当人们在享受DeFi流动性挖矿的饕餮盛宴,沉迷于YFI 45天暴涨10000倍的财富神话时,却将“区块链安全”这个最值得关注的因素抛之脑后,殊不知,黑客并不会因为我们的麻痹大意而变动的“心慈手软”。 从宏观层面来看,据区块链安全机构慢雾统计,2009年至今,加密黑客已经通过290种不同方式掠夺超130亿美元资金。其中,基于以太坊的协议蒙受了超过1.42亿美元的损失,ERC-20的漏洞被利用也已造成11.5亿美元的损失,占比8.8%。 从微观层面来看,7月1日,由于VETH智能合约漏洞,致使黑客仅使用0.9 ETH就盗走了919299 VETH(价值90万美元);6月29日,黑客在Balancer上用dydx的闪电贷不断交易通缩币,利用Balancer的合约漏洞获利90万元;4月19日,Lendf.Me遭到黑客攻击,价值约2500万美金的加密资产被盗...... 当然,这只是冰山一角,据统计上半年被盗DeFi总资产超过亿美元,占DeFi总资产的1%。在区块链行业做投资,比“赚100倍”更重要的是“安全、安全、还是安全”。 那么作为投资者,在参与某个DeFi项目时,如何判断该项目是不是安全呢?就以阿风最近正在研究的Defibox(EOS一站式DeFi应用)为例,至少要从四个方面来考量,分别是1)安全审计、2)合约多签、3)开放监督、4)代码开源。 另外说明一下,之所以会研究这个项目,是因为Defibox提供Key/USDT、Key/EOS交易对,其中兑EOS的交易对,流动池的Key数量达到6.6亿,能够满足99.99%以上币乎作者的变现需求。支持一键链接Mykey钱包,参与流动性挖矿。 1、安全审计,标配要求 首先,DeFi项目最需要的就是安全审计,这是因为专业的区块链审计公司会从众多层面严格把关,有了这些专业机构的严格审计,就算黑客想要动脑筋,也要有所忌惮。 这里就以Defibox智能合约审计为例。 根据网站公开数据,Defibox的智能合约经过了慢雾与派盾的双重审计,其中派盾在7月份对Defibox进行了3次审计,8月份进行了1次审计,审计结果为合格,并出具了审计报告;慢雾在7月份对Defibox进行了1次审计,8月份进行了2次审计,审计结果为合格,并出具了审计报告。 这里需要注意,出据具专业的审计报告相当重要,说明项目真的被审计过了,而不是忽悠。当然,项目方并不会全文公布设计报告。 派盾审计报告(节选) 慢雾审计报告(节选) 有人会问,为啥要审计DeFi项目的智能合约?这是因为智能合约本质是一段运行在区块链网络中的代码,智能合约负责完成用户所提交的功能需求。例如在Uniswap交易,如何确认一笔交易完成,你手中的USDT已经兑换成ETH,并扣掉你的USDT,同时支付相应的ETH,这就是智能合约来判断,如果合约出了问题,那岂不是完全混乱了? 但是,所有智能合约都是人编写的,既然是人编写的,就一定会出现错误和缺陷。安全审计公司的职责就是通过对智能合约的全面检查,针对合约的潜在安全风险进行审核并提供改进方案,以确保上线项目的智能合约代码安全。 我提到的Defibox智能合约已通过著名区块链安全公司(派盾和慢雾)的安全审计,这就给代码的安全性提供了重要保障。 第二,智能合约最好具备多钱功能。 2、合约多签,安全基石 虽然有安全机构的代码审查,但是这也并不能保证代码绝对安全,项目自身设计逻辑其实才是安全的基础,在笔者看来Defibox采用的合约多重签名(Multi-signature),构成了智能合约的安全基石。 多重签名,就是对合约的每一次修改与部署进行多方确认,只有得到足够多的节点共同签名确认,最新版的智能合约才可被成功部署上链。 着重补充,虽然合约多签并不能避免因合约BUG所导致的资产损失,但是安全系数呈指数增加。 举个例子,多签减少系统风险有点像并联电路的工作原理,多线路并联的结果就是,当一条线路出故障,电力并不会中断,因为其他并联电路依然在确保电路正常工作。多签智能合约中如果一个节点除了故障,或者想要作恶,当其它智能合约工作正常,就不会导致安全事故。 我们仅以Defibox实行的合约账户多重签名为例,Defibox将资产管理权分散给EOS超级节点、安全公司、知名钱包,让资金管理权实现去中心化,即便是Defibox基金会也无法私自挪用合约内的用户资产,进一步保障用户的资产安全。 此外,Defibox联合多家EOS超级节点、安全公司、知名钱包共同对智能合约进行多重签名,实现核心资产的去中心化管理,目前,Defibox已获得11个节点的多签支持。 最后,Defibox还实行1+3的多签规则,也就是在Defibox基金会一方签署的基础上,合约的部署仍然需要另外3个节点签名确认。 接下来就是开放监督了,这是项目对自身安全性负责人的体现。 3、代码漏洞赏金计划,开放监督 我们知道,所有知名互联网公司都会出台代码漏洞赏金计划,像Google/FB/Twitter/Alibaba/Lenovo/APPLE/Amazon等等,但凡我们听过的互联网公司都会实行这一计划。 其目的是就是鼓励“道德黑客”积极参与项目生态建设的有益尝试。通过“赏金计划”的发布,用奖励前置的方式发现“问题”或“缺陷”,进而强化预警性和项目安全性。如提交了有关于影响Defibox的合约安全漏洞,且对此类漏洞进行了保密,直到我们的工程师解决了该漏洞,就可获得相应漏洞等级的奖励。 目前大多数知名的DeFi项目均出台了代码漏洞赏金计划。 根据The Block Research在8月下旬出台的一份针对DeFi项目安全审计与合约漏洞赏金计划的调查报告显示,目前DeFi项目的重大Bug的中位数上限奖金范围为25000美元。借贷协议Aave是关键bug的最高奖金项目,对于一个关键且容易被利用的披露,奖励金额为25万美元。 低风险Bug赏金的中位数是1000美元,其中Curve的2500美元是这批项目中最高的。 目前,Defibox已推出漏洞赏金计划,尽量消除可能存在的安全漏洞和潜在风险。 总结一下,赏金计划其实就是主动向“白帽子黑客”伸出橄榄枝,为项目提高安全性,降低项目风险。 最后,如果项目方能够做到代码开源,就是锦上添花了。 4、代码开源,体现自信 我们知道,区块链技术是一个大账本,可供很多人查看使用,这个大的账本需要多方参与合作。但是在合作过程中,如何迅速的建立互信,如何让更多合作伙伴将业务直接建立在陌生平台上,最好的办法就是开源代码。 代码开源之后,更多志同道合的伙伴得到实际的帮助,其他开发者可以从项目的代码里得到灵感,做出更好的项目。 总之,如果项目的开发繁荣了,那么项目必然会变的更加安全。就像开发者数以万计的BTC势必会比开发者寥寥无几的BTG更加安全,就是这个道理。 据了解,目前Defibox正在规划合约代码的完全开源,并将团队已有的经验分享出去,这也是自信与开放的体现。 灰度投资年中报告: (上)灰度加密资产年中报告,大量新入机构大幅加仓ETH,增持LTC、BCH,入场节奏急剧提升 (下)灰度投资年中报告,大量机构入场大动作加仓ETH,增持LTC、BCH,入场节奏快速提升 灰度深度毒奶: (上)比特币“量化紧缩”与央行“量化宽松” (下)比特币“量化紧缩”与央行“量化宽松” —- 编译者/作者:阿风1989 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
DeFi半年被盗1亿刀,参与流动性挖矿,比赚100倍更重要的是安全,代码审计合约
2020-09-09 阿风1989 来源:区块链网络
LOADING...
相关阅读:
- 堇西99比特币多空进入博弈后市是反弹还是9000见暨行情分析2020-09-09
- VDEX的安全部队——防范安全漏洞,促进实际应用2020-09-09
- 从消费理论来理清Vtoken的经济模型,认清vtoken的区块链指导意义2020-09-09
- 加密衍生品交易所 LedgerX 推出以实物结算的比特币迷你期货合约2020-09-09
- 无矿机挖矿云算力领衔每天入账0.01个比特币2020-09-09