DeFi 很火,這個夏天業內仿佛打入雞血一般地參與到這個生態,創新、革命,各類項目此消彼長。不過,熱鬧背后,卻是暗流涌動。
2020年4月18日,Uniswap 爆出智能合約漏洞,該漏洞被人利用盜取了數十萬美金的資產;次日,Lendf.me 因相同漏洞,被一位程序員(非黑客)盜取了數千萬美金的資產;因為智能合約漏洞,上線36小時,紅極一時的Yam迅速消亡。?
安全,已經是懸在DeFi頭上的達摩克利斯之劍。有痛點就有市場,在這場狂歡中,“慢霧蓋章”成了保障的標志。
近日,在廈門舉辦的“共為創業者大會”上,金色財經就DeFi安全采訪了慢霧科技合伙人 Keywolf啟富。
慢霧:靚號黑客已獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限:10月11日消息,據慢霧區情報,靚號黑客地址之一(0xf358..7036)已經獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限。黑客從ParaSwap Deployer地址獲取到約1千美元,并在QANplatform Deployer地址做了轉入轉出測試。慢霧MistTrack對0xf358..7036分析后發現,黑客同樣盜取了The SolaVerse Deployer及其他多個靚號的資金。截止目前,黑客已經接收到超過17萬美元的資金,資金沒有進一步轉移,地址痕跡有Uniswap V3、Curve、TraderJoe,PancakeSwap、OpenSea和Matcha。慢霧MistTrack將持續監控黑客地址并分析相關痕跡。[2022/10/11 10:31:05]
慢霧:BTFinance被黑,策略池需防范相關風險:據慢霧區情報,智能DeFi收益聚合器BT.Finance遭受閃電貸攻擊。受影響的策略包括ETH、USDC和USDT。經慢霧安全團隊分析,本次攻擊手法與yearnfinance的DAI策略池被黑的手法基本一致。具體分析可參考慢霧關于yearnfinace被黑的技術分析。慢霧安全團隊提醒,近期對接CurveFinance做相關策略的機槍池頻繁遭受攻擊。相關已對接CurveFinance收益聚合器產品應注意排查使用的策略是否存在類似問題,必要時可以聯系慢霧安全團隊協助處理。[2021/2/9 19:19:41]
以下為采訪實錄。
聲音 | 慢霧科技余弦:所有數字貨幣項目方應完整review所有第三方模塊:據IMEOS報道,慢霧科技余弦提醒所有數字貨幣相關項目(如交易所、錢包、DApp 等)都應該強制至少一名核心技術完整 review 一遍所有第三方模塊,看看是否存在可疑代碼,也可以抓包看看是否存在可疑請求。供應鏈攻擊不計代價,數字貨幣依然炙手可熱。
比如最新發現的: Hacker backdoors popular JavaScript library to steal Bitcoin funds 。[2018/11/27]
金色財經:慢霧審計一個項目主要有哪些流程?系統是否安全的最終標準有哪些??
慢霧區:又有200ETH被盜:據慢霧“以太坊黑人節”專題網站監控顯示,又有近200 ETH 被盜。攻擊者(0x957cd…)在受害人收到 199 ETH 入賬約三小時后,把受害人錢包內余額全部盜走。[2018/4/27]
慢霧科技合伙人啟富:對于DeFi,我們更關心的是資產的安全,簡單來說就是本金的安全。用戶的收益如何與項目的經濟模型有關,所以,我們首先關注的是智能合約里在計算用戶收益時,會不會存在溢出等問題,這也是合約里普遍存在的通用性問題。其次,我們會關注項目方是否留有后門,是不是作惡,是否盜取用戶資金。
當收到用戶項目審計訴求時,我們會先通過項目官網、介紹等資料了解項目,在初步審核通過之后,會去評估其智能合約代碼的復雜度,并進入到商務流程,報價、排期等溝通沒問題之后,開始項目審計。
審計的過程當中發現了任何的問題,都會馬上去告訴對方并告知解決方案,改完之后、復查,最后會出具一個審計報告。同時我們現在要求對方一定把代碼開源。在審計中除了關注常規的安全漏洞,還要關注代碼和業務邏輯設計是否一致,以及組合性引入的外部風險,找出薄弱點提高攻擊者的門檻從而整體提升安全性。?
基于對慢霧的認可,大家覺得慢霧審計過的項目會比較放心,所以我們現在都是盡可能的把有可能存在風險的,包括一些admin權限等,現在流行用時間鎖的方式,想要有進一步動作,必須要經過24小時或者48小時。上鏈之后,大家都能夠去看到。這方面現在大家都關注,我們也特別關注。
金色財經:現在有相關數據統計,8月份有大概8起DeFi相關的安全事件。從安全的角度,您怎么看DeFi的發展?
慢霧科技合伙人啟富: DeFi相對于公鏈是一個比較新的東西,在發展的過程當中,肯定會有一些風險和未知的事情,畢竟面對一個新興事物,大家都不是那么有經驗。從DeFi安全性角度來說,新事物在發展的過程當中,出現這樣的安全問題,算是可以理解的事情。
像比特幣、以太坊它早期也有發生過安全問題,比特幣之前也曾有增發漏洞,以太坊也有著名的The DAO事件,還分叉出了ETC。
所有人并不是一開始就有豐富的經驗,包括那些試圖攻擊它的人,也不是很快就能知道攻擊方法,也是做了一些自己的研究、嘗試。所以在早期時候,去關注、參與一定會有風險,但是我們不能因為它發生過這些問題,去否定一個新的方向。整個行業或者DeFi方向肯定會越來越完善,包括安全公司或者優質的項目方,優質的技術團隊參與到其中,就能夠把整體水平提升上來。?
另外一個就是說大家對安全問題的一個規避的方式,就是項目方一定要有自己的安全的意識,盡可能有一些預算找安全公司,例如我們慢霧,去做一些相應的安全審計,至少現在已經知道的一些攻擊的手法都給它規避掉。
金色財經:您接下來會看好哪一些項目??
慢霧科技合伙人啟富:現階段挖礦的應該不會太長久,這種玩法大家可能都已經比較熟悉了,幣圈其實很多時候都講究一個新鮮感或者畫餅的能力,如果接下來沒有更多新的玩法,大家都還是繼續去搞這樣的流動性挖礦,可能到后期就沒什么人玩了。從以太坊到波場到幣安智能鏈,或者到其他的一些新的公鏈如本體、NEO,這些國產公鏈都開始加入到這個賽道,但是大部分玩法還是一樣的。資金就這么多,現在出來這么多項目,就會有均分或者轉移,最后如果沒有一些新的玩法,大家就會審美疲勞,而且年化有可能越來越低。
現在很多人都在聊另外一個熱點NFT,大家關注到NFT,就是因為現在它能交易。在我看來,這是一個方向,真正的落地還要有一定的距離。
在這個行業,熱點有時候并不是技術驅動的,很多時候是因為能賺錢而帶來的。
金色財經報道,據杭州網消息,由國網杭州供電公司推出的區塊鏈工程服務結算平臺在杭州應用落地,這也是國網系統內首個區塊鏈工程服務結算平臺.
1900/1/1 0:00:00自對外宣布起僅僅過去8天,PayPal已正式上線比特幣交易服務。Circle CEO Jeremy Allaire發推表示,在線支付公司 PayPal 正式上線比特幣交易服務.
1900/1/1 0:00:002008年10月31日,中本聰發表了一篇九頁論文,描述了一種名為“比特幣”(Bitcoin)的新型在線支付系統.
1900/1/1 0:00:00隨著多國計劃研發或開展落地測試,央行數字貨幣漸行漸近。國際清算銀行近期發布報告指出,今年是央行數字貨幣崛起的一年,截至7月中旬,全球至少有36家央行發布了數字貨幣計劃.
1900/1/1 0:00:00據央行官網消息,中國人民銀行10月23日就《中華人民共和國中國人民銀行法(修訂草案征求意見稿)》公開征求意見.
1900/1/1 0:00:009 月 1 日到 10 月 1 日期間,以太兌比特幣價格下跌了 10.34 % 。在幣安上,ETH/BTC 交易對的價格從 0.037237 BTC 下跌到了 0.033385 BTC ,在處于.
1900/1/1 0:00:00