轉眼間已經陪伴CertiK走入了第五個年頭,然而隨著閱盡千篇審計報告,卻一直有一個問題,讓譬如小編這樣的技術門外漢倍感疑惑。有的時候,我們辨別一個項目的代碼是否優質,就是查看它的審計報告。而后根據審計報告中的風險等級和數目來判斷這個項目代碼的安全性是否達到標準。
但是近一年中,很多項目的代碼相對足夠完善和安全,卻不約而同地存在著一個主要風險——中心化風險。
那么具備這一風險的項目,假如它的代碼在其他方面表現得很良好,我們如何判斷它的代碼質量優質亦或不優質?
這樣的項目在以往的審計記錄中,占據了很大的比例——在CertiK統計的2021年1737份審計報告中,具備中心化風險的項目竟有286個之多,占據比例近17%。
去中心化存儲基礎設施BNB Greenfield已開源所有核心基礎設施代碼:4月13日消息,BNB Chain 開發團隊推出的去中心化存儲基礎設施 BNB Greenfield 已開源所有核心基礎設施代碼,包括 Greenfield 區塊鏈、存儲提供商集群、跨鏈中繼器和相應的 SDK。
注,BNB Greenfield 是 BNB Chain 生態系統中的去中心化存儲基礎設施,用戶和 DApps 可以創建、存儲和交換具有完全所有權的數據,形成一個新的數據經濟。此前,BNB Greenfield 于 4 月 11 日上線測試網Congo。[2023/4/13 14:02:12]
而在CertiK近期發布的中,更是指出:2021年造成黑客攻擊最常見的原因是中心化風險,在因此產生的44起DeFi黑客攻擊事件中,總資產損失高達13億美元!
IOHK宣布k參數調整成功,Cardano去中心化程度進一步提升:IOHK宣布k參數調整成功,Cardano去中心化程度進一步提升。根據公司發布的聲明,調整發生在Cardano的Epoch 234, UTC時間12月6日21:44。通過這種方式,IOHK尋求鼓勵社區參與較小的質押池(低于6500萬枚ADA)。社區在幾天前已經被告知,他們應該使用Daedalus錢包,以確保其參與的質押池飽和度超過30%。(Crypto News Flash)[2020/12/7 14:28:07]
復制鏈接至瀏覽器即可下載安全報告:
https://certik-2.hubspotpagebuilder.com/the-state-of-defi-security-2021-chinese
歐洲刑警組織將隱私錢包及去中心化市場列為“主要威脅”:歐洲刑警組織在《互聯網犯罪報告》中將增強隱私的加密貨幣錢包和其他技術稱為“主要威脅”。報告稱,除了完善的中心化混合器之外,使用coinjoin概念(例如Wasabi和Samurai錢包)的增強隱私的錢包服務已經成為頭號威脅。此外,報告還將去中心化市場協議作為“高優先級威脅”,特別提到了由加密貨幣軟件公司OB1開發的OpenBazaar。報告稱,犯罪分子已經開始使用其他以隱私為中心的去中心化市場平臺,例如OpenBazaar和Particl.io來出售其非法商品。(coindesk)[2020/10/6]
DAO乃至整個加密世界最獨一無二的核心本質。
現場 | Tone Vays:中心化的監管是必經之路:CoinTime現場報道,今日在芝加哥舉辦的區塊鏈之聲大會上,Crypto Scam Podcast的Tone Vays表示,如果想要進入下一層,中心化的監管是必須通過的道路。 他還提到,比特幣的交易與經紀人在傳統金融市場上所做的截然不同。 而且,擁有大量如黃金的東西實際上會導致壟斷,這同樣會在加密市場發生。[2018/8/25]
從定義上講——百度百科搜索的結果如下:在一個分布有眾多節點的系統中,每個節點都具有高度自治的特征。節點之間彼此可以自由連接,形成新的連接單元。任何一個節點都可能成為階段性的中心,但不具備強制性的中心控制功能。這種開放式、扁平化、平等性的系統現象或結構,我們稱之為去中心化。
而中心化風險僅在這一層面,就背離了加密領域創建的初衷。
中心化風險的核心是DeFi協議內的單一故障點——擁有中心化所有權的智能合約比擁有時間鎖或多簽名密鑰所有權的合約風險更大。
一旦這一風險被惡意攻擊者利用,那么無限鑄幣、RugPull以及其他各類型的攻擊事件將接踵而來。
如果你的合約具備鑄幣漏洞,那么攻擊者但凡能拿到合約私鑰,即可轉手鑄造無數代幣然后想給誰就給誰。
很明顯,這種攻擊方式對于項目的所有者來說簡直就是印鈔神器,當然也有些項目會成為其他黑客的ATM機。
另一種比較典型的攻擊方式就是RugPull,CertiK剛剛發布分析的BabyMusk攻擊事件就是一個典型的案例。
在這種攻擊手法中,有些是項目所有者惡意拋售其所持有的全部代幣以此消耗去中心化交易所的流動性。還有些是項目所有者直接從合約中竊取代幣,如預售鎖定合約類的項目。
在有些去中心化交易所中,具備RugPull風險的項目簡直多如牛毛——因為上幣并不需要通過審計。
典型案例
DeFi協議bZx因私鑰管理不善于2021年11月被惡意攻擊導致損失高達5500萬美元。
該項目合約私鑰未采取多簽名,攻擊者通過釣魚郵件輕松獲取了私鑰的控制權。這一中心化風險使得攻擊者可以完全控制該私鑰管理的所有合約。
在這一案例中,一旦攻擊者獲取了合約的控制權即可將代幣從Polygon和BSC的部署中轉移出來。
如何減輕中心化風險?
怎樣才能減輕中心化風險?
智能合約審計是識別中心化風險的第一步,也是必要的一步。
通過智能合約審計,可以及時鑒別項目代碼中存在的中心化風險,但只有審計是不夠的,隨后的代碼修改同樣至關重要。
在很多情況中,安全專家發現的問題以及給予的修改建議會被項目所有者置之不理....
這些行為簡直就是在赤裸裸的呼喚黑客:快來呀,我這有錢給你!
CertiK將審計中發現的風險分為5個等級:嚴重、主要、中等、次要以及信息性。
上文中我們已經提過中心化風險屬于主要風險等級,這代表著在特定情況下,該風險可能導致資金和/或項目控制權的損失。它也許不會顯著影響平臺運作,但同樣是必須要解決的高危風險之一。
目前,CertiK官網已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及Rugpull相關的各種社群預警信息。
作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了2500家企業客戶的認可,保護了超過3110億美元的數字資免受損失。
尊敬的XT.COM用戶:XT.COM將支持Harmony網絡升級及硬分叉,具體安排如下:XT.COM現已暫停ONE代幣的充值、提現業務,以支持Harmony將於Harmony區塊高度22.
1900/1/1 0:00:00親愛的用戶: 為回饋廣大用戶,BKEX現開展"ALI充值福利"活動詳情如下: 一、活動時間 2022年2月15日15:00-2月20日15:00BKEX Global將于9月14日16:00開啟.
1900/1/1 0:00:00尊敬的用戶:Hotcoin將於(GMT8)2022年2月17日17:00開放MDT/USDT交易業務.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線POCHI,並開啟POCHI/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年2月10日16:30; POCHI Aztec Networ.
1900/1/1 0:00:00最近關于美聯儲加息的呼聲越來越高,甚至在2月10日晚間,市場就美國可能在7月前加息1%的消息出現了異動。在此后10分鐘內,黃金閃跌10美元,原油下跌近1美元.
1900/1/1 0:00:00尊敬的歐易用戶: 歐易上線Magic(MAGIC),具體時間如下:MAGIC充值:2月14日16:00(HKT)MAGIC/USDT的開盤時間:2月15日10:00(HKT)MAGIC提現:2月.
1900/1/1 0:00:00