撰文:LeftOfCenter Lendf.me 黑客事件发生不到一周,本周末又来一起,这次中招的是链上期权协议同时也是风险对冲工具 Hegic。 4 月 25 日,链上期权协议 Hegic 发布推文称代码中出现错误(typo),无法为新创建期权合约解锁过期期权合约中的流动性,呼吁用户立即行使所有的活跃期权合约。 其中,有 152.2ETH (约合 28537 美元)被永久锁定在未行使的看跌 / 看涨期权的合约池中。19 份合约中,有 16 份是看跌期权(DAI 被锁定),3 份是看涨期权(ETH 被锁定)。Hegic 称将为所有相关用户办理 100% 的退款。 此次事故虽然没有引发重大的财产损失,但在加密货币圈内引发的波澜仍然不可小觑,毕竟盘子本来就不大的开放金融安全事故一桩接一桩,而且这个号称匿名项目的 Hegic 才刚刚宣称已经通过 Trail of Bits 安全审计,并且本身就是做的与风险对冲业务,而如今事实证明自己也并不安全。 TYPO 还是 BUG? 话虽如此,但 Hegic 宣称这并不是一起安全问题,而是由代码中一个函数命名错误导致的,原话是 typo。 此话一出,更是举界哗然。 以太坊基金会社群经理 Hudson Jameson 公然喊话 称,「我想大声说这不是 TYPO,而是 BUG。如果说是 TYPO,那就太低估它的严重性了。如果你的合同存在缺陷,会导致其他人无法访问自己的金钱,那绝对不仅仅是 TYPO。」 可是, V1 版本 Hegic 协议不是刚刚通过 Trail of Bits 的安全审计吗?它还例举了审核合约的具体细节,包括 HegicOptions、HegicCallOptions、HegicPutOptions、ETHPool 和 ERCPool。 这是不是说明安全审计并不靠谱? Trail of Bits 进行的是代码评审,而非「审计」 Trail of Bits CEO Dan Guido 表示不背这个锅,他透露,Hegic 根本就没有通过 Trail of Bits 的代码审计,仅仅是进行了为期短短 3 天的代码评审(code review),在代码评审过程中发现了 HegicOptions 中至少存在 10 个可能会伤害用户的关键缺陷,Trail of Bits 向 Hegic 团队给出的建议是「推迟部署」。
Hegic 团队修复了其中几个 bug,除此之外没有进行任何更改就进行了部署,而且还将 3 天的代码审查(code review)错误地表述为「审计」。 Dan Guido 表示,在对 Hegic 团队进行代码评审时发现其代码缺少文档、没有 README 文件,甚至没有进行单独的测试,此外 3 天的代码审查时间非常的仓促。因此,在报告结论中 Trail of Bits 特意提出了警告称,「该协议还存在更多的错误」。 改进建议 Trail of Bits 提醒 DeFi 用户,一定要注意安全。对此,他提出了以下几个建议: 千万不要将 Trail of Bits 的背书作为 HegicOptions 永远不会被黑客入侵的证明,更慎重的举动是自己阅读报告或进行进一步调查。应该要确保 DeFi 项目所需的整体安全性,智能合约审计是并不是 DeFi 应用的灵丹妙药。此前,Dan Guido 曾经多次公开发表相关的 声明 和 客户指南 强调这一点。不要相信仅仅将代码审查作为安全证明的任何项目,不仅如此,3 天的代码审查是一个相当短的时间,应该避免将安全性的评论等同于为安全认证,这应该是区块链行业的共识。区块链行业的共识意味着,这不仅仅限于安全行业,对于普通用户,也要清楚的明白这一点,即审计不可能捕获所有可能的错误。事已至此,Dan Guido 提出了 3 点改进建议: Trail of Bits 将终止和 Hegic 团队的合作,认为 Hegic 团队的行为是极其不负责任的,不仅无视 Trail of Bits 给出的建议,而且将用户的资金置于风险之中,这伤害了整个 DeFi 社区。Trail of Bits 将为那些财力有限的团队提供服务。安全援助对于较小的项目至关重要,Trail of Bits 将为那些较小规模的项目提供帮助。Trail of Bits 未来将在摘要报告中添加结构,以帮助读者在保持客观的同时更好地评估项目的当前状态和成熟度。因为很少有人阅读报告之外的东西,因此,Trail of Bits 决定在代码中提供统计信息和代码信息。这给整个 DeFi 行业敲响了警钟。 作为 Hegic 的竞争对手,另一家*去中心化金融风险管理平台 Opyn *马上发布推文表示将安全作为自己的首要任务。Opyn 称期权是复杂的工具,如果正确理解,可以作为强大的对冲工具,并提醒用户在对创新保持乐观的同时,应对资金投入保持谨慎。 Opyn 还表示会投入更多资源帮助用户了解自己对安全的看法,同时发布了自己的安全审计报告。 然而,Maker DAO 中国区负责人潘超则认为,链上保险是个死胡同。 —- 编译者/作者:链闻速递 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
DeFi 安全事故又一起!Hegic 的争吵提醒对安全审计的误解有多深?
2020-04-26 链闻速递 来源:链闻
LOADING...
相关阅读:
- 本周主要内容:比特币从$ 12,000美元下跌以及DeFi行业和Grayscale的新记录2020-08-03
- 风口!DeFi市值达到80亿美元,Upay将是下一个DeFi领跑者2020-08-02
- 剧烈行情波动下 DeFi 抵押借贷平台表现稳定, 24 小时总清算量约 72.7 万2020-08-02
- Newdex联手Defibox重磅上线Box挖矿,开启DeFi新征途2020-08-02
- 以太坊2.0中的DeFi-DeFi分片会是其上第一个城市2020-08-02