資產安全系于代碼 DeFi項目如何避免成為HackFi？_BTC

DeFi在過去的半年時間內是加密世界的主角，火熱程度爆表，也成為了黑客們攻擊的對象，有關DeFi協議被攻擊的事件時有發生，這給項目和用戶帶來嚴重的資產損失。

據統計，在計算機領域中，平均每1000行代碼中，會有1-25個BUG。也就是說，這個概率的區間是0.1%至2.5%。而這個概率放到剛剛處于起步階段的DeFi領域，無疑只會更高。

英國倫敦大學學院副教授IlyaSergey與新加坡國立大學多位學者合著的論文FindingTheGreedy，Prodigal，andSuicidalContractsatScale指出：「將近100萬份智能合約進行每份10秒分析時間的分析后發現，這其中有34200份智能合約很容易受到黑客攻擊，其中2365份有明顯漏洞」。這意味著智能合約出現問題的概率是0.2%至3.42%。

與CRV相關的永續期貨未平倉合約已達1.06億美元:金色財經報道，周二早些時候，CRV跌至0.5美元左右，達到自去年11月22日以來的最低水平。自Curve周日晚間遭受重入攻擊以來，價格已下跌約30%。Velo數據顯示，與CRV相關的永續期貨的名義未平倉合約已翻倍，達到1.06億美元，而融資利率卻為負值。這通常是交易者做空或押注價格下跌的跡象。看跌倉位可能源于人們擔心 Curve 創始人 Michael Egorov 在 Aave 和 Frax 上的大量借貸頭寸可能會被清算，這可能會破壞 Curve 和更廣泛的加密市場的穩定。[2023/8/1 16:11:18]

DeFi產品在區塊鏈平臺上運作，大量且頻繁的交易則依賴于部署在鏈上智能合約予以自動化處理，智能合約當中，任何一個小BUG，都可能會給項目或者投資者造成無法挽回的損失。

Prometheum聯席CEO：萬向及其附屬公司無法訪問任何代碼、技術、軟件:金色財經報道，針對Prometheum與萬向區塊鏈的戰略合作伙伴關系和聯合開發協議、以及獲得萬向技術資源、行業人脈和資本等問題，該公司聯席首席執行官Aaron Kaplan澄清稱，Prometheum已經于2021年10月終止與萬向區塊鏈的合作協議，因此之后的聯合開發顯然是不可能的，不僅如此“萬向及其附屬公司無法訪問任何Prometheum代碼、技術、軟件或Prometheum生態系統，Prometheum公司的代碼均是內部開發的”。（Decrypt）[2023/6/22 21:54:25]

比如知名DeFi項目Yam，Yam于北京時間8月12日啟動后不到24小時，合約質押的資產就已經超過4.6億美元，然而由于一個小小的增發漏洞，項目就宣告失敗，距離啟動也不過36小時，代幣YAM也從109美元跌至0.9美元，跌幅超99%，而這也是DeFi眾多安全事件的一個縮影。

Rollup平臺Caldera即將引入狀態預編譯，允許開發者定制和添加功能至他們的Caldera鏈:4月21日消息，Rollup平臺Caldera宣布即將引入狀態預編譯（Stateful Precompiles），為開發人員提供一個新的界面來定制和添加功能到他們的Caldera鏈，無需編寫Solidity即可向其EVM實例添加功能。狀態預編譯建立在EVM中標準的無狀態預編譯之上，從而實現更廣泛的功能和可定制性。Caldera表示，狀態預編譯的用例包括啟用合約擔保收入，鑄造EVM實例的原生硬幣，部署性能更高且更低成本的智能合約，限制白名單部署智能合約等。

Foresight News 此前報道，2023 年 2 月份，Caldera 宣布已經完成 900 萬美元的兩輪融資，傳統金融巨頭紅杉資本和加密原生公司 Dragonfly 領投，Neo、1kx 和 Ethereal Ventures 等參投。3 月底，Caldera 宣布在以太坊 Goerli 和 Polygon 上推出兩個公共測試網（EVM 兼容），允許開發人員部署智能合約并通過 Ethers.js 和 Thirdweb 等常用工具連接，普通用戶可以將測試網添加錢包，與部署的合約進行交互。[2023/4/21 14:17:24]

以太坊上，數字貨幣的發行和流通、借貸、投票、拍賣等，都已有現成的智能合約模塊可供調用，各種新的智能合約也在不停編寫和部署中。根據區塊鏈安全機構CertiK的一份報告，該報告對2020年12月份新加入Uniswap，共計29個代幣智能合約進行了分析，結果總計發現16個智能合約存在漏洞或者缺陷。

歐洲議會議員：MiCA框架對FTX崩潰事件的管轄范圍有限:金色財經報道，歐洲議會議員和歐盟加密貨幣法規的起草人Ondrej Kovarik雖然認為加密資產市場將有可能保護歐盟公民并改善條件，但Kovarik承認FTX的大部分內容超出了歐盟的管轄范圍。歐盟許多政策專家站出來聲稱，該集團備受期待的加密資產市場立法本可以緩解打擊或防止導致崩潰的事件。

MiCA框架制定了一套全面的規則，以監管加密資產和加密交易所等服務提供商，預計將在2月對該立法進行最終投票。一旦獲得批準，MiCA給予監管機構12-18個月的時間來充實需要實施的規定。（the block）[2022/11/24 8:04:48]

大概有55%的智能合約項目或多或少存在漏洞或者缺陷，其中大約有10%存在嚴重漏洞，45%存在項目擁有者權限過大，權限中心化過高的缺陷。DeFi智能合約的安全問題可見一斑。

具體結果如下：?

那么DeFi項目要如何做呢？

案例分享：acBTC如何確保合約安全

acBTC是一個致力于提供綜合性BTCDeFi服務的協議，為BTC這一單一資產提供多種DeFi方案。BTC作為最為優質的加密資產，用戶對智能合約的安全問題尤其重視，acBTC團隊也很重視這個問題。

一、選擇權威的審計機構

當前DeFi項目熱潮持續不減，很多項目為了抓住熱點與機遇，在未經嚴格測試和審計的情況下便匆忙上線。而且對于智能合約而言，大部分的漏洞是無法通過常見的測試方法和工具來發現，只有尋找專業的審計專家進行嚴謹的數學模型證明，才可以發現該漏洞。

目前業內最常見的做法是在項目上線之前，聘請專業的安全團隊進行充分的安全審計。形式化驗證是當前唯一被證明可以產生可信數學證明的軟件驗證方法。因此，采用基于形式化驗證方法的區塊鏈檢測工具來驗證項目中的安全漏洞，成為了每一個項目在上線前的必經步驟。

acBTC的審計方為區塊鏈知名機構安比實驗室。安比實驗室按照嚴格的標準，從合約的技術實現、業務邏輯、接口規范、Gas優化、發行風險等維度對acBTC的合約代碼進行審計，通過形式化驗證、語義分析等工具進行掃描檢測，對acBTC進行了21項審計，并出具了明晰的審計報告。

詳細的審計報告能夠明確的指出代碼中存在的重大BUG、輕微BUG、可優化環節等等，幫助項目在代碼安全層面做到更好。在安比實驗室為acBTC提供的21個審計報告里，為acBTC排除了潛在風險。

二、防患于未然，可優化絕不放過

如前文提到，審計的一個作用還在于幫助項目進行代碼優化，這種優化可以帶來更好的用戶體驗，減少在實際使用過程中可能出現的問題。

安比在審計過程發現的部分可優化項，并報告給acBTC團隊，acBTC技術團隊在安比實驗室的協助下修復完成。

安比實驗室的審計結論：

安比實驗室在對ACoconutBTC合約進行分析后，發現部分可優化項，并提出了對應的修復及優化建議，acBTC開發者均已在最新版代碼中進行了修復。安比實驗室認為acBTC項目代碼質量較高、文檔詳細、測試用例完整。acBTCPhaseTwo完整實現了acBTCMigration和acSwap功能，acSwap中提供了Mint，Redeem，Swap功能，打通了BTCToken的流通，促進DeFi應用發展。

三、與審計方成為長期合作伙伴

網絡的安全風險還是動態的，特別是在DeFi這樣強調可組合性的世界里，因此有一個為項目長期提供安全服務的審計方可以在運行過程中為項目排除風險。

acBTC作為一項金融服務產品，代碼的設計不僅需要以太坊協議層開發的基本功，還需要開發者具備一定的金融常識和金融工程能力，此外DeFi作為一個金融領域的新生事物，經濟模型設計以及代碼開發層面仍有需要待完善的地方，即使是專業安全審計機構，也很難在有限時間內窮盡所有漏洞，所以除了項目上線前必要的安全審計，acBTC還邀請了安比實驗室加入其開發DAO，作為一個全程的安全服務伙伴，為acBTC項目的安全穩定保駕護航。

來源：金色財經

Tags：BTCCBTCBTCEFIsbtc幣最新消息行情FCBTC幣CBTC價格DragonsGameFi

LTC