借著Euler黑客事件 聊聊DeFi的安全審計和安全_DEFI

大的DeFi協議基本上都經過多輪審計，我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀，但藍籌DeFi沒哪個沒被黑過？這里原因很簡單，簡單的數學問題從攻防來看，所有靜態審計的輸入和輸出（發現bug)都是有限的。

除了常規審計，Euler還用了Certora做形式化驗證，這個我們之前也用過，形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍，但是無法窮盡“未知的未知”。DeFi是一個開放系統，對于黑客來說，它的輸入是無限的，輸出也是無限的。假設把安全攻防看成挖礦，你守方用三五臺機器算哈希挖礦攻方無數機器時刻在算哈希，只要算對一次就贏了；這個輸贏面對比是明顯的。靜態的安全審計，由于輸入輸出固定，無法覆蓋已知的未知，更無法覆蓋未知之未知。

日本國稅廳發布對區塊鏈游戲等NFT交易征稅的指導方針，涵蓋所得稅、消費稅等情況:1月16日消息，日本國稅廳今日發布了有關NFT的稅務上的一般處理文件，指南除了列舉爭對NFT征收所得稅的案例外，也發布了征收消費稅等情況的案例。因游戲內代幣的取得和使用情況非常頻繁，難以評估，因此將在年末統一進行計算。

指南指出，如果個人創建NFT并將其出售給第三方（一次分配），或者如果購買NFT的人將其轉售給另一個人（二次分配），則利潤是“所得稅”，需繳納稅款。如果你把NFT免費送給熟人，贈送的一方可能不征稅，但贈與的一方可能征稅。某人制作NFT并通過市場銷售給日本消費者從中獲得報酬時，該NFT制作者將被征收消費稅。另外，作為二次流通，將購入的NFT賣給他人時，如果是通過日本經營者進行對價出售的，則對該經營者征收消費稅。

通過區塊鏈游戲獲得的報酬原則上被劃分為“雜項收入”，是所得稅的征稅對象。但作為報酬獲得的游戲內代幣，如果只能在游戲內使用，則不被視為所得稅征稅對象。另外，對于此前不明確的“因不正當訪問導致NFT被盜、消失的情況”等，也明確了稅法上的原則性處理。但是，FAQ只是關于一般處理的回答，需要注意具體問題將具體對待，因此確定申報時的詳細計算方法需要向專家和國稅廳確認。（Coinpost）[2023/1/16 11:14:19]

所以出現另一種審計，叫開發式競爭型審計，如Code4rena，審計獎金池固定，但是輸入在一定時間內是彈性的，所有人都可以參加，誰發現bug按照嚴重程度，分獎金，這個方式是讓審計師/白帽去卷，可以擴大覆蓋面，但總體輸入依然固定，遠遠不夠。最后是完全開放的模式，那就是賞金網絡，DeFi里最出名的Immunefy，云集最多DeFi白帽高手的平臺，我建議每個DeFi在上面發bounty，親測效果十分明顯。Immunefy的獎金項目方會給非常高。比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金，但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的，這個類似于黑客的攻擊模式。

安全機構：Fuck BNB疑似為貔貅盤Token，請注意相關風險:金色財經報道，12月2日，Ankr協議遭到攻擊，攻擊者創建Fuck BNB Token。據安全機構Go+Labs報告，該Token疑似為貔貅盤Token。請用戶注意相關風險。[2022/12/2 21:18:01]

但兩者激勵模式很大區別。假如把兩者當成是抽獎，同樣1000w獎金池，賞金模式獎金一般都會在10w-30w刀封頂，黑客模式是100%獎金全拿走。這兩種模式，同等投入，同樣中獎概率，假設沒有犯罪成本，毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%，也跑不贏黑客池，除非把犯罪成本加入等式，有人建議把賞金比例和TVL掛鉤，比如10%，是否會激勵更多黑客轉白帽？?

慢霧：靚號黑客已獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限:10月11日消息，據慢霧區情報，靚號黑客地址之一（0xf358..7036）已經獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限。黑客從ParaSwap Deployer地址獲取到約1千美元，并在QANplatform Deployer地址做了轉入轉出測試。慢霧MistTrack對0xf358..7036分析后發現，黑客同樣盜取了The SolaVerse Deployer及其他多個靚號的資金。截止目前，黑客已經接收到超過17萬美元的資金，資金沒有進一步轉移，地址痕跡有Uniswap V3、Curve、TraderJoe，PancakeSwap、OpenSea和Matcha。慢霧MistTrack將持續監控黑客地址并分析相關痕跡。[2022/10/11 10:31:05]

?首先，沒哪個defi協議能支付10%TVL的賞金，其次，遇到真黑客，他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面，還有可組合風險攻擊面上，DeFi本身隨著整合增加，攻擊面是四維增長的，定期靜態安全審計加長期賞金，也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲，唯一靠譜的是在協議上減少外部依賴，最小化攻擊面，盡量待在“自己的舒適區”，不亂做擴展。對開放系統來說，安全代價就是自由的代價

Tags：NFTDEFIEFIDEFKONGZ Vault (NFTX)Pi Network DeFiKong DefiDeFi Warrior

ADA