慢霧合伙人啟富：NFT或是下一個方向 但落地需要時間_ORE

DeFi很火，這個夏天業內仿佛打入雞血一般地參與到這個生態，創新、革命，各類項目此消彼長。不過，熱鬧背后，卻是暗流涌動。

2020年4月18日，Uniswap爆出智能合約漏洞，該漏洞被人利用盜取了數十萬美金的資產；次日，Lendf.me因相同漏洞，被一位程序員盜取了數千萬美金的資產；因為智能合約漏洞，上線36小時，紅極一時的Yam迅速消亡。?

安全，已經是懸在DeFi頭上的達摩克利斯之劍。有痛點就有市場，在這場狂歡中，“慢霧蓋章”成了保障的標志。

近日，在廈門舉辦的“共為創業者大會”上，金色財經就DeFi安全采訪了慢霧科技合伙人Keywolf啟富。

慢霧安全：舊版本的 Clorio Wallet 存在安全漏洞:據慢霧區消息，受 Mina JavaScript client-sdk v1.0.1 之前版本的弱熵問題影響，目前社區已有多人反饋錢包私鑰被竊取，慢霧安全團隊經過調查發現：使用 Clorio Wallet v0.1.1，Clorio Wallet v0.1.0 版本創建的錢包將存在被盜風險。

建議有使用 Clorio Wallet v0.1.1，Clorio Wallet v0.1.0(2021 年 5 月 28 日)創建錢包的用戶確保將錢包更新到最新版本(Clorio Wallet v1.0.0)，并且重新創建新的錢包地址，將資金轉移到新創建的錢包地址上以保證資產安全。

存在漏洞的錢包版本：Clorio Wallet < v0.1.2 存在漏洞的 client-sdk 版本：o1labs/client-sdk < 1.0.1。[2023/1/9 11:02:03]

以下為采訪實錄。

慢霧:BSC鏈上項目BXH遭受攻擊分析:10月30日消息，據慢霧區情報，2021年10月30日，幣安智能鏈上(BSC)去中心化交易協議BXH項目遭受攻擊，被盜約1.3億美金。經慢霧安全團隊分析，黑客于27日13時(UTC)部署了攻擊合約0x8877，接著在29日08時(UTC)BXH項目管理錢包地址0x5614通過grantRole賦予攻擊合約0x8877管理權限。30日03時(UTC)攻擊者通過攻擊合約0x8877的權限從BXH策略池資金庫中將其管理的資產轉出。30日04時(UTC)0x5614暫停了資金庫。因此BXH本次被盜是由于其管理權限被惡意的修改，導致攻擊者利用此權限轉移了項目資產。[2021/10/30 6:22:02]

金色財經：慢霧審計一個項目主要有哪些流程？系統是否安全的最終標準有哪些？?

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

慢霧科技合伙人啟富：對于DeFi，我們更關心的是資產的安全，簡單來說就是本金的安全。用戶的收益如何與項目的經濟模型有關，所以，我們首先關注的是智能合約里在計算用戶收益時，會不會存在溢出等問題，這也是合約里普遍存在的通用性問題。其次，我們會關注項目方是否留有后門，是不是作惡，是否盜取用戶資金。

聲音 | 慢霧科技余弦：2019年加密貨幣世界被黑資產價值達44億美金:安全公司慢霧科技聯合創始人余弦在微博上稱，我們的一個有趣統計：加密貨幣世界，已披露的，2019 年之前被黑的資產價值有41億美金，而 2019 年一年就有44億美金，增加了一倍多。如果從被黑項目方個數來看，也是增加了一倍多。2019 對于地下黑客來說是個多瘋狂的一年。[2020/1/7]

當收到用戶項目審計訴求時，我們會先通過項目官網、介紹等資料了解項目，在初步審核通過之后，會去評估其智能合約代碼的復雜度，并進入到商務流程，報價、排期等溝通沒問題之后，開始項目審計。

審計的過程當中發現了任何的問題，都會馬上去告訴對方并告知解決方案，改完之后、復查，最后會出具一個審計報告。同時我們現在要求對方一定把代碼開源。在審計中除了關注常規的安全漏洞，還要關注代碼和業務邏輯設計是否一致，以及組合性引入的外部風險，找出薄弱點提高攻擊者的門檻從而整體提升安全性。?

基于對慢霧的認可，大家覺得慢霧審計過的項目會比較放心，所以我們現在都是盡可能的把有可能存在風險的，包括一些admin權限等，現在流行用時間鎖的方式，想要有進一步動作，必須要經過24小時或者48小時。上鏈之后，大家都能夠去看到。這方面現在大家都關注，我們也特別關注。

金色財經：現在有相關數據統計，8月份有大概8起DeFi相關的安全事件。從安全的角度，您怎么看DeFi的發展？

慢霧科技合伙人啟富：DeFi相對于公鏈是一個比較新的東西，在發展的過程當中，肯定會有一些風險和未知的事情，畢竟面對一個新興事物，大家都不是那么有經驗。從DeFi安全性角度來說，新事物在發展的過程當中，出現這樣的安全問題，算是可以理解的事情。

像比特幣、以太坊它早期也有發生過安全問題，比特幣之前也曾有增發漏洞，以太坊也有著名的TheDAO事件，還分叉出了ETC。

所有人并不是一開始就有豐富的經驗，包括那些試圖攻擊它的人，也不是很快就能知道攻擊方法，也是做了一些自己的研究、嘗試。所以在早期時候，去關注、參與一定會有風險，但是我們不能因為它發生過這些問題，去否定一個新的方向。整個行業或者DeFi方向肯定會越來越完善，包括安全公司或者優質的項目方，優質的技術團隊參與到其中，就能夠把整體水平提升上來。?

另外一個就是說大家對安全問題的一個規避的方式，就是項目方一定要有自己的安全的意識，盡可能有一些預算找安全公司，例如我們慢霧，去做一些相應的安全審計，至少現在已經知道的一些攻擊的手法都給它規避掉。

金色財經：您接下來會看好哪一些項目？?

慢霧科技合伙人啟富：現階段挖礦的應該不會太長久，這種玩法大家可能都已經比較熟悉了，幣圈其實很多時候都講究一個新鮮感或者畫餅的能力，如果接下來沒有更多新的玩法，大家都還是繼續去搞這樣的流動性挖礦，可能到后期就沒什么人玩了。從以太坊到波場到幣安智能鏈，或者到其他的一些新的公鏈如本體、NEO，這些國產公鏈都開始加入到這個賽道，但是大部分玩法還是一樣的。資金就這么多，現在出來這么多項目，就會有均分或者轉移，最后如果沒有一些新的玩法，大家就會審美疲勞，而且年化有可能越來越低。

現在很多人都在聊另外一個熱點NFT，大家關注到NFT，就是因為現在它能交易。在我看來，這是一個方向，真正的落地還要有一定的距離。

在這個行業，熱點有時候并不是技術驅動的，很多時候是因為能賺錢而帶來的。

Tags：ABUSPORESPOOREABUSDSpore FinanceSport InvestingRadioreum

萊特幣價格