4月28号20:00,BlockMania AMA直播第59期继续进行,BlockMania致力于将区块链行业最深度的认知和思考带给行业与公众,欢迎其他社区跟我们合作,一起打造思想的连接器和放大器。 本期主题为「被盗事件频发,DeFi平台的安全建设何去何从?」,分享嘉宾为慢雾科技合伙人兼产品负责人启富,他给大家回顾了dForce被盗事件的始末,并对DeFi平台频频被盗原因进行了解析。 关于慢雾科技 慢雾科技是一家专注区块链生态安全的国家高新技术企业,通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名的项目,已有商业客户800多家。慢雾科技的安全解决方案包括:安全审计、威胁情报(BTI)、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反洗钱(AML)、假充值漏洞扫描等SAAS型安全产品,得到业界的广泛关注与认可。 以下为本次AMA的全程回顾 首先请给我们简单回顾下dForce事件的始末吧。 在4月19日dForce攻击事件发生后,慢雾安全团队一直保持着高度关注,不断地追踪被盗资产动向、统计损失总额、分析黑客攻击过程,此次事件的主要时间线为: 4月19日8点58分 黑客开始对Lendf.Me合约发起攻击。 4月19日10点59分 慢雾安全团队发布Lendf.Me被攻击预警。 4月19日12点25分 Lendf.Me攻击者持续将获利的PAX进行转出,总额近58.7万枚PAX。 4月19日15点03分 慢雾安全团队发布损失金额统计预警,累计的损失约2500万美金。 4月19日16点19分 慢雾安全团队经过内外部详细的技术分析和验证后,全球首发文章《DeFi平台Lendf.Me被黑细节分析及防御建议》(点击回顾) ,披露了此次黑客攻击事件的技术细节,并提供了相应的防御建议。 4月19日22点52分 慢雾安全团队从链上数据监测到,Lendf.Me攻击者刚向Lendf.Me平台admin账户转账126,014枚PAX,并附言「Betterfuture」。随后Lendf.Me平台admin账户通过memo回复攻击者并带上联系邮箱。 4月21日下午 黑客在重重压力下,与dForce主动沟通,并开始归还部分资产。继续沟通后,所有资产被成功找回。 我们了解到慢雾科技在dForce追回被盗资产的过程中也做了很多工作,请问慢雾具体都提供了哪些支持? 第一步,快速定位威胁情况和攻击细节,这样可以快速给出最正确的漏洞原因。 比如这次事件中,本质问题是Lendf.Me的核心代码中存在重入攻击漏洞,而这个漏洞又需要结合基于ERC777代币的组合才能发生。知道漏洞本质及攻击手法后,在链上是很容易知道攻击者具体盗走多少资产。 第二步,思考如何追回。 在4月19日下午,dForce、星火与imToken安全团队在线下集结,并与慢雾安全团队远程连线成立「临时安全团队」,开始进行资产追回。因为信息量巨大且杂乱,集中讨论可以快速的信息对称,加快速度。 4月20日,基于黑客在攻击前后留下的痕迹,「临时安全团队」成功确定了准确的黑客画像,并开始与国内外各方资源进行交叉对比,获得突破性线索,离黑客越来越近。 4月21日下午,在黄金48小时内,黑客在重重压力下,与dForce主动沟通,并开始归还部分资产。 继续沟通后,所有资产被成功找回,这是攻击发生后的第三天。 这个过程不仅是「临时安全团队」发挥了关键作用,还得到了非常多加密社区朋友直接与间接的帮助。 DeFi平台安全事故频发,您觉得背后的原因都有哪些呢? DeFi去中心化的特点带来了三大特性:互操作性,可编程性以及可组合性。 因为互操作性和可组合性的特点,我们得以像搭乐高积木似的组合各种货币合约,这为我们带来了丰富的金融产品以及无限的可能性,但另一点是其作为一个复杂系统,DeFi的风险会被无限放大 换句话说,在中心化的金融系统中我们可以通过规定标准和限制接口权限来控制可能会出现的风险场景,然而在DeFi中,任意两个符合标准和协议的合约都可以被组合在一起,甚至可能组合更多的合约。 这带来了非常多的可能出现的风险场景,也就是说每一种组合都可能带来某种未知的风险。而最大的风险是,很多时候标准中的一个「特性」会变成一种「缺陷」。 此外,DeFi项目团队的技术水平、安全意识参差不齐,导致有些DeFi平台未经内部或外部的安全审计就匆忙上线,结果遭遇黑客攻击。 DeFi项目应该如何进行安全建设来保障资产安全? 这是一个比较通用的问题,首先我们需要明确一点,安全建设有很强的木桶效应,攻击风险往往存在于安全最薄弱的那个环节,安全建设需要有一个合适的体系。 对DeFi项目来说,最主要的是其智能合约代码的安全,包括业务逻辑安全、第三方依赖(如预言机)风险、外部调用安全等等,如何保障智能合约代码的安全呢? 首先是技术团队对智能合约语言(如solidity)要很熟悉,了解里面的各种坑。 其次是要熟悉自己智能合约里用到的EIP规范以及对接的外部合约,了解其中可能存在的各种风险。 最后在项目上线前,可以联系专业的第三方安全公司(如慢雾)对项目进行安全审计,确保项目中不存在已知的漏洞,并得到因地制宜的安全加固建议。 频频被盗也让市场上有了一些「DeFi无用论」的声音,您认为被盗事件是DeFi的丧钟还是成长中的阵痛? 首先看这张图 (来源慢雾区Hacked https://hacked.slowmist.io ) 大家会看到中心化、去中心化平台都有非常惨重的历史被黑案例,但其实不必因此而打击自信心。 DeFi一定有自己的定位,但DeFi也别想着一统天下,同样的话也适合CeFi,未来应该会看到更多DeFi+CeFi的混合体出现。而且,DeFi其实并不一定需要完全去中心化,这是我的个人看法。 我认为很多东西没有绝对的安全,都有许多薄弱点。 但是黑客不都是坏的,我们更希望是往安全的方向去进化,但我们在对抗时,必须有足够的攻击思维。 比特币早期还出现过很严重的增发漏洞呢。 谈谈您个人对于DeFi未来的看法。 DeFi的很多事情还在摸索阶段,一件事情刚开始的时候总是会遭遇很多意料之外的事情,这是无法避免的,且完全没有必要因噎废食,我对DeFi很有信心。 DeFi未来的路还很长,目前需要做的事是充分汲取过往DeFi黑客事件的教训,在合约中设置好风控机制,并在产品上线前做好充分的安全审计,才能避免发生更多的DeFi攻击事件。 Q&A Q1:我想问下,刚刚提到DeFi的互操作性和组合性,DeFi产品之间的组合,是否可以被标准化,来降低组合风险? 目前国内外技术社区关于DeFi的标准化讨论的很多,目前也有一些团队做了一些实践,但DeFi平台采用(或接入)这些标准的还不多。 标准的提出并广泛推荐、使用,需要不少时间,期间也会有很多碰撞、优化,但是这个方向是没问题的。 相信未来这块会越来越成熟。 Q2:黑客这次据说是在一个去中心化交易所上暴露了IP 一个DEX披露用户IP是否有悖去中心化的初衷呢? 在真实有效的法律文件的要求下,向执法单位披露攻击者或疑犯的相关信息,是受法律约束和肯定的。 大家不要把执法单位想得很暴力很恐怖,执法单位做事本身就在各国成熟法律框架下。 DeFi不是法外之地,执法机构的存在本就合理,社区力量为主+执法机构必要时介入为辅助,我们觉得是很合理的存在。 可以看出这次Lendf.Me事件,执法单位是个很好的辅助,结果是好的,挽回了损失。 本文来源:BlockManai —- 编译者/作者:BlockManai 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
观点丨被盗事件频发,DeFi平台的安全建设何去何从?
2020-05-08 BlockManai 来源:火星财经
LOADING...
相关阅读:
- 为什么您是骗局的理想目标,而对于黑客却是一个很差的目标?2020-08-02
- 黑客发现Twitter黑客背后! 来自佛罗里达的一名少年(17岁)和他的两个2020-08-02
- 黑客发现Twitter黑客背后! 来自佛罗里达的一名少年(17岁)和他的两个2020-08-02
- 攻击推特的黑客使用真实驾照信息注册并验证了其在 Coinbase 的账户2020-08-02
- 分布式存储加持区块链 数据将追溯、监控、存储、共享2020-08-02