以出状况的Hegic为例，教你读懂DeFi安全审计报告

编者按：本文来自链闻ChainNews，撰文：MyCrypto，翻译：PerryWang星球日报经授权发布。对那些懒得打开PDF文档的读者，这里给大家概括一下「审计报告」。对那些根本一点不懂的小白来说：这是一份审计报告的摘要摘要中有投资预警阅读审计报告你需要字斟句酌。读这份摘要就清算多了。

第一部分：事实陈述

何时审计，用时多少天具体审计了什么由谁进行了审计就算是小白都知道这种规模的合同，一个工程师用时两天进行审计，不会让我买账。16个小时就想搞懂所有代码、找到bug，找到攻击方法，然后完事交差？

1.1一位熟悉系统底层架构和理念的专家面对总量很小、非常简单、语言非常漂亮的代码库，也许能做到这一点。此外，他们没有时间考虑代码的经济影响。

福克斯记者：Ripple可能仍需承担败诉部分的罚款:金色财经报道，福克斯高级记者Charles Gasparino在Twitter上向XRP社区成员提醒。他指出，虽然XRP在简易判决(SJ)中的积极情绪中取得价格上涨，但Ripple仍然需要支付一些钱，可能是作为其败诉部分的罚款（如果有的话）。Gasparino表示，他已经就XRP诉讼采访了很多证券律师，没有人认为该公司胜诉的部分可以上诉。

他发表这一声明是为了回应越来越多的猜测，即美国证券交易委员会(SEC)可能会选择在未来对法官Analisa Torres的判决提出上诉。[2023/7/17 10:58:49]

1.2只进行了小型审计，可能是由于Hegic财力所限，我对此表示赞赏。但是，审计的目的是要避免发生坏事，不要将审计作为一种促销手段，出了问题不能说「不是我们的错，只能怪安全审计机构/img/20230509080143374314/6.jpg "/>

1.3要改善审计的投资回报率，更简单的方式是让审计人员的工作变得更简单代码干净+恰当的论述使用所有免费工具来发现基本问题，以便专家可以专注于复杂的问题请他人帮忙查看代码，提出问题提供文件，提供摘要+重点/关注领域

第二部分：看看他们在寻找什么问题+找到了什么问题

值得注意的提示：有三个领域，也被称为「糟糕情况可能出现吗？」三个领域的答案都是「是Yes」，程度级别不同而已。另外他们认为这些风险与算法有关

Chiliz创始人发推称Chiliz将获新生，或暗示Chiliz 2.0即将推出:2月7日，体育和娱乐公链Chiliz创始人Alexandre Dreyful在社交平台上发表推文，明天将是你余生的第一天/img/20230509080143374314/9.jpg "/>

2.1稍后将详细介绍算法方面，但接下来看看/img/20230509080143374314/10.jpg "/>

有多个问题可能导致恶意合约所有者伤害Hegic用户，包括：通过费用收取来窃取期权资产将资金困在期权合约中，阻止流动性提供者撤资可以免费创建期权合约

2.2<这里插入有关去中心化的渐进论证>无论如何，你应该注意到这种可能性以及知道审计人员在上面花了时间。在一个全新的金融体系中发现所有的漏洞攻击方法，这16个小时中有多少时间被用于验证有效的、已知的攻击方法？

USDC市值跌破450亿美元，过去30天缩水超60亿美元:10月15日消息，Coingecko数据显示，USDC市值已跌破450亿美元，截止目前为44,943,756,723美元。历史数据显示，USDC市值在9月15日触及509.5亿美元，这意味着过去30天已缩水超60.1亿美元。[2022/10/15 14:28:46]

2.2只有16个小时找到所有攻击方法数学/密码学中的Bug比如重入攻击金融/经济方面的影响内部作恶者外部恶意攻击者意外错误/意外结果资金损失等等等等。16个小时不可能搞清楚这一切。绝无可能。

2.3审计机构永远不会说：「这些代码烂的像臭狗屎」。扪心自问，为什么他们指出蛛丝马迹。不要指望他们彻底告诉你想要的东西或他们自己的反应。这就是事情被忽略的完美例证，因为它没有成为Twitter热门话题：另外我们还发现，当资金池增加或减少资产时会出现账簿记录错误，没有体现出期权合约中的相关资产，因此攻击者可能窃取资金池中资产。

2.3我来帮你。Hegic内的合约并不清楚合约中的资产被谁以何种方式偷走。我实在不明白如果都不清楚这些情况，资金池还怎么运转。老人看手机脸。另外请注意：记账簿。

报告：上周数字资产投资产品交易量创2020年10月以来新低:7月21日消息，据CoinShares周报数据，上周数字资产投资产品的交易量仍然很低，一周总计10亿美元，创2020年10月以来新低。

此前昨日报道，上周数字资产投资产品净流入1220万美元。[2022/7/21 2:28:18]

第三部分：推荐

这一直是最重要的部分，因为这里是审计机构字斟句酌的部分。在实际的审计报告中，会向Hegic指出需要解决的大量代码、漏洞及事情。但这篇摘要是供外部人了解所用的。是给我们普通人的。

由于发现的算法问题较多以及时间限制，无法进行深入的算法验证，(审计机构)TraitofBits推荐使用符号执行和fuzzing测试合约的变量。代码库中可能存在更多问题。另外TraitofBits作出以下推荐：未来开发利用crytic.io。采用该平台发现两个问题。评估和记录合约所有者特权验证和记录不同合约之间的资产记账评估和记录系统的套利机会推荐用户在保障资产的前提下使用提供资产和撤资功能

3.1一定做更多来确保安全！！！

3.2我们真的没有时间展开深入讲，基本的数学问题已经占用了大部分时间，我们连数学问题都没搞懂，更别说更大范围的问题了。

在线投资平台Yieldstreet宣布与Osprey合作推出加密基金Enhanced Crypto Fund:金色财经报道，在线投资平台Yieldstreet宣布与Osprey合作推出新的加密基金Enhanced Crypto Fund，计划投资 5 到 10 种市值最大的数字资产，还将包括一些高市值的山寨币和新兴的区块链协议。Yieldstreet 发言人表示，该基金对可以筹集的资金没有上限，并将无限期开放。

Yieldstreet 成立于 2015 年，已经为超过 22 亿美元的投资提供了资金。Osprey 是一家数字资产管理公司，提供公开交易的 Osprey 比特币信托基金，以及 Polkadot、Algorand、Solana 和 Polygon 投资信托基金。Osprey Funds 在 2021 年通过其加密产品筹集了超过 1 亿美元。（businesswire）[2022/4/29 2:38:02]

3.3我们当然知道有更多问题，你现在知道了。

3.4你付钱给我们找一些自己本可以用更便宜的方式找到的基本问题，然后付钱给我们找到了另一个错误。

3.5你们的项目文档记录匮乏实在令人厌恶，我们在五点建议中用三条的篇幅去描述这个问题，因为这是你们发现问题、并为安全人员/白帽黑客提供挽救用户资产的最佳机会。

3.6评估合约所有者的特权：我们的工作不到位。验证你们的算法：小心打补丁。重新查验一切因为你们的算法真的太烂了。验证套利交易：我们都还没开始考虑这个问题。也许你们在写文档的时候就会发现问题了。

3.7我真的不知道怎么收尾。通常在完整审核中，你会发现带有代码片段的内容。事实是这一行代码有分量。

3.8或者是他们选择让读者注意到最后一句特别重要，或者他们也意识到「我们真的检查了所有东西/所有功能了吗」？在概要最后扔下一句。不管是哪种情况，依据这份审计报告，这是致命硬伤的所在地。

总体心得

1/img/20230509080143374314/26.jpg "/>

4要构建金融系统，必须要有出色的数学/记账簿/会计能力。Hegic有太多问题，让/img/20230509080143374314/27.jpg "/>

5Hegic无权利用这份审计报告宣称自己是个安全的系统，或者像当前这样转嫁责任「甚至trailofbits都没有发现问题！」

6Hegic将审计当作敷衍他人的挡箭牌，而不是为了切实保护用户或者了解及确保系统的安全。这种态度显示团队对用户利益的漠视，可能是一种性质恶劣的文化，对我而言总是拉响警报。

7Hegic项目目前不该推出。如果他们是被指着头被迫发布产品，他们也应该宣称自己是未经审计的、受限的Pre-alpha项目。

8/img/20230509080143374314/31.jpg "/>

9作为社区一个整体，我们需要注意，即使是名头最响亮机构所做的审计报告，也不意味着是安全的。也许还更不安全。

标签：HEGICGICPREIMGhegic币值得投资吗hegic币价格Pre-retogeumIMG价格

DYDX热门资讯