木星链 木星链
Ctrl+D收藏木星链
首页 > FIL > 正文

区块链:灵踪安全CEO谭粤飞:DeFi投资者一定要看项目审计报告

作者:

时间:1900/1/1 0:00:00

金色财经现场报道,4月10日,由金色财经主办,波场TRON总冠名,HBTC、SumSwap、SubGame首席合作企业的“2021共为·创新大会”在上海举办。大会以“DeFi的创新进阶”为主题,汇聚百家优秀区块链企业和众多行业大咖,共同探讨Defi生态、波卡、NFT、交易所公链、ETH2.0、Layer2六大赛道话题。

在下午的“DeFi+NFT”主题专场,灵踪安全CEO谭粤飞做了《小白用户如何读懂DeFi合约的审计报告》的主题演讲。谭粤飞在演讲中指出,2020年DeFi安全损失超过2亿美金,这些安全事故大多来自对智能合约的攻击,智能合约的安全事故较多,原因有三:第一个是智能合约本身,第二是区块链技术特点,第三是社会因素。首先智能合约一旦部署,不能被撤回。其次区块链结构使项目方无法知晓攻击者的社会身份以及交易不可逆。最后是智能合约应用的社会约束比较缺乏,例如缺乏对数字资产的保护,缺乏对区块链应用的约束和规范。

以下为演讲详情:

谭粤飞:今天我和大家分享的主题是如何阅读DeFi合约的审计报告。当我们说到审计报告的时候,事实上我们谈的是DeFi的安全,我们谈安全的时候,很多时候觉得这个概念比较抽象,所以,我给大家展示一些数据。

灵踪安全:Sushi Miso被攻击的漏洞是一名Sushi雇佣的匿名开发者提交的:9月17日消息,Sushi的Miso项目遭到Supply Chain攻击,一名Sushi 的匿名前端开发承包商使用GH handle AristoK3将恶意代码注入Miso前端github仓库,攻击者在拍卖创建时插入自己的钱包地址以替换拍卖的钱包地址。

灵踪安全建议: 开发者应检查自己的前端应用是否有漏洞,并对前端代码进行安全审计。[2021/9/17 23:32:08]

整个大饼是2020年整个一年所有和区块链安全事故所引起的损失,所有的损失,请大家注意看,其中光DeFi左边红色区域是DeFi损失,2.38亿万美元,占整个区块链安全所引发的损失40.9%,几乎接近一半。在2020年之前,DeFi安全的事故远远没有这么夸张,但是DeFi的出现导致安全的事故如此严重。

还不是这么直观,我们再看一些更具体的事例,我们从底下看起,2020年12月26日资金池的资金被转移,2020年12月21日被攻击,2021年1月份寿司被攻击,2月份WFI又被攻击,我罗列的数据不是指出这些项目本身怎么样,我是想要让大家注意,这些项目被攻击的时间点,大家有没有发现从2020年10月到2021年3月,每个月都有一个比较知名的DeFi项目受到供给,足以说明安全事故在DeFi领域发生的频率和频次多么高。

灵踪安全:从未审计过BallSwap项目代码:针对BallSwap项目方官网称灵踪安全是该项目的审计机构之一。经核实,这是“BallSwap”项目方单方面盗用灵踪安全的logo在其官网进行展示,用于背书。在此,灵踪安全郑重声明:“团队并没有对‘BallSwap’项目代码进行审计,请广大用户保持警惕。所有灵踪安全审计过的项目均可在官网查到。灵踪安全保留对‘BallSwap’项目追究法律责任的权利。”[2021/6/6 23:16:27]

安全事故的频发不仅仅项目方的声誉,直接影响投资者的利益,接下来,我和大家分享一下为什么智能合约安全事故这么多,他是由特殊的因素所确定,我们灵踪安全团队认为,出现安全事故的原因主要有三个因素,第一个智能合约本身运行的机制,第二个区块链技术的特点,第三个智能合约应用的社会约束。

我们首先来看第一个智能合约本身运行机制,智能合约有一个非常大的特点,和我们传统的IT应用有一个什么样大的特点,我们使用比较传统的应用的时候,我们使用一个游戏或者是APP,我们使用过程当中突然有一天项目方告诉我们,这个APP发布一个公告,这个APP有问题,在这种情况下,项目方把APP从APP商店里面下架,让大家使用旧的版本,他们把有问题的版本撤下去修改完善之后使用新的APP,但是在区块链领域,以太坊领域,一旦智能合约理解成为是一种APP,部署到以太坊上面以后,他是没有无法被撤退,这是不能像传统的IT里面的应用被撤回,一旦智能合约开始执行的时候,这是不可逆的,或者我们可以理解,我们发现有问题的智能合约部署到以太坊上面,漏洞被黑客发现,黑客利用漏洞攻击它的时候我们眼睁睁看到资金池里面的资金被盗走,我们无能为力,我们在传统领域,把服务器关掉,但是在以太坊上面,这样的事情是不能发生,我们不可能把以太坊关机。

AntiMatter项目已经过灵踪安全审计:据官方消息,灵踪安全近期审计了AntiMatter项目的智能合约,所审计的合约仅为该项目的永续期权合约购买、赎回、收益计算及质押挖矿功能。经灵踪安全审计(细节请参看审计报告),在合约中发现一中度风险,项目方会在操作中谨慎处理,以避免触发此风险。[2021/4/21 20:42:30]

我不知道大家注意到推广以太坊的时候,很多人不理解以太坊是什么,他用简单的一句话,以太坊是永远不停歇的世界计算机,永远不宕机,一旦运行无法停下来。

第二点跟区块链技术本身相关,我们谈到区块链技术的时候,我们首先看看区块链技术的第一个应用就是比特币,我们最早说比特币至今很多人比特币的时候想到第一个特点是匿名,当然如果按照纯技术的观点来讲,这是伪匿名,做到拟匿名的情况下,在某种情况下把个人真实的信息进行了隐藏,匿名是什么意思,我们在区块链里面进行每一笔交易的时候,我们在所有的可公开查询的资料里面,我们只能看到发起这笔交易或者是参与交易的这些地址,但是我们没有办法把这个地址和执行这笔交易的持有这个地址的人在社会生活当中的真实身份挂钩。我们不知道这个地址背后的持有人是谁,他叫什么名字,它的身份证号是多少,他在哪个国家,所以因为这个原因他是匿名的,这样导致了我们在区块链里面,在智能合约里面一旦发生安全事故,我们知道有黑客攻击我们只是看到攻击的地址,我们不知道地址后面的持有人是谁,我们不知道黑客真实的社会身份是什么。

灵踪安全CEO谭粤飞:智能合约安全有其特殊性:金色财经现场报道,4月10日,金色财经主办的共为创新大会“DeFi的创新进阶”专场于上海举办,会上灵踪安全CEO谭粤飞演讲表示,

2020年DeFi安全损失超过2亿美金,这些安全事故大多来自对智能合约的攻击,智能合约的安全事故较多,原因有三:第一个是智能合约本身,第二是区块链技术特点,第三是社会因素。

首先智能合约一旦部署,不能被撤回。其次区块链结构使项目方无法知晓攻击者的社会身份以及交易不可逆。最后是智能合约应用的社会约束比较缺乏,例如缺乏对数字资产的保护,缺乏对区块链应用的约束和规范。[2021/4/10 20:05:32]

刚刚我讲的智能合约本身的技术特点,还有区块链技术特点,导致安全事故非常特殊的特点,从技术角度考虑,还有一个角度我们平时各个公共场合大家提到比较少,但是在我们团队看来恰恰也是目前最复杂最难掌控的地方,这就是社会约束。

我在这里罗列两条,现有的法律法规缺乏对数字资产的保护,当我说这个问题的时候有朋友说,在我们国家关注到最近一两年关注数字货币法律的信息会说,我们国家在民法典出台具体的措施,保护数字资产,但是请大家注意,这样的一些条款和民法典里面,不管是我们国家的法律以及世界各国的法律,对传统资产的保护力度和广度跟他们相比是无法相比的,所以现在全世界各国对数字资产的保护,在法律上面都是不规范,不完善,不完备。

灵踪安全CEO谭粤飞:大规模并且非常成功的实现AMM模式的是Uniswap:由Lotus总冠名,金色财经、链上ChainUP主办,BTS Labs、Vtrading协办,深圳多家区块链企业联合赞助的金色LIVE在深圳首家区块链酒吧BTC LOUNGE举办。本期话题为《Defi浪潮下——交易所如何破局而生》

会议上,灵踪安全CEO谭粤飞表示,在2020年,最大的变化就是业界有一个非常重大的创新就是自动做市商机制在合约中的成熟使用,实际上自动做市商的做法是在更早的时间就被提出了,但大规模并且非常成功的实现AMM模式的是Uniswap。Uniswap的创始人他最早得到这个灵感是从他的朋友,而他的朋友最早得到这个灵感是从一篇博客里面得到这个灵感。当交易所采用AMM这种方式以后,用户之间的交易就再不需要交易所来进行撮合,用户可以直接和数学公式和智能合约进行交互。这个变革发生以后,用户就不需要依赖于人,或者不需要依赖于中心化系统,这是买方发生了巨大的变化。

另外一个,Uniswap上面还有一个非常重要的特点,在这种AMM支持的作用下,任何一个人,不管他发行什么代币,只要提供交易对流动性到这个合约里,而人人都可以提供流动性,这种情况下相当于卖方的交易的对手也不再是人,也不再是传统的中心化机构,而是智能合约。所以这时候卖方也出现了变化,买方和卖方都出现了变化说明不再依赖于传统的中心化交易所。

正是在这样的模式下,当Uniswap超过Coinbase的时候,它的团队只有十个人,而Coinbase的团队有一千位,这样的效果,这样的价值在传统的中心化交易所里面我们完全看不到,但是在基于AMM的DEX智能合约里面实现了。[2021/3/17 18:53:07]

第二点现有的法律缺乏对区块链的应用和监管。现有的法律对所有的传统应用,互联网应用也好,他有一个约束性,有一个规范,但是这样的法律对智能合约的规范,目前在全世界任何一个国家几乎一个都没有,最近在美国,美国的某些州已经成人智能合约的某些法律效应,但是这是吃螃蟹而已,只是尝试而已,真正在具体落地或者是未来实现过程当中存在什么问题会产生新的问题或者是新的方式,我们目前都不得而知,在这方面也是一片空白。

所以,智能合约本身的问题,区块链技术本身的问题,以及智能合约应用缺乏的社会约会导致智能合约的安全有非常特殊的地方,所以,造成的事故这么频繁,造成的危害这么大。

刚刚我跟大家分享的是安全的一些特殊性,下面我和大家分享一下我们团队目前对所有在智能合约安全领域发生的事故我们一般分成三类,第一类是已知风险,第二类是潜在风险,第三类是人为风险。

什么是已知风险,已知风险我们现在在技术领域技术团队或者是业界根据以往所有发生的安全事故所总结出来的一些安全的特点,一些事故的特点,总结出来的一些规律,我们知道了这些规律,知道了这些事故的特点和特性我们很容易判断,所以我们称之为是已知的风险。

潜在的风险是什么,这些风险从来没有出现过,或许在我们运行的智能合约里面,但是我们不知道,或者说这些风险暂时因为条件不成熟,还没有被触发,这是潜在风险。

第三个是人为风险。我罗列了11个风险,实际上,并不是说在智能合约领域只有这11个风险,我罗列这11个风险,这是目前出现比较频繁的风险,而且我们见到比较多的风险,具体到每个风险,在业界有很多的分析和讲解,在这里我不和大家细说。

我们举一些更详细的例子讲讲已知风险和潜在风险和人为风险。我们看看这个风险,在座的朋友们有没有在2018年4月份之前上一轮进入币圈,那一轮的牛市疯狂,疯狂到什么地步,不仅很多小白用户进来,而且传统的IT界的大佬在这个领域,美链跟某一位传统的IT公司有非常深的关系,他做了什么事情,他发布一个智能合约出现一个重大的安全漏洞,什么漏洞?在一行代码计算过程当中没有使用安全的数学库,导致计算溢出,溢出导致的代币被巨量增发,导致价格暴跌。这是2018年4月22日。

在此之前可能这样的事故叫做潜在风险,现在这个事故发生以后,在业界我们用技术分析出来出现安全事故的原因以及可能出现的征兆和特点,我们现在称之为已知风险,这是已知风险的典型。

第二个案例,2020年312,比特币和以太坊全部报铁,比特币跌到4000美元以下,以太坊跌到100美元,在比特币和以太坊暴跌以后,MakerDAO出现疯狂挤兑的机制,最后发现是机制设计的问题。

接着红薯被攻击,20206年6月份,YAM被攻击,红薯这个项目非常有名,这个项目被攻击以后,它的创始人在推特上面发了一段话,对不起,我们失败了,这么大的事故是怎么产生的,主要是因为逻辑运算中缺乏分母,就是这么简单。

第三个案例,是YFI是去年一整轮过程当中,运行大半年没有出现问题,今年二月份出现问题,这个事件的出现是因为出现了一个应用方式善待贷导致稳定币的价格被操控。还有TSD被攻击,我们审查合约代码的时候,如果不是对逻辑理解特别深刻,红薯被攻击的除法算法不对,几乎很难被发现,另外三个更加困难,是治理机制出现了问题,而不是代码的问题,这个问题更难发现,对于这样的问题我们归结为潜在问题,潜在的问题以前有,今天有,未来还有,甚至包括我们所有运营的这么多合约上面,虽然很多都通过了很多公司的审计,但是我们依然担心里面还存在着很多潜在的大量的隐患,只不过这些隐患由于条件不成熟,没有被触发而已。潜在问题是对整个安全行业以及整个区块链行业最大的挑战,也是我们着力最重的地方。

还有一个是人为风险,因为时间有限,后面的内容我讲快一点,人为的疏忽跟代码的关系更少,几乎是因为人为的管理方面出现问题,我前面讲了安全的特殊性以及安全有哪些问题,下面我和大家讲一个非常重要的事项,也就是说,我们作为智能合约的审计公司,我们最重要的事情是做什么,就是为项目审计智能合约代码,看里面有没有安全事故,我刚刚在展台的时候有很多朋友过来问我们,你们写的这些报告对我们普通投资者小白来说到底有什么作用,我在这里讲,作用非常非常大。很多小白用户看到我们写的报告,这是技术文档,虽然是技术文档,但是里面有一部分内容非常通俗易懂,并且跟你的利益密切相关的。

在我们的报告里面这部分关键的内容就是我们整个审计报告里面的第一章,在我们审计报告当中的第一章,我们会开宗明义写这个项目是做什么的?这个项目的合约有什么功能?以及在我们审查过程当中,我们发现这个项目的风险没有?所以,对于任何用户而言,当你看一个项目的时候,如果这个项目有我们的审计报告,我个人建议处于你对自己投资利益的保护和自己利益的关心,无论如何你要看一看审计报告,当你拿到这份审计报告的时候,你可以不堪其他的章节,但是一定要看第一章,看完第一章,基本上不用花5分钟的时间你就能够明白这份合约安全不安全或者说这个项目通过我们公司审计的时候发现存在的问题,项目方是怎么处理这些问题,起码可以看到项目方对于处理问题的态度,对于你投资项目而言是参考的作用。

所以我强调审计报告一定要看,如果各位拿到是我们公司出的审计报告,关于技术部分不用看,但是一定要看第一章,第一章报告是我们对整个审计过程的精华和总结,看完第一章不需要5分钟,5分钟时间内大致理解这个项目做什么,合约是干什么的,安不安全,以及在审计过程当中出现什么问题。

标签:区块链DEFIDEFEFI区块链专业方向好就业吗DeFiAIKong DefiDOGDEFI价格

FIL热门资讯
BOT:以太坊Gas费用大降,Flashbots立下大功

Mist协议的匿名开发者斯蒂芬今日引发了关于降低以太坊Gas费的可能性的辩论。Etherscan的数据表明,平均Gas价格突然开始下跌,而自2020年中期以来gas费早已火箭般上涨.

1900/1/1 0:00:00
比特币:金色早报 | Galaxy Digital在美国提交比特币ETF申请

头条▌GalaxyDigital在美国提交比特币ETF申请金色财经报道,加密投资公司GalaxyDigital今天在美国提交了比特币ETF的申请,希望获得美国证券交易委员会的批准.

1900/1/1 0:00:00
DEF:金色DeFi日报 | 花旗银行文章解释DeFi的好处

DeFi数据1.DeFi总市值:1228.49亿美元 市值前十币种排名数据来源DeFiboxDeFi总市值数据来源:Coingecko2.过去24小时去中心化交易所的交易量:43.

1900/1/1 0:00:00
HOO:巴比特观察 | 圈内第二次财富分配浪潮来袭,北美改变算力格局

又到了一年一度的成都算力大会,比特大陆、神马矿机、富达投资等海内外的矿业投资人、矿企齐聚成都,笔者有幸奔赴前线,参与了这场“超算·融合,2021全球区块链算力大会”。这是算力大会的第一天.

1900/1/1 0:00:00
MET:Metis Rollup为何能在Layer2赛道脱颖而出?

DAO概念近日收获了不少市场关注,并有望成为Web3风口下最具潜力的热门赛道。实际上,DAO并不是新鲜概念,只是真正实现落地应用的DAO项目寥寥无几.

1900/1/1 0:00:00
NER:融资新闻 | 稳定币兑换平台Nerve Finance完成200万美元融资,三箭资本等领投

据Medium4月12日报道,NerveFinance已完成新一轮融资,由三箭资本,CMSHoldings和AlamedaResearch领投.

1900/1/1 0:00:00