借著Euler黑客事件,聊聊DeFi的安全審計和安全。
大的DeFi協議基本上都經過多輪審計,我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀,但藍籌DeFi沒哪個沒被黑過這里原因很簡單,簡單的數學問題從攻防來看,所有靜態審計的輸入和輸出(發現bug)都是有限的。
除了常規審計,Euler還用了Certora做形式化驗證,這個我們之前也用過,形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍,但是無法窮盡“未知的未知”。DeFi是一個開放系統,對于黑客來說,它的輸入是無限的,輸出也是無限的。假設把安全攻防看成挖礦,你守方用三五臺機器算哈希挖礦。
韓國加密交易所Bithumb關閉其研究中心,因公司業務惡化要降本增效:6月1日消息,韓國加密交易所Bithumb在上線一年后將于6月2日關閉其研究中心,Bithumb解釋稱這是因為近期交易量低迷導致公司業務惡化而采取的措施。通過關閉研究中心,Bithumb計劃大幅提高人力資源的效率并降低成本,預計分散在研究中心的人力和資源將重新部署到專注于業務的組織。[2023/6/1 11:51:40]
攻方無數機器時刻在算哈希,只要算對一次就贏了;這個輸贏面對比是明顯的。靜態的安全審計,由于輸入輸出固定,無法覆蓋已知的未知,更無法覆蓋未知之未知。所以出現另一種審計,叫開發式競爭型審計,如Code4rena,審計獎金池固定,但是輸入在一定時間內是彈性的,所有人都可以參加,誰發現bug。
數據:沉寂超10年的比特幣地址被激活并轉移412枚比特幣:金色財經報道,據OKLink數據顯示,北京時間2月8日13時09分,一個沉寂長達10年的比特幣地址被激活,共轉移412枚比特幣。
該地址為1MMXRAo6CZQ5KuLkboQ3tULhZZtj3ovmjT,其交易哈希為972ba78df831e3dc7a2ef1662d28a555b55a22f071075c08edf359fff18dc59f。[2023/2/8 11:54:21]
按照嚴重程度,分獎金,這個方式是讓審計師/白帽去卷,可以擴大覆蓋面,但總體輸入依然固定,遠遠不夠。最后是完全開放的模式,那就是賞金網絡,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平臺,我建議每個DeFi在上面發bounty,親測效果十分明顯。Immunefy的獎金項目方會給非常高。
過去6個月從交易所撤出的價值100億美元的穩定幣:金色財經報道,在過去六個月中,價值近100億美元的穩定幣從交易所撤出,其中70%的撤出是由于BUSD的拋售。交易所的穩定幣余額在其峰值時價值接近45億美元。STBL是交易所地址上持有的硬幣總量,是一種虛擬資產,它匯總了Glassnode上支持的所有ERC20穩定幣的數據。包括的穩定幣有BUSD、GUSD、HSUD、DAI、USDP、EURS、SAI、sUSD、USDT和USDC。[2023/1/20 11:22:12]
比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金,但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的,這個類似于黑客的攻擊模式。
但兩者激勵模式很大區別。假如把兩者當成是抽獎,同樣1000w獎金池,賞金模式獎金一般都會在10w-30w刀封頂黑客模式是100%獎金全拿走這兩種模式,同等投入,同樣中獎概率,假設沒有犯罪成本,毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%,也跑不贏黑客池,除非把犯罪成本加入等式。
有人建議把賞金比例和TVL掛鉤,比如10%,是否會激勵更多黑客轉白帽?首先,沒哪個defi協議能支付10%TVL的賞金,其次,遇到真黑客,他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面,還有可組合風險。
攻擊面上,DeFi本身隨著整合增加,攻擊面是四維增長的,定期靜態安全審計加長期賞金,也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲,唯一靠譜的是在協議上減少外部依賴,最小化攻擊面,盡量待在“自己的舒適區”,不亂做擴展對開放系統來說,安全代價就是自由的代價。
TL;DR 以太坊質押率較低,增量空間巨大,LSD市場增長可持續。上海升級將打通LSD產品最后的提現環節,LSD的錨定性和流動性將大幅提升.
1900/1/1 0:00:00(以下任何觀點僅為作者個人觀點,不應作為投資決策的依據,亦不應被解釋為從事投資交易的推薦或建議。)北亞的冬天已經過去了。溫暖的天氣、陽光和櫻花的早開預示著春天的到來.
1900/1/1 0:00:00引言 2023年初BTC重新啟航,市場開始蘇醒,各個板塊輪番上漲,其中以太坊上海升級作為今年敘事主線,熱度依舊持續著。AI人工智能的應用由于處在萌芽階段,在短期的概念炒作結束后逐漸回落.
1900/1/1 0:00:00該Thread談談3大幣圈友好銀行的關閉或接管帶來的影響:法幣抵押型穩定幣規模變化; 資金進出通道遭到影響; 新的增長機會盡管USDC在爆雷的硅谷銀行中其資金已解決,從脫錨狀態又回到1刀.
1900/1/1 0:00:00區塊鏈的去中心化、不可篡改和透明的特性使得它可以應用于許多領域,如CBDC、產權保護、供應鏈管理同時也包括了很重要的數據存儲等.
1900/1/1 0:00:00喜歡的兩個散文家,一個是汪曾祺,一個是舒國治,兩者都是閑人,從文氣中滿溢出來的閑。似乎天大的事,都不必慌張,拖把竹椅坐下來,三三兩兩就講明白了.
1900/1/1 0:00:00