大的DeFi協議基本上都經過多輪審計,我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀,但藍籌DeFi沒哪個沒被黑過?這里原因很簡單,簡單的數學問題從攻防來看,所有靜態審計的輸入和輸出(發現bug)都是有限的。
除了常規審計,Euler還用了Certora做形式化驗證,這個我們之前也用過,形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍,但是無法窮盡“未知的未知”。DeFi是一個開放系統,對于黑客來說,它的輸入是無限的,輸出也是無限的。假設把安全攻防看成挖礦,你守方用三五臺機器算哈希挖礦攻方無數機器時刻在算哈希,只要算對一次就贏了;這個輸贏面對比是明顯的。靜態的安全審計,由于輸入輸出固定,無法覆蓋已知的未知,更無法覆蓋未知之未知。
日本國稅廳發布對區塊鏈游戲等NFT交易征稅的指導方針,涵蓋所得稅、消費稅等情況:1月16日消息,日本國稅廳今日發布了有關NFT的稅務上的一般處理文件,指南除了列舉爭對NFT征收所得稅的案例外,也發布了征收消費稅等情況的案例。因游戲內代幣的取得和使用情況非常頻繁,難以評估,因此將在年末統一進行計算。
指南指出,如果個人創建NFT并將其出售給第三方(一次分配),或者如果購買NFT的人將其轉售給另一個人(二次分配),則利潤是“所得稅”,需繳納稅款。如果你把NFT免費送給熟人,贈送的一方可能不征稅,但贈與的一方可能征稅。某人制作NFT并通過市場銷售給日本消費者從中獲得報酬時,該NFT制作者將被征收消費稅。另外,作為二次流通,將購入的NFT賣給他人時,如果是通過日本經營者進行對價出售的,則對該經營者征收消費稅。
通過區塊鏈游戲獲得的報酬原則上被劃分為“雜項收入”,是所得稅的征稅對象。但作為報酬獲得的游戲內代幣,如果只能在游戲內使用,則不被視為所得稅征稅對象。另外,對于此前不明確的“因不正當訪問導致NFT被盜、消失的情況”等,也明確了稅法上的原則性處理。但是,FAQ只是關于一般處理的回答,需要注意具體問題將具體對待,因此確定申報時的詳細計算方法需要向專家和國稅廳確認。(Coinpost)[2023/1/16 11:14:19]
所以出現另一種審計,叫開發式競爭型審計,如Code4rena,審計獎金池固定,但是輸入在一定時間內是彈性的,所有人都可以參加,誰發現bug按照嚴重程度,分獎金,這個方式是讓審計師/白帽去卷,可以擴大覆蓋面,但總體輸入依然固定,遠遠不夠。最后是完全開放的模式,那就是賞金網絡,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平臺,我建議每個DeFi在上面發bounty,親測效果十分明顯。Immunefy的獎金項目方會給非常高。比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金,但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的,這個類似于黑客的攻擊模式。
安全機構:Fuck BNB疑似為貔貅盤Token,請注意相關風險:金色財經報道,12月2日,Ankr協議遭到攻擊,攻擊者創建Fuck BNB Token。據安全機構Go+Labs報告,該Token疑似為貔貅盤Token。請用戶注意相關風險。[2022/12/2 21:18:01]
但兩者激勵模式很大區別。假如把兩者當成是抽獎,同樣1000w獎金池,賞金模式獎金一般都會在10w-30w刀封頂,黑客模式是100%獎金全拿走。這兩種模式,同等投入,同樣中獎概率,假設沒有犯罪成本,毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%,也跑不贏黑客池,除非把犯罪成本加入等式,有人建議把賞金比例和TVL掛鉤,比如10%,是否會激勵更多黑客轉白帽??
慢霧:靚號黑客已獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限:10月11日消息,據慢霧區情報,靚號黑客地址之一(0xf358..7036)已經獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限。黑客從ParaSwap Deployer地址獲取到約1千美元,并在QANplatform Deployer地址做了轉入轉出測試。慢霧MistTrack對0xf358..7036分析后發現,黑客同樣盜取了The SolaVerse Deployer及其他多個靚號的資金。截止目前,黑客已經接收到超過17萬美元的資金,資金沒有進一步轉移,地址痕跡有Uniswap V3、Curve、TraderJoe,PancakeSwap、OpenSea和Matcha。慢霧MistTrack將持續監控黑客地址并分析相關痕跡。[2022/10/11 10:31:05]
?首先,沒哪個defi協議能支付10%TVL的賞金,其次,遇到真黑客,他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面,還有可組合風險攻擊面上,DeFi本身隨著整合增加,攻擊面是四維增長的,定期靜態安全審計加長期賞金,也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲,唯一靠譜的是在協議上減少外部依賴,最小化攻擊面,盡量待在“自己的舒適區”,不亂做擴展。對開放系統來說,安全代價就是自由的代價
Tags:NFTDEFIEFIDEFKONGZ Vault (NFTX)Pi Network DeFiKong DefiDeFi Warrior
ChatGPT爆火后,AI行業開始了新一輪“搶人大戰”:王慧文個人出資5000萬美元,打出“AI英雄榜”,要招募業界公認頂級研發人才;獵頭瘋狂挖角硅谷華裔技術大佬.
1900/1/1 0:00:00文/MattMaximo,MichaelZhao,Grayscale;譯/金色財經xiaozou盡管上周末有三家美國銀行關閉,恐慌蔓延,導致了加密貨幣價格的暫時下跌.
1900/1/1 0:00:002023年3月16日,TVL最大的以太坊L2項目Arbitrum終于官宣發幣ARB,3月23日可以領取空投.
1900/1/1 0:00:00文/GustavoLobo,TheTIEResearch譯/金色財經xiaozou 1、前言 在快速發展的去中心化金融世界中,穩定幣市場經歷了顯著的增長,越來越多樣化.
1900/1/1 0:00:00撰文:StephanieDunbar、StephenBasile編譯:BlockTurbo科學知識是支撐技術發展和經濟增長的公共產品.
1900/1/1 0:00:001.金色觀察|灰度研究:加密貨幣圣杯“穩定幣”的崛起1976年,經濟學家FriedrichHayek撰寫了一篇名為《貨幣非國家化》的文章.
1900/1/1 0:00:00