以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

Hegic出事,Trail of Bits該背鍋嗎?來看看Hegic代碼評審報告_GIC

Author:

Time:1900/1/1 0:00:00

撰文:MyCrypto

翻譯:PerryWang

來源:鏈聞

對那些懶得打開PDF文檔的讀者,這里給大家概括一下「審計報告」。

對那些根本一點不懂的小白來說:

這是一份審計報告的摘要

摘要中有投資預警

閱讀審計報告你需要字斟句酌。讀這份摘要就清算多了。

第一部分:事實陳述

何時審計,用時多少天

具體審計了什么

由誰進行了審計

就算是小白都知道這種規模的合同,一個工程師用時兩天進行審計,不會讓我買賬。16個小時就想搞懂所有代碼、找到bug,找到攻擊方法,然后完事交差?

1.1一位熟悉系統底層架構和理念的專家面對總量很小、非常簡單、語言非常漂亮的代碼庫,也許能做到這一點。

此外,他們沒有時間考慮代碼的經濟影響。

分析:Archegos爆倉事件對加密貨幣市場影響很小:Coindesk今日刊文稱,Archegos Capital爆倉事件使加密貨幣世界出現了一個小的連鎖反應,這反映在芝加哥商品交易所(CME)的比特幣期貨溢價中,但是加密市場基本上不受影響。數字資產投資公司Arca Funds首席投資官Jeff Dorman稱:“這一差異可能反映了華爾街的去杠桿化。我們看到了華爾街到處都是去杠桿化。CME主要為大型對沖基金、大型共同基金提供服務,而杠桿率卻比以前要低。”目前,CME比特幣期貨的年化溢價率平均為8.67%。Skew數據顯示,加密貨幣交易所FTX、Deribit、幣安和OKEx等加密交易所的溢價率為27%-31%。[2021/4/8 19:56:22]

1.2只進行了小型審計,可能是由于Hegic財力所限,我對此表示贊賞。但是,審計的目的是要避免發生壞事,不要將審計作為一種促銷手段,出了問題不能說「不是我們的錯,只能怪安全審計機構@trailofbits!」

1.3要改善審計的投資回報率,更簡單的方式是讓審計人員的工作變得更簡單

代碼干凈+恰當的論述

使用所有免費工具來發現基本問題,以便專家可以專注于復雜的問題

請他人幫忙查看代碼,提出問題

提供文件,提供摘要+重點/關注領域

第二部分:看看他們在尋找什么問題+找到了什么問題

Avalanche發布AvalancheGo v1.2.4版本:3月18日,Avalanche官方發推宣布,已推出AvalancheGo v1.2.4版本。該版本包括穩定性和監控性能改進等內容。[2021/3/18 18:55:30]

值得注意的提示:

有三個領域,也被稱為「糟糕情況可能出現嗎?」

三個領域的答案都是「是Yes」,程度級別不同而已。

另外他們認為這些風險與算法有關

(審計報告圖片中譯)

從資金池竊取財產

以低于預期的行權價創建期權合約

免費創建期權合約我們發現多數問題與算法有關,包括

如果資金池代幣的供應量低于資產供應量,攻擊者可以吸干資金

如果ETH價格低于1美元,期權合同行權價可以為0

當流動性增加,資金池惡意參數可以允許0鑄幣

有多個問題可能導致惡意合約所有者傷害Hegic用戶,包括:

通過費用收取來竊取期權資產

2.1稍后將詳細介紹算法方面,但接下來看看@ChrisBlec所謂的「管理員漏洞」,比特幣至上主義者會以此為例證發表所謂中心化目前優于DeFi的胡言亂語。

他們說的都沒有錯。你可能不喜歡這個事實,但只能接受它。

TheGraph月查詢6月份突破10億次,DeFi應用占76%:區塊鏈數據索引項目TheGraph月查詢數量在6月份突破10億次,在過去幾個月,TheGraph托管服務上每日發生的查詢量一直處于2000萬到3000萬次,但6月份,每日查詢量翻了一番,達到4000萬到6000萬,該月新增1,600多次部署,處理了超過10億次月查詢。目前,DeFi應用占總查詢量的76%(歷史記錄),且用例日益多樣化。藝術、收藏品和游戲等娛樂應用現在占總交易量的12%,而三個月前僅占總交易量的5%,此外,軟件計算平臺、DAO和市場類別也非常受歡迎。僅在6月,DeFi占據了85%的銷量,在DeFi中,衍生品應用占了大部分份額,去中心化交易所和貨幣橋接的使用量也很高。究其原因在于,6月新的dApp發布導致查詢量增長以及流動性、交易量和新代幣持有者的增長對交易所等dApp產生了溢出效應。[2020/7/7]

有多個問題可能導致惡意合約所有者傷害Hegic用戶,包括:

通過費用收取來竊取期權資產

將資金困在期權合約中,阻止流動性提供者撤資

可以免費創建期權合約

2.2<這里插入有關去中心化的漸進論證>

無論如何,你應該注意到這種可能性以及知道審計人員在上面花了時間。在一個全新的金融體系中發現所有的漏洞攻擊方法,這16個小時中有多少時間被用于驗證有效的、已知的攻擊方法?

鏈上期權協議Hegic發布v1.1版本,用戶可在到期之前轉售期權:鏈上期權協議Hegic發布v1.1版本。相比v1.0版本,該最新版本可供期權合約購買者在到期之前在流動性資金池中轉售期權,以獲得收益。另外,v1.1版本中,溢價會在期權合約到期后分配給流動性提供者(LP)。[2020/6/2]

2.2只有16個小時找到所有攻擊方法

數學/密碼學中的Bug

比如重入攻擊

金融/經濟方面的影響

內部作惡者

外部惡意攻擊者

意外錯誤/意外結果

資金損失

等等等等。

16個小時不可能搞清楚這一切。絕無可能。

2.3審計機構永遠不會說:「這些代碼爛的像臭狗屎」。

捫心自問,為什么他們指出蛛絲馬跡。不要指望他們徹底告訴你想要的東西或他們自己的反應。這就是事情被忽略的完美例證,因為它沒有成為Twitter熱門話題:另外我們還發現,當資金池增加或減少資產時會出現賬簿記錄錯誤,沒有體現出期權合約中的相關資產,因此攻擊者可能竊取資金池中資產。

2.3我來幫你。

動態 | IOTA聯合創始人Sergey Ivancheglo已辭去IOTA基金會職務:7月27日,IOTA聯合創始人David S?nsteb?在Medium發文稱,IOTA聯合創始人Sergey Ivancheglo此前計劃在Alpha和Omega工程團隊于6月底合并時辭去IOTA基金會的職務。Ivancheglo已按計劃于6月26日遞交辭職信,辭去董事會職務。[2019/7/27]

Hegic內的合約并不清楚合約中的資產被誰以何種方式偷走。

我實在不明白如果都不清楚這些情況,資金池還怎么運轉。老人看手機臉。

另外請注意:記賬簿。

第三部分:推薦

這一直是最重要的部分,因為這里是審計機構字斟句酌的部分。

在實際的審計報告中,會向Hegic指出需要解決的大量代碼、漏洞及事情。但這篇摘要是供外部人了解所用的。是給我們普通人的。

由于發現的算法問題較多以及時間限制,無法進行深入的算法驗證,(審計機構)TraitofBits推薦使用符號執行和fuzzing測試合約的變量。代碼庫中可能存在更多問題。

另外TraitofBits作出以下推薦:

未來開發利用crytic.io。采用該平臺發現兩個問題。

評估和記錄合約所有者特權

驗證和記錄不同合約之間的資產記賬

評估和記錄系統的套利機會

推薦用戶在保障資產的前提下使用提供資產和撤資功能

3.1一定做更多來確保安全!!!

3.2我們真的沒有時間展開深入講,基本的數學問題已經占用了大部分時間,我們連數學問題都沒搞懂,更別說更大范圍的問題了。

3.3我們當然知道有更多問題,你現在知道了。

3.4你付錢給我們找一些自己本可以用更便宜的方式找到的基本問題,然后付錢給我們找到了另一個錯誤。

3.5你們的項目文檔記錄匱乏實在令人厭惡,我們在五點建議中用三條的篇幅去描述這個問題,因為這是你們發現問題、并為安全人員/白帽黑客提供挽救用戶資產的最佳機會。

3.6評估合約所有者的特權:我們的工作不到位。

驗證你們的算法:小心打補丁。重新查驗一切因為你們的算法真的太爛了。

驗證套利交易:我們都還沒開始考慮這個問題。

也許你們在寫文檔的時候就會發現問題了。

3.7我真的不知道怎么收尾。

通常在完整審核中,你會發現帶有代碼片段的內容。事實是這一行代碼有分量。

3.8或者是他們選擇讓讀者注意到最后一句特別重要,或者他們也意識到「我們真的檢查了所有東西/所有功能了嗎」?在概要最后扔下一句。

不管是哪種情況,依據這份審計報告,這是致命硬傷的所在地。

總體心得

1@trailofbits沒有足夠時間在最佳狀況下完成審計。

2代碼庫沒有提供「最佳狀態」。

3沒有文檔紀錄。

4要構建金融系統,必須要有出色的數學/記賬簿/會計能力。

Hegic有太多問題,讓@trailofbits的審計工作更麻煩。但更重要的是,這里存在根本性問題。這一解決方案「更重視數學,在數學方面也更出色」,但「在審計方面很糟糕」。

5Hegic無權利用這份審計報告宣稱自己是個安全的系統,或者像當前這樣轉嫁責任「甚至trailofbits都沒有發現問題!」

6Hegic將審計當作敷衍他人的擋箭牌,而不是為了切實保護用戶或者了解及確保系統的安全。這種態度顯示團隊對用戶利益的漠視,可能是一種性質惡劣的文化,對我而言總是拉響警報。

7Hegic項目目前不該推出。如果他們是被槍指著頭被迫發布產品,他們也應該宣稱自己是未經審計的、受限的Pre-alpha項目。

8@trailofbits沒有提到測試。不確定他們為什么在其他審計中有測試。也許是因為在測試前的基本文檔就有問題?

有點像如果我的院子里長滿了6英尺高的野草,我就去考慮修剪更高的灌木問題。

9作為社區一個整體,我們需要注意,即使是名頭最響亮機構所做的審計報告,也不意味著是安全的。也許還更不安全。

來源鏈接:twitter.com

Tags:GICHEGICCHEBITDigiColhegic幣最新消息Alchemy Payupbit交易所官網的人工客服

萊特幣價格
行情解析:比特幣突破打破下行趨勢線,但不要過分樂觀_BTC

作者|哈希派分析團隊 行情丨EOS在1小時內跌幅超過3.00%:據火幣全球站數據顯示,EOS/USDT在1小時內出現劇烈波動,跌超3.00%,達到-3.02%.

1900/1/1 0:00:00
工商銀行發布銀行業首個區塊鏈金融白皮書_區塊鏈

來源:中鈔區塊鏈技術研究院 2020年4月,中國工商銀行金融科技研究院與可信區塊鏈推進計劃聯合編制的《區塊鏈金融應用發展白皮書》正式發布.

1900/1/1 0:00:00
DC/EP即將入場:數字貨幣格局或將改變_USD

作者:羅滔 近日,一張農行DC/EP錢包的內測截圖引起了區塊鏈領域的廣泛關注,內測的啟動可以說是自2019年10月28日中國國際經濟交流中心副理事長黃奇帆正式提出央行數字貨幣概念以來的一個跨越式.

1900/1/1 0:00:00
700多個Ruby代碼庫包含比特幣竊取軟件,但攻擊者卻白費了心機_BTC

網絡安全公司發現了超過700個Ruby代碼庫包含惡意的比特幣竊取軟件。位于馬薩諸塞州劍橋的ReversingLabs周四在一篇博客文章中公布了他們的調查結果.

1900/1/1 0:00:00
被稱為\"黃金保險柜\"的IPFS/Filecoin千呼萬喚使出來,這次真的差不多了_COIN

區塊鏈發展10年至今,我們已經初步實現了幾個類別的“去中心化”。比特幣,實現了貨幣的去中心化;以太坊,實現了計算的去中心化;……然而還有一個大類,去中心化存儲,一眾項目折騰了好幾年,卻沒能掀起多.

1900/1/1 0:00:00
鏈上數據3月掃描:單月增發超13億 這些USDT都去了哪里?_USD

在之前的兩篇文章中,我們從鏈上大數據的宏觀角度解析了3月的整體數據情況,接著又以幣安、火幣、Okex三家交易所巨頭的鏈上數據趨勢剖析他們的鏈上數據行為體現的特征.

1900/1/1 0:00:00
ads