DEFI:慢雾合伙人启富：NFT或是下一个方向 但落地需要时间

DeFi 很火，这个夏天业内仿佛打入鸡血一般地参与到这个生态，创新、革命，各类项目此消彼长。不过，热闹背后，却是暗流涌动。

2020年4月18日，Uniswap 爆出智能合约漏洞，该漏洞被人利用盗取了数十万美金的资产；次日，Lendf.me 因相同漏洞，被一位程序员（非黑客）盗取了数千万美金的资产；因为智能合约漏洞，上线36小时，红极一时的Yam迅速消亡。?

安全，已经是悬在DeFi头上的达摩克利斯之剑。有痛点就有市场，在这场狂欢中，“慢雾盖章”成了保障的标志。

近日，在厦门举办的“共为创业者大会”上，金色财经就DeFi安全采访了慢雾科技合伙人 Keywolf启富。

慢雾安全预警：Solana出现恶意合约授权钓鱼事件 可转走用户全部原生资产:3月5日消息，Solana上出现多起授权钓鱼事件。攻击者批量给用户空投 NFT (图 1) ，用户通过空投 NFT 描述内容里的链接 (www_officialsolanarares_net) 进入目标网站，连接钱包(图 2)，点击页面上的“Mint”，出现批准提示框(图 3)。注意，此时的批准提示框并没有什么特别提示，当批准后，该钱包里的所有 SOL 都会被转走。当点击“批准”时，用户会和攻击者部署的恶意合约交互：3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

该恶意合约的功能最终就是发起“SOL Transfer”，将用户的 SOL 几乎全部转走。从链上信息来看，该钓鱼行为已经持续了几天，中招者在不断增加。

提醒：1. 恶意合约在用户批准(Approve)后，可以转走用户的原生资产(这里是 SOL)，这点在以太坊上是不可能的，以太坊的授权钓鱼钓不走以太坊的原生资产(ETH)，但可以钓走其上的 Token。于是这里就存在“常识违背”现象，导致用户容易掉以轻心。

2. Solana 最知名的钱包 Phantom 在“所见即所签”安全机制上存在缺陷(其他钱包没测试)，没有给用户完备的风险提醒。这非常容易造成安全盲区，导致用户丢币。（慢雾区）[2022/3/5 13:39:42]

慢雾：Lendf.Me攻击者刚归还了126,014枚PAX:慢雾安全团队从链上数据监测到，Lendf.Me攻击者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)刚向Lendf.Me平台admin账户(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)转账126,014枚PAX，并附言\"Better future\"。随后Lendf.Me平台admin账户通过memo回复攻击者并带上联系邮箱。此外，Lendf.Me攻击者钱包地址收到一些受害用户通过memo求助。[2020/4/20]

以下为采访实录。

慢雾：Let's Encrypt软件Bug导致3月4日吊销 300 万个证书:Let's Encrypt由于在后端代码中出现了一个错误，Let's Encrypt项目将在撤销超过300万个TLS证书。详情是该错误影响了Boulder，Let's Encrypt项目使用该服务器软件在发行TLS证书之前验证用户及其域。慢雾安全团队提醒：数字货币行业有不少站点或内部系统为安全目的而使用 Let's Encrypt 自签证书，请及时确认是否受到影响。如有影响请及时更新证书，以免造成不可预知的风险。用户可查看原文链接在线验证证书是否受到影响。[2020/3/4]

金色财经：慢雾审计一个项目主要有哪些流程？系统是否安全的最终标准有哪些？?

声音 | 慢雾余弦：研究加密货币是出于技术热爱:区块链安全公司慢雾创始人余弦发微博称，研究加密货币是出于技术热爱，这些年其实研究了不少主流币种还有些小币种，多少都发现了些问题，其中有不少是安全问题。后来联合创建了慢雾科技 ，致力于做好区块链生态的安全。我提 MimbleWimble 的隐私与安全问题，不代表我不喜欢 Grin 和 BEAM，反而我在持续持有，就好像我很早就研究门罗币、Zcash 的安全问题，我也在持续持有它们。有漏洞根本不是什么大问题，不改进不进化才是大问题。我尽量客观做好安全技术研究，输出的观点千万不要过度解读，尤其不要解读出“做多做空”，投资加密货币的讨论，我一概不参与、不站台、不背书。[2019/3/24]

慢雾科技合伙人启富：对于DeFi，我们更关心的是资产的安全，简单来说就是本金的安全。用户的收益如何与项目的经济模型有关，所以，我们首先关注的是智能合约里在计算用户收益时，会不会存在溢出等问题，这也是合约里普遍存在的通用性问题。其次，我们会关注项目方是否留有后门，是不是作恶，是否盗取用户资金。

当收到用户项目审计诉求时，我们会先通过项目官网、介绍等资料了解项目，在初步审核通过之后，会去评估其智能合约代码的复杂度，并进入到商务流程，报价、排期等沟通没问题之后，开始项目审计。

审计的过程当中发现了任何的问题，都会马上去告诉对方并告知解决方案，改完之后、复查，最后会出具一个审计报告。同时我们现在要求对方一定把代码开源。在审计中除了关注常规的安全漏洞，还要关注代码和业务逻辑设计是否一致，以及组合性引入的外部风险，找出薄弱点提高攻击者的门槛从而整体提升安全性。?

基于对慢雾的认可，大家觉得慢雾审计过的项目会比较放心，所以我们现在都是尽可能的把有可能存在风险的，包括一些admin权限等，现在流行用时间锁的方式，想要有进一步动作，必须要经过24小时或者48小时。上链之后，大家都能够去看到。这方面现在大家都关注，我们也特别关注。

金色财经：现在有相关数据统计，8月份有大概8起DeFi相关的安全事件。从安全的角度，您怎么看DeFi的发展？

慢雾科技合伙人启富： DeFi相对于公链是一个比较新的东西，在发展的过程当中，肯定会有一些风险和未知的事情，毕竟面对一个新兴事物，大家都不是那么有经验。从DeFi安全性角度来说，新事物在发展的过程当中，出现这样的安全问题，算是可以理解的事情。

像比特币、以太坊它早期也有发生过安全问题，比特币之前也曾有增发漏洞，以太坊也有著名的The DAO事件，还分叉出了ETC。

所有人并不是一开始就有丰富的经验，包括那些试图攻击它的人，也不是很快就能知道攻击方法，也是做了一些自己的研究、尝试。所以在早期时候，去关注、参与一定会有风险，但是我们不能因为它发生过这些问题，去否定一个新的方向。整个行业或者DeFi方向肯定会越来越完善，包括安全公司或者优质的项目方，优质的技术团队参与到其中，就能够把整体水平提升上来。?

另外一个就是说大家对安全问题的一个规避的方式，就是项目方一定要有自己的安全的意识，尽可能有一些预算找安全公司，例如我们慢雾，去做一些相应的安全审计，至少现在已经知道的一些攻击的手法都给它规避掉。

金色财经：您接下来会看好哪一些项目？?

慢雾科技合伙人启富：现阶段挖矿的应该不会太长久，这种玩法大家可能都已经比较熟悉了，币圈其实很多时候都讲究一个新鲜感或者画饼的能力，如果接下来没有更多新的玩法，大家都还是继续去搞这样的流动性挖矿，可能到后期就没什么人玩了。从以太坊到波场到币安智能链，或者到其他的一些新的公链如本体、NEO，这些国产公链都开始加入到这个赛道，但是大部分玩法还是一样的。资金就这么多，现在出来这么多项目，就会有均分或者转移，最后如果没有一些新的玩法，大家就会审美疲劳，而且年化有可能越来越低。

现在很多人都在聊另外一个热点NFT，大家关注到NFT，就是因为现在它能交易。在我看来，这是一个方向，真正的落地还要有一定的距离。

在这个行业，热点有时候并不是技术驱动的，很多时候是因为能赚钱而带来的。

标签：DEFIEFIDEFSOLdefibox币价格BasketDAO DeFi IndexDeFiHorsesol币发行量多少

ICP热门资讯