ABU:慢雾合伙人启富：NFT或是下一个方向 但落地需要时间

DeFi很火，这个夏天业内仿佛打入鸡血一般地参与到这个生态，创新、革命，各类项目此消彼长。不过，热闹背后，却是暗流涌动。

2020年4月18日，Uniswap爆出智能合约漏洞，该漏洞被人利用盗取了数十万美金的资产；次日，Lendf.me因相同漏洞，被一位程序员盗取了数千万美金的资产；因为智能合约漏洞，上线36小时，红极一时的Yam迅速消亡。?

安全，已经是悬在DeFi头上的达摩克利斯之剑。有痛点就有市场，在这场狂欢中，“慢雾盖章”成了保障的标志。

近日，在厦门举办的“共为创业者大会”上，金色财经就DeFi安全采访了慢雾科技合伙人Keywolf启富。

慢雾创始人通过其推特向跨链DID .bit成功申领slowmist.bit:9月14日消息，慢雾创始人通过其推特向跨链 DID .bit 申领了保留账户 slowmist.bit。据悉，.bit 通过引用第三方数据源保留的账户，在规定时间内成功发起申领就可以按注册费获得该账户。

此前报道，8月15日，跨链DID .bit宣布完成1300万美元A轮融资，CMB International领投，HashKey Capita、QingSong Fund、GSR Ventures、GGV Capital、SNZ 与 SevenX 参投。[2022/9/14 13:29:33]

以下为采访实录。

慢雾：GenomesDAO被黑简析:据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]

金色财经：慢雾审计一个项目主要有哪些流程？系统是否安全的最终标准有哪些？?

慢雾：Avalanche链上Zabu Finance被黑简析:据慢雾区情报，9月12日，Avalanche上Zabu Finance项目遭受闪电贷攻击，慢雾安全团队进行分析后以简讯的形式分享给大家参考：

1.攻击者首先创建两个攻击合约，随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币，并将获得的SPORE代币抵押至ZABUFarm合约中，为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币，随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取)，而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量，而不是记录合约实际收到的代币数量，但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷，从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的，因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励，随后便对ZABU代币进行了抛售。

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的，此类问题导致的攻击已经发生的多起，慢雾安全团队建议：项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化，而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]

慢雾科技合伙人启富：对于DeFi，我们更关心的是资产的安全，简单来说就是本金的安全。用户的收益如何与项目的经济模型有关，所以，我们首先关注的是智能合约里在计算用户收益时，会不会存在溢出等问题，这也是合约里普遍存在的通用性问题。其次，我们会关注项目方是否留有后门，是不是作恶，是否盗取用户资金。

声音 | 慢雾科技余弦：2019年加密货币世界被黑资产价值达44亿美金:安全公司慢雾科技联合创始人余弦在微博上称，我们的一个有趣统计：加密货币世界，已披露的，2019 年之前被黑的资产价值有41亿美金，而 2019 年一年就有44亿美金，增加了一倍多。如果从被黑项目方个数来看，也是增加了一倍多。2019 对于地下黑客来说是个多疯狂的一年。[2020/1/7]

当收到用户项目审计诉求时，我们会先通过项目官网、介绍等资料了解项目，在初步审核通过之后，会去评估其智能合约代码的复杂度，并进入到商务流程，报价、排期等沟通没问题之后，开始项目审计。

审计的过程当中发现了任何的问题，都会马上去告诉对方并告知解决方案，改完之后、复查，最后会出具一个审计报告。同时我们现在要求对方一定把代码开源。在审计中除了关注常规的安全漏洞，还要关注代码和业务逻辑设计是否一致，以及组合性引入的外部风险，找出薄弱点提高攻击者的门槛从而整体提升安全性。?

基于对慢雾的认可，大家觉得慢雾审计过的项目会比较放心，所以我们现在都是尽可能的把有可能存在风险的，包括一些admin权限等，现在流行用时间锁的方式，想要有进一步动作，必须要经过24小时或者48小时。上链之后，大家都能够去看到。这方面现在大家都关注，我们也特别关注。

金色财经：现在有相关数据统计，8月份有大概8起DeFi相关的安全事件。从安全的角度，您怎么看DeFi的发展？

慢雾科技合伙人启富：DeFi相对于公链是一个比较新的东西，在发展的过程当中，肯定会有一些风险和未知的事情，毕竟面对一个新兴事物，大家都不是那么有经验。从DeFi安全性角度来说，新事物在发展的过程当中，出现这样的安全问题，算是可以理解的事情。

像比特币、以太坊它早期也有发生过安全问题，比特币之前也曾有增发漏洞，以太坊也有著名的TheDAO事件，还分叉出了ETC。

所有人并不是一开始就有丰富的经验，包括那些试图攻击它的人，也不是很快就能知道攻击方法，也是做了一些自己的研究、尝试。所以在早期时候，去关注、参与一定会有风险，但是我们不能因为它发生过这些问题，去否定一个新的方向。整个行业或者DeFi方向肯定会越来越完善，包括安全公司或者优质的项目方，优质的技术团队参与到其中，就能够把整体水平提升上来。?

另外一个就是说大家对安全问题的一个规避的方式，就是项目方一定要有自己的安全的意识，尽可能有一些预算找安全公司，例如我们慢雾，去做一些相应的安全审计，至少现在已经知道的一些攻击的手法都给它规避掉。

金色财经：您接下来会看好哪一些项目？?

慢雾科技合伙人启富：现阶段挖矿的应该不会太长久，这种玩法大家可能都已经比较熟悉了，币圈其实很多时候都讲究一个新鲜感或者画饼的能力，如果接下来没有更多新的玩法，大家都还是继续去搞这样的流动性挖矿，可能到后期就没什么人玩了。从以太坊到波场到币安智能链，或者到其他的一些新的公链如本体、NEO，这些国产公链都开始加入到这个赛道，但是大部分玩法还是一样的。资金就这么多，现在出来这么多项目，就会有均分或者转移，最后如果没有一些新的玩法，大家就会审美疲劳，而且年化有可能越来越低。

现在很多人都在聊另外一个热点NFT，大家关注到NFT，就是因为现在它能交易。在我看来，这是一个方向，真正的落地还要有一定的距离。

在这个行业，热点有时候并不是技术驱动的，很多时候是因为能赚钱而带来的。

标签：ABUPORSPOREOREMetaBullrageport币价格Spore FinanceCORE MultiChain Token

BNB价格热门资讯