慢霧 | 智能合約安全審計服務全面增加 Solana 安全審計項_NER

談到區塊鏈技術，安全性以及可擴展性都是目前避不開的嚴峻挑戰。

一方面，公鏈領域存在著“不可能三角”，即去中心化、安全性和可擴展性三者不可兼得。以太坊作為智能合約公鏈的領導者，高昂的Gas費和網絡擁堵大大降低了其性能，可擴展性也成了許多新興公鏈鉆研的目標，而這給了競爭對手Solana一個機會。Solana給自己的定位是世界上最快的高性能公鏈，其結合了權益證明共識算法(PoS)和創新的歷史證明系統(PoH)，每秒可處理6.5萬筆交易，被稱為“以太坊殺手”之一。

慢霧：Nomad事件中仍有超過9500萬美元被盜資金留在3個地址中:8月2日消息，慢霧監測顯示，Nomad攻擊事件中仍有超過9500萬美元的被盜資金留在3個地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120萬枚DAI、103枚WBTC等約800萬美元的加密資產，該地址也負責將1萬枚WETH轉移到另一地址以及將其他USDC轉移；第二個地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28萬枚ETH、1.02萬枚WETH、80萬DAI等約4700萬美元的加密資產；第三個地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6萬USDC后兌換為了DAI，目前有約3970萬美元的加密資產。

目前慢霧經過梳理后，無法將地址3與其他兩個地址連接起來，但這些攻擊具有相同的模式。[2022/8/2 2:53:04]

另一方面，加密貨幣領域正在經歷前所未有的機遇與挑戰，其中一個挑戰便是日益增長的黑客攻擊事件。根據慢霧近期升級上線的區塊鏈被黑事件檔案庫(hacked.slowmist.io)統計，截至目前，2021年公開的區塊鏈安全事件達133起，損失總金額遠超80億美元！而在133起事件中，絕大多數是因為合約漏洞導致。憑借著對智能合約安全、閃電貸攻擊等豐富的安全研究經驗，慢霧安全團隊已累計審計1200多份知名智能合約，涵蓋以太坊(Ethereum)、EOS、波場(TRON)、火幣生態鏈(Heco)、幣安智能鏈(BSC)、Fabric、唯鏈(VeChain)、本體(ONT)等公鏈平臺，累計發現了數百個高危、中危安全問題。

慢霧：ERC721R示例合約存在缺陷，本質上是由于owner權限過大問題:4月12日消息，據@BenWAGMI消息，ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析，此缺陷本質上是由于owner權限過大問題，在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。

當此退回地址持有目標NFT時，其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數，owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[2022/4/12 14:19:58]

基于此沉淀，慢霧針對智能合約安全審計服務全面增加Solana安全審計項。主要審計類如下：

慢霧余弦：SushiSwap仿盤項目KIMCHI項目方權限過大可任意鑄幣:9月2日消息，慢霧創始人余弦發微博分析，SushiSwap仿盤項目KIMCHI（泡菜）項目方確實擁有任意鑄幣的權限，只是如果項目方要任意鑄幣，至少需要等待2天時間。對接泡菜的平臺可以觀測泡菜廚師的devaddr地址是否變更為泡菜廚師的當前owner地址。[2020/9/2]

重入漏洞重放漏洞重排漏洞拒絕服務漏洞條件競爭漏洞權限控制漏洞整數上溢/下溢漏洞算術精度誤差漏洞不安全的外部調用審計業務邏輯缺陷審計變量聲明及作用域審計偽造賬號攻擊目前，慢霧已審計過多個Solana生態項目，如收益聚合平臺Solyard.Finance、借貸平臺Larix等。

各項目一定程度決定著生態的市場規模以及發展趨勢，而智能合約作為項目的基礎規則，從某種角度來說，對智能合約進行安全審計能有效地規避風險。慢霧建議各大項目在上線前先做好安全審計，一方面能讓投資者更放心，另一方面能更好地避免不必要的損失，為生態蓬勃發展添一份力。

來源鏈接：mp.weixin.qq.com

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

慢霧

慢霧

慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業，通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括：安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品，已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多

Tags：NEROWN區塊鏈ETHPepe Next Generationonekeydownloads區塊鏈存證是什么意思ethyleneabsorbent

KuCoin