技術中心”成立,清華大學計算機系副主任徐恪教授表示:“區塊鏈還處于一個成長期,很多問題需要解決,很多應用有待挖掘,但是我們確實相信,區塊鏈在未來,會引領一個新的去中心化世界。”[2019/2/20]
大家應該都清楚:區塊鏈的意義在于去中心化、匿名性和透明性。
其中去中心化更是DeFi、DAO乃至整個加密世界最獨一無二的核心本質。
從定義上講——百度百科搜索的結果如下:在一個分布有眾多節點的系統中,每個節點都具有高度自治的特征。節點之間彼此可以自由連接,形成新的連接單元。任何一個節點都可能成為階段性的中心,但不具備強制性的中心控制功能。這種開放式、扁平化、平等性的系統現象或結構,我們稱之為去中心化。
而中心化風險僅在這一層面,就背離了加密領域創建的初衷。
中心化風險的核心是DeFi協議內的單一故障點——擁有中心化所有權的智能合約比擁有時間鎖或多簽名密鑰所有權的合約風險更大。
一旦這一風險被惡意攻擊者利用,那么無限鑄幣、RugPull以及其他各類型的攻擊事件將接踵而來。
如果你的合約具備鑄幣漏洞,那么攻擊者但凡能拿到合約私鑰,即可轉手鑄造無數代幣然后想給誰就給誰。
很明顯,這種攻擊方式對于項目的所有者來說簡直就是印鈔神器,當然也有些項目會成為其他黑客的ATM機。
另一種比較典型的攻擊方式就是RugPull,CertiK剛剛發布分析的BabyMusk攻擊事件就是一個典型的案例。
在這種攻擊手法中,有些是項目所有者惡意拋售其所持有的全部代幣以此消耗去中心化交易所的流動性。還有些是項目所有者直接從合約中竊取代幣,如預售鎖定合約類的項目。
在有些去中心化交易所中,具備RugPull風險的項目簡直多如牛毛——因為上幣并不需要通過審計。
典型案例
DeFi協議bZx因私鑰管理不善于2021年11月被惡意攻擊導致損失高達5500萬美元。
該項目合約私鑰未采取多簽名,攻擊者通過釣魚郵件輕松獲取了私鑰的控制權。這一中心化風險使得攻擊者可以完全控制該私鑰管理的所有合約。
在這一案例中,一旦攻擊者獲取了合約的控制權即可將代幣從Polygon和BSC的部署中轉移出來。
如何減輕中心化風險?
怎樣才能減輕中心化風險?
智能合約審計是識別中心化風險的第一步,也是必要的一步。
通過智能合約審計,可以及時鑒別項目代碼中存在的中心化風險,但只有審計是不夠的,隨后的代碼修改同樣至關重要。
在很多情況中,安全專家發現的問題以及給予的修改建議會被項目所有者置之不理....
這些行為簡直就是在赤裸裸的呼喚黑客:快來呀,我這有錢給你!
CertiK將審計中發現的風險分為5個等級:嚴重、主要、中等、次要以及信息性。
上文中我們已經提過中心化風險屬于主要風險等級,這代表著在特定情況下,該風險可能導致資金和/或項目控制權的損失。它也許不會顯著影響平臺運作,但同樣是必須要解決的高危風險之一。
目前,CertiK官網已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及Rugpull相關的各種社群預警信息。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了2500家企業客戶的認可,保護了超過3110億美元的數字資免受損失。
Tags:CERERTTIKCERTSOCCER價格AmberTime Coinstik幣怎么樣Animal Concerts
Minterest現在準備在Moonbeam上線之前選擇首先在以太坊上線。DeFi現在是多鏈的,Moonbeam和以太坊都是Minterest多鏈路線圖中優先選擇的網絡.
1900/1/1 0:00:00MantaNetwork與Axelar近期宣布了跨鏈合作,MantaNetwork將通過Axelar跨鏈橋為其Layer1隱私網絡引入更多生態資產.
1900/1/1 0:00:00MA是什么? MA英文全稱為MovingAverage,中文譯作移動平均線,也簡稱均線,是由美國投資專家JosephE.Granville于20世紀中期創建的技術分析指標.
1900/1/1 0:00:00FTX在超級碗的廣告承諾,將為四名中獎者贈送比特幣,這與比賽下半場廣告出現的時間有關。例如,如果廣告出現在晚上9點45分,每位獲勝者將獲得9.45枚比特幣.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00收藏品一直是一個獨特的資產類別。人們收集各種各樣的東西,如貝殼、郵票、卡片、冰箱磁貼等,作為一種愛好,甚至是為了炫耀。大多數時候,這種收藏品的價值是高度投機的.
1900/1/1 0:00:00