木星链 木星链
Ctrl+D收藏木星链
首页 > 以太坊 > 正文

EFI:借着Euler黑客事件 聊聊DeFi的安全审计和安全

作者:

时间:1900/1/1 0:00:00

大的DeFi协议基本上都经过多轮审计,我们前前后后5次审计费用百万刀级别大的协议常规审计每年都百万刀,但蓝筹DeFi没哪个没被黑过?这里原因很简单,简单的数学问题从攻防来看,所有静态审计的输入和输出(发现bug)都是有限的。

除了常规审计,Euler还用了Certora做形式化验证,这个我们之前也用过,形式化验证能帮助穷尽“已知”路径的覆盖范围,但是无法穷尽“未知的未知”。DeFi是一个开放系统,对于黑客来说,它的输入是无限的,输出也是无限的。假设把安全攻防看成挖矿,你守方用三五台机器算哈希挖矿攻方无数机器时刻在算哈希,只要算对一次就赢了;这个输赢面对比是明显的。静态的安全审计,由于输入输出固定,无法覆盖已知的未知,更无法覆盖未知之未知。

美国金融服务委员会:共和党人正在兑现他们的承诺,为数字资产生态系统提供明确的规则:金色财经报道,众议院金融服务委员会主席和他的其他委员会成员,以及农业委员会主席在加密货币明确监管的政策问题上发挥了领导作用。虽然金融服务委员会投票决定将许多不同的法案提交给众议院全院,但其中有三项政策将为加密货币提供清晰的监管框架,并大大改善其监管框架。至少有两项重大的政策变化似乎得到了众议院两党的支持。

众议院金融服务委员在社交媒体发表评论,上周,金融服务委员会标记了主要的加密立法,并向众议院全体报告了所有措施。共和党人正在兑现他们的承诺,为数字资产生态系统提供明确的规则。[2023/8/4 16:18:35]

所以出现另一种审计,叫开发式竞争型审计,如Code4rena,审计奖金池固定,但是输入在一定时间内是弹性的,所有人都可以参加,谁发现bug按照严重程度,分奖金,这个方式是让审计师/白帽去卷,可以扩大覆盖面,但总体输入依然固定,远远不够。最后是完全开放的模式,那就是赏金网络,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平台,我建议每个DeFi在上面发bounty,亲测效果十分明显。Immunefy的奖金项目方会给非常高。比如最高已支付的是Warmhole的千万美金。这次出事的Euler也曾放出100w刀赏金,但依旧没发现这次的漏洞。赏金模式在输入输出上也是开放式的,这个类似于黑客的攻击模式。

对冲基金Presidio Trading推出加密市场风险策略基金:金色财经报道,数字资产的量化对冲基金Presidio Trading推出单独的加密市场尾部风险(Tail Risk)策略基金,该公司表示,该决定是在该战略今年表现强劲之后做出的,6月份,该策略的回报率约为560%。

尾部风险(Tail Risk)是由于罕见事件的发生而导致投资损失的可能性,尾部风险投资策略旨在通过在意外的低迷时期表现出色来降低整体投资组合风险,但这样做的代价是在牛市中获得较低的回报。Presidio Trading表示,计划在2023年第一季度向合格投资者开放该基金,初始资金上限为 1000 万美元。[2022/12/9 21:32:46]

但两者激励模式很大区别。假如把两者当成是抽奖,同样1000w奖金池,赏金模式奖金一般都会在10w-30w刀封顶,黑客模式是100%奖金全拿走。这两种模式,同等投入,同样中奖概率,假设没有犯罪成本,毫无疑问黑客池输入/输出会跑赢。赏金模式就算加到10%,也跑不赢黑客池,除非把犯罪成本加入等式,有人建议把赏金比例和TVL挂钩,比如10%,是否会激励更多黑客转白帽??

三箭资本创始人Zhu Su正寻求甩卖价值2.4亿RMB的新加坡优质洋房:6月30日消息,位于Yarwood Ave的优质洋房(GCB)正在寻求甩卖(Urgent Sell)。这栋房子据信是去年12月由三箭资本创始人Zhu Su花费4880万新币(约2.4亿rmb)买入的,也就是说距离此前购房仅过去半年时间,这也与最近传闻的“三箭资本陷入破产清算”相吻合。

传闻目前该房产售价低于买入价格。如果再算上第一年卖出持有私人地产的12%卖家印花税,屋主或亏损超过1000万新币(5千万rmb)。

据悉,新加坡优质洋房,Good Clas Bungalow,简称GCB,是新加坡最顶尖的私人住宅房地产类别,整个新加坡只有约2800栋。(微信公众号@美港坡笔记)[2022/6/30 1:42:15]

?首先,没哪个defi协议能支付10%TVL的赏金,其次,遇到真黑客,他大概率还是愿意一黑到底而不会止步要10%。DeFi的安全更复杂问题在于除了代码层面,还有可组合风险攻击面上,DeFi本身随着整合增加,攻击面是四维增长的,定期静态安全审计加长期赏金,也无法覆盖不断扩大的攻击面DeFi安全是无限游戏,唯一靠谱的是在协议上减少外部依赖,最小化攻击面,尽量待在“自己的舒适区”,不乱做扩展。对开放系统来说,安全代价就是自由的代价

标签:EFIDEFDEFIRMBDefiDollar DAO99DEFI.NETWORKRestaurant DeFiRMBL币

以太坊热门资讯
KEN:很多项目明明是"大白马" 为何 Token 却跌跌不休?

撰文:AVX什么是Token和Token经济学过去几年,Token经济学,逐渐称为一个流行的术语。Token经济学由Token和经济学两个词构成,顾名思义则是关于?Token?的经济学规则.

1900/1/1 0:00:00
SEC:美SEC主席撰文:加密公司应该在法律范围内开展工作

作者:美国证券交易委员会主席GaryGensler编译:比推BitpushNewsMaryLiu当我在麻省理工学院教授关于区块链和货币的课程时.

1900/1/1 0:00:00
ROLL:Arbitrum之后 估值18亿美元Scroll又火了

Scroll是用于以太坊的原生zkEVMLayer2解决方案,帮助解决以太坊的拥堵问题并进行扩容.

1900/1/1 0:00:00
GAM:GameFi下半场:盘点8款Web3游戏大制作

为下一个“Axie”的形态,做一个猜想。在创造更好玩的游戏体验同时,实现为资产赋予价值;通过NFTFi的方式让游戏资产与其他游戏和协议融合与互通;合理利用双代币模型和用户裂变机制,实现稳健高效的.

1900/1/1 0:00:00
GAME:PlanckX x Footprint Analytics - 2023年2月GameFi研报

经过艰难的一年,加密市场终于在2022年底迎来转机,随着整个市场的市值修复已经市场行情的回暖,加密游戏领域在1月的数据也呈现出一波小型回升.

1900/1/1 0:00:00
NFT:多维度解读比特币NFT的现状:累计总数突破32万个

NFT“梦工厂”YugaLabs于?3?月?7?日宣布,基于比特币?Ordinals?协议的?NFT?系列?TwelveFold?结束拍卖,总成交额高达?735.71?BTC.

1900/1/1 0:00:00