Hegic出事，Trail of Bits該背鍋嗎？來看看Hegic代碼評審報告_DEFI

撰文：MyCrypto

翻譯：PerryWang

來源：鏈聞

對那些懶得打開PDF文檔的讀者，這里給大家概括一下「審計報告」。

對那些根本一點不懂的小白來說：

這是一份審計報告的摘要

摘要中有投資預警

閱讀審計報告你需要字斟句酌。讀這份摘要就清算多了。

第一部分：事實陳述

何時審計，用時多少天

具體審計了什么

由誰進行了審計

就算是小白都知道這種規模的合同，一個工程師用時兩天進行審計，不會讓我買賬。16個小時就想搞懂所有代碼、找到bug，找到攻擊方法，然后完事交差？

1.1一位熟悉系統底層架構和理念的專家面對總量很小、非常簡單、語言非常漂亮的代碼庫，也許能做到這一點。

此外，他們沒有時間考慮代碼的經濟影響。

AvalancheGo發布v1.7.3版本，向后兼容AvalancheGo v1.7.0:12月21日，官方消息，AvalancheGo發布v1.7.3版本，向后兼容AvalancheGo v1.7.0，可選但推薦升級。[2021/12/21 7:52:52]

1.2只進行了小型審計，可能是由于Hegic財力所限，我對此表示贊賞。但是，審計的目的是要避免發生壞事，不要將審計作為一種促銷手段，出了問題不能說「不是我們的錯，只能怪安全審計機構@trailofbits！」

1.3要改善審計的投資回報率，更簡單的方式是讓審計人員的工作變得更簡單

代碼干凈+恰當的論述

使用所有免費工具來發現基本問題，以便專家可以專注于復雜的問題

請他人幫忙查看代碼，提出問題

提供文件，提供摘要+重點/關注領域

第二部分：看看他們在尋找什么問題+找到了什么問題

值得注意的提示：

有三個領域，也被稱為「糟糕情況可能出現嗎？」

三個領域的答案都是「是Yes」，程度級別不同而已。

另外他們認為這些風險與算法有關

歐易OKEx DeFi播報：DeFi總市值828.50億美元，歐易OKEx平臺HEGIC漲幅最大:據歐易OKEx統計，DeFi項目當前總市值為828.50億美元，總鎖倉量為980.80億美元；

行情方面，今日DeFi代幣普漲；歐易OKEx平臺DeFi幣種漲幅前三位分別是HEGIC、WGRT、SNX；

截至18:00，OKEx平臺熱門DeFi幣種如下：[2021/5/18 22:15:40]

(審計報告圖片中譯)

從資金池竊取財產

以低于預期的行權價創建期權合約

免費創建期權合約我們發現多數問題與算法有關，包括

如果資金池代幣的供應量低于資產供應量，攻擊者可以吸干資金

如果ETH價格低于1美元，期權合同行權價可以為0

當流動性增加，資金池惡意參數可以允許0鑄幣

有多個問題可能導致惡意合約所有者傷害Hegic用戶，包括：

通過費用收取來竊取期權資產

2.1稍后將詳細介紹算法方面，但接下來看看@ChrisBlec所謂的「管理員漏洞」，比特幣至上主義者會以此為例證發表所謂中心化目前優于DeFi的胡言亂語。

他們說的都沒有錯。你可能不喜歡這個事實，但只能接受它。

有多個問題可能導致惡意合約所有者傷害Hegic用戶，包括：

Hegic代碼出現漏洞導致用戶資金被永久鎖定:金色財經報道，建立在以太坊上的新期權交易協議Hegic剛剛上線主網。4月23日，在其啟動智能合約后僅幾小時，其代碼中的一個錯誤就鎖定了該平臺智能合約中價值28,000美元的用戶資金。這些資金大部分在DAI穩定幣中，其余在ETH中。該漏洞將用戶資金鎖定在過期的期權合約中，使其永久無法訪問。Hegic團隊已承諾將用自己的錢償還所有受影響的用戶。引起社區憤怒的是，該團隊最初稱該漏洞是拼寫錯誤的結果。兩天后，社區以及審查其代碼的獨立團隊表示，該漏洞是由可以很容易避免的錯誤引起的。[2020/4/27]

通過費用收取來竊取期權資產

將資金困在期權合約中，阻止流動性提供者撤資

可以免費創建期權合約

2.2<這里插入有關去中心化的漸進論證>

無論如何，你應該注意到這種可能性以及知道審計人員在上面花了時間。在一個全新的金融體系中發現所有的漏洞攻擊方法，這16個小時中有多少時間被用于驗證有效的、已知的攻擊方法？

2.2只有16個小時找到所有攻擊方法

數學/密碼學中的Bug

比如重入攻擊

金融/經濟方面的影響

內部作惡者

外部惡意攻擊者

意外錯誤/意外結果

動態 | IOTA聯合創始人Sergey Ivancheglo稱已賣出自己所有的IOTA:IOTA聯合創始人Sergey Ivancheglo宣布，他已經賣掉了自己所有的IOTA，原因是持有這些代幣存在太多的“利益沖突”。據此前消息，Sergey Ivancheglo已于6月26日辭去其在IOTA基金會的職務。（BeInCrypto）[2019/11/8]

資金損失

等等等等。

16個小時不可能搞清楚這一切。絕無可能。

2.3審計機構永遠不會說：「這些代碼爛的像臭狗屎」。

捫心自問，為什么他們指出蛛絲馬跡。不要指望他們徹底告訴你想要的東西或他們自己的反應。這就是事情被忽略的完美例證，因為它沒有成為Twitter熱門話題：另外我們還發現，當資金池增加或減少資產時會出現賬簿記錄錯誤，沒有體現出期權合約中的相關資產，因此攻擊者可能竊取資金池中資產。

2.3我來幫你。

Hegic內的合約并不清楚合約中的資產被誰以何種方式偷走。

我實在不明白如果都不清楚這些情況，資金池還怎么運轉。老人看手機臉。

另外請注意：記賬簿。

動態 | ECAF 發布緊急仲裁令 要求凍結賬戶 gizdkmjvhege:據IMEOS消息，ECAF 發布了最新的緊急仲裁令，要求 BP 凍結賬戶 gizdkmjvhege。本次仲裁令與 HireVibes 空投（HVT）被盜有關。此前，第三方服務提供商私鑰泄露，受害者賬戶的大量糖果在非本人操作下轉入到了 sym111111add 賬戶，隨后該賬戶在去中心化交易平臺 Newdex 套現 2514 EOS， 這筆 EOS 隨后又被轉入到 gizdkmjvhege 賬戶。該仲裁令已在鏈上發布。[2018/11/16]

第三部分：推薦

這一直是最重要的部分，因為這里是審計機構字斟句酌的部分。

在實際的審計報告中，會向Hegic指出需要解決的大量代碼、漏洞及事情。但這篇摘要是供外部人了解所用的。是給我們普通人的。

由于發現的算法問題較多以及時間限制，無法進行深入的算法驗證，(審計機構)TraitofBits推薦使用符號執行和fuzzing測試合約的變量。代碼庫中可能存在更多問題。

另外TraitofBits作出以下推薦：

未來開發利用crytic.io。采用該平臺發現兩個問題。

評估和記錄合約所有者特權

驗證和記錄不同合約之間的資產記賬

評估和記錄系統的套利機會

推薦用戶在保障資產的前提下使用提供資產和撤資功能

3.1一定做更多來確保安全！！！

3.2我們真的沒有時間展開深入講，基本的數學問題已經占用了大部分時間，我們連數學問題都沒搞懂，更別說更大范圍的問題了。

3.3我們當然知道有更多問題，你現在知道了。

3.4你付錢給我們找一些自己本可以用更便宜的方式找到的基本問題，然后付錢給我們找到了另一個錯誤。

3.5你們的項目文檔記錄匱乏實在令人厭惡，我們在五點建議中用三條的篇幅去描述這個問題，因為這是你們發現問題、并為安全人員/白帽黑客提供挽救用戶資產的最佳機會。

3.6評估合約所有者的特權：我們的工作不到位。

驗證你們的算法：小心打補丁。重新查驗一切因為你們的算法真的太爛了。

驗證套利交易：我們都還沒開始考慮這個問題。

也許你們在寫文檔的時候就會發現問題了。

3.7我真的不知道怎么收尾。

通常在完整審核中，你會發現帶有代碼片段的內容。事實是這一行代碼有分量。

3.8或者是他們選擇讓讀者注意到最后一句特別重要，或者他們也意識到「我們真的檢查了所有東西/所有功能了嗎」？在概要最后扔下一句。

不管是哪種情況，依據這份審計報告，這是致命硬傷的所在地。

總體心得

1@trailofbits沒有足夠時間在最佳狀況下完成審計。

2代碼庫沒有提供「最佳狀態」。

3沒有文檔紀錄。

4要構建金融系統，必須要有出色的數學/記賬簿/會計能力。

Hegic有太多問題，讓@trailofbits的審計工作更麻煩。但更重要的是，這里存在根本性問題。這一解決方案「更重視數學，在數學方面也更出色」，但「在審計方面很糟糕」。

5Hegic無權利用這份審計報告宣稱自己是個安全的系統，或者像當前這樣轉嫁責任「甚至trailofbits都沒有發現問題！」

6Hegic將審計當作敷衍他人的擋箭牌，而不是為了切實保護用戶或者了解及確保系統的安全。這種態度顯示團隊對用戶利益的漠視，可能是一種性質惡劣的文化，對我而言總是拉響警報。

7Hegic項目目前不該推出。如果他們是被槍指著頭被迫發布產品，他們也應該宣稱自己是未經審計的、受限的Pre-alpha項目。

8@trailofbits沒有提到測試。不確定他們為什么在其他審計中有測試。也許是因為在測試前的基本文檔就有問題？

有點像如果我的院子里長滿了6英尺高的野草，我就去考慮修剪更高的灌木問題。

9作為社區一個整體，我們需要注意，即使是名頭最響亮機構所做的審計報告，也不意味著是安全的。也許還更不安全。

來源鏈接：twitter.com

Tags：HEGICGICBITDEFIhegic幣是國產項目MEEBITS20BasketDAO DeFi Index

Polygon