借著Euler黑客事件,聊聊DeFi的安全審計和安全。
大的DeFi協議基本上都經過多輪審計,我們前前后后5次審計費用百萬刀級別大的協議常規審計每年都百萬刀,但藍籌DeFi沒哪個沒被黑過這里原因很簡單,簡單的數學問題從攻防來看,所有靜態審計的輸入和輸出(發現bug)都是有限的。
除了常規審計,Euler還用了Certora做形式化驗證,這個我們之前也用過,形式化驗證能幫助窮盡“已知”路徑的覆蓋范圍,但是無法窮盡“未知的未知”。DeFi是一個開放系統,對于黑客來說,它的輸入是無限的,輸出也是無限的。假設把安全攻防看成挖礦,你守方用三五臺機器算哈希挖礦。
比特幣閃電網絡節點數量為16427個:金色財經報道,1ML數據顯示,當前比特幣閃電網絡節點為16,427個,過去30天增加-0.03%;通道數量為74,101個,較一個月前減少了2%;網絡容量為5,353.63枚BTC,月漲-1%。[2023/5/14 15:02:23]
攻方無數機器時刻在算哈希,只要算對一次就贏了;這個輸贏面對比是明顯的。靜態的安全審計,由于輸入輸出固定,無法覆蓋已知的未知,更無法覆蓋未知之未知。所以出現另一種審計,叫開發式競爭型審計,如Code4rena,審計獎金池固定,但是輸入在一定時間內是彈性的,所有人都可以參加,誰發現bug。
以太坊完成升級后凈提款數量已超1萬枚ETH:金色財經報道,據TokenUnlock數據顯示,自以太坊完成上海升級后,凈提款數量(解除質押)已超1萬枚ETH,暫無新存款存入質押。此外,當前有30.8萬枚ETH處于待提款狀態,價值約合5.6億美元;網絡共計24.5萬名驗證者,其中有348個驗證者全額提款,其余為部分提款。[2023/4/13 14:00:44]
按照嚴重程度,分獎金,這個方式是讓審計師/白帽去卷,可以擴大覆蓋面,但總體輸入依然固定,遠遠不夠。最后是完全開放的模式,那就是賞金網絡,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平臺,我建議每個DeFi在上面發bounty,親測效果十分明顯。Immunefy的獎金項目方會給非常高。
CFTC已對Ooki DAO提起訴訟:金色財經報道,商品期貨交易委員會 (CFTC)在美國加州北區地方法院對Ooki DAO提起訴訟,指控其非法經營期貨交易所。這一訴訟對整個加密貨幣行業有廣泛的影響。根據DeepDAO的數據,現在有2276個DAO,它們控制著一系列基于區塊鏈的金融工具,并在其國庫中管理著95億美元的加密貨幣。
這些DAO包括390萬治理代幣持有人和69.6萬活躍參與者--其中許多人很可能會受到這種監管方式的影響。(theblock)[2022/9/24 7:17:35]
比如最高已支付的是Warmhole的千萬美金。這次出事的Euler也曾放出100w刀賞金,但依舊沒發現這次的漏洞。賞金模式在輸入輸出上也是開放式的,這個類似于黑客的攻擊模式。
但兩者激勵模式很大區別。假如把兩者當成是抽獎,同樣1000w獎金池,賞金模式獎金一般都會在10w-30w刀封頂黑客模式是100%獎金全拿走這兩種模式,同等投入,同樣中獎概率,假設沒有犯罪成本,毫無疑問黑客池輸入/輸出會跑贏。賞金模式就算加到10%,也跑不贏黑客池,除非把犯罪成本加入等式。
有人建議把賞金比例和TVL掛鉤,比如10%,是否會激勵更多黑客轉白帽?首先,沒哪個defi協議能支付10%TVL的賞金,其次,遇到真黑客,他大概率還是愿意一黑到底而不會止步要10%。DeFi的安全更復雜問題在于除了代碼層面,還有可組合風險。
攻擊面上,DeFi本身隨著整合增加,攻擊面是四維增長的,定期靜態安全審計加長期賞金,也無法覆蓋不斷擴大的攻擊面DeFi安全是無限游戲,唯一靠譜的是在協議上減少外部依賴,最小化攻擊面,盡量待在“自己的舒適區”,不亂做擴展對開放系統來說,安全代價就是自由的代價。
注:本文來自@Monica_xiaoM推特,MarsBit整理如下:Starknet交互重點來啦完成starknet官方論壇教程可以獲得初級和高級證書.
1900/1/1 0:00:00第一部分 我們對Ethereum生態的預測。 在大熊市的肚皮里翻滾 2022年注定是加密貨幣的重要一年.
1900/1/1 0:00:00自2月27日落地丹佛至3月4日乘機離開,在又干又冷海拔1600米的丹佛參與了今年目前為止最大的Web3行業盛會.
1900/1/1 0:00:00#Claudia‘sNotes如何做投研?資深分析師們今年看好哪些賽道?昨晚的Space回放已經超過了5000人,結束后還有很多人在回味.
1900/1/1 0:00:00本篇文章是對DelphiDigital與NaavikGamefi2023年報告的梳理。主要反思Gamefi行業面臨的困境、取得的進步與未來走勢.
1900/1/1 0:00:00Filecoin從2017年誕生至今充滿爭議,明星團隊和資本的加持,強大的IPFS協議技術支撐,讓這個去中心化存儲項目一誕生就賺足了眼球,過好的預期透支了項目的潛力.
1900/1/1 0:00:00