转眼间已经陪伴CertiK走入了第五个年头,然而随着阅尽千篇审计报告,却一直有一个问题,让譬如小编这样的技术门外汉倍感疑惑。有的时候,我们辨别一个项目的代码是否优质,就是查看它的审计报告。而后根据审计报告中的风险等级和数目来判断这个项目代码的安全性是否达到标准。
但是近一年中,很多项目的代码相对足够完善和安全,却不约而同地存在着一个主要风险——中心化风险。
Adam Cochran:Coinbase已经非常清楚地表明Base的意图是完全去中心化:金色财经报道,Cinneamhain Ventures合伙人Adam Cochran在社交媒体上称,对COIN的良好展望。我不同意他们的代币策略,A) 我认为一旦OP层有分散的排序器/程序,去中心化网络的代币在美国是合法可行的。B) 我认为代币在某种程度上是必要的。Coinbase 已经非常清楚地表明 Base 的意图是完全去中心化。这意味着在某个时候,我们可以期望任何人都能够根据特定的配置方法运行验证器/定序器/证明器。在 roll-up sequencer 中赚取 sequencer 费用(你支付给网络的 gas 费用)所以有一个明确的经济福利可以分割。然后,您还需要一种方法来对不良参与者节点施加惩罚(例如削减),从而使攻击网络的成本太高。[2023/5/6 14:46:10]
那么具备这一风险的项目,假如它的代码在其他方面表现得很良好,我们如何判断它的代码质量优质亦或不优质?
Amasa与去中心化传送网络Attrace达成合作伙伴关系:1月7日消息,微型现金流投资应用程序Amasa宣布与去中心化传送网络Attrace达成合作伙伴关系。Amasa计划集成Attrace,将用户获得的ATTRToken与其他微收入流结合起来,通过Amasa的功能使Attrace用户的收入稳定放大。[2022/1/7 8:32:22]
这样的项目在以往的审计记录中,占据了很大的比例——在CertiK统计的2021年1737份审计报告中,具备中心化风险的项目竟有286个之多,占据比例近17%。
去中心化钱包Anybit正式接入OEC:据官方消息,Anybit发布新版本,正式接入OEC链,完成对OEC的集成支持,并支持OEC的DApp应用使用。
Anybit是一款支持多条公链的去中心化钱包,支持多账户创建,资产管理可按需求分账户存储,真正实现一个钱包便捷管理数字资产。
OEC是完全兼容EVM(虚拟机)的去中心化高效节能公链,可为开发人员提供高效且低成本的链上环境,以运行去中心化智能合约应用程序(DApps)和存储数字资产。[2021/12/21 7:53:47]
而在CertiK近期发布的中,更是指出:2021年造成黑客攻击最常见的原因是中心化风险,在因此产生的44起DeFi黑客攻击事件中,总资产损失高达13亿美元!
复制链接至浏览器即可下载安全报告:
音乐流媒体平台ROCKI与本体达成合作,以解决去中心化身份问题:11月6日消息,音乐流媒体服务和音乐 NFT 平台 ROCKI 与区块链平台本体(Ontology)达成合作。在本体去中心化批量验证解决方案ONT TAG的支持下,ONT TAG 使 ROCKI能够在用户授权的情况下快速获取用户的可验证凭证。在保护用户隐私的同时执行授权过程。
ROCKI 是基于币安智能链构建的音乐流媒体服务和数字支付生态,旨在解决音乐行业的平台可玩性和参与者收益分配问题。[2021/11/6 6:35:06]
https://certik-2.hubspotpagebuilder.com/the-state-of-defi-security-2021-chinese
数据:中心化交易所比特币流入量持续回升,近两周已提升5倍:Tokenview链上数据监测,中心化交易所比特币流入量近两周处于持续回升状态。整体上,尽管仍处于净流出状态,但净流入量提升了5倍,尤其Huobi净流入量表现突出,相比两周前日均净流入量提升约2-3倍。4/26日触底,紧接着小幅反弹之后,目前交易所比特币流动性处于平稳状态,还未展现再次反弹迹象。[2021/5/7 21:33:49]
什么是中心化风险?
大家应该都清楚:区块链的意义在于去中心化、匿名性和透明性。
其中去中心化更是DeFi、DAO乃至整个加密世界最独一无二的核心本质。
从定义上讲——百度百科搜索的结果如下:在一个分布有众多节点的系统中,每个节点都具有高度自治的特征。节点之间彼此可以自由连接,形成新的连接单元。任何一个节点都可能成为阶段性的中心,但不具备强制性的中心控制功能。这种开放式、扁平化、平等性的系统现象或结构,我们称之为去中心化。
而中心化风险仅在这一层面,就背离了加密领域创建的初衷。
中心化风险的核心是DeFi协议内的单一故障点——拥有中心化所有权的智能合约比拥有时间锁或多签名密钥所有权的合约风险更大。
一旦这一风险被恶意攻击者利用,那么无限铸币、RugPull以及其他各类型的攻击事件将接踵而来。
如果你的合约具备铸币漏洞,那么攻击者但凡能拿到合约私钥,即可转手铸造无数代币然后想给谁就给谁。
很明显,这种攻击方式对于项目的所有者来说简直就是印钞神器,当然也有些项目会成为其他黑客的ATM机。
另一种比较典型的攻击方式就是RugPull,CertiK刚刚发布分析的BabyMusk攻击事件就是一个典型的案例。
在这种攻击手法中,有些是项目所有者恶意抛售其所持有的全部代币以此消耗去中心化交易所的流动性。还有些是项目所有者直接从合约中窃取代币,如预售锁定合约类的项目。
在有些去中心化交易所中,具备RugPull风险的项目简直多如牛毛——因为上币并不需要通过审计。
典型案例
DeFi协议bZx因私钥管理不善于2021年11月被恶意攻击导致损失高达5500万美元。
该项目合约私钥未采取多签名,攻击者通过钓鱼邮件轻松获取了私钥的控制权。这一中心化风险使得攻击者可以完全控制该私钥管理的所有合约。
在这一案例中,一旦攻击者获取了合约的控制权即可将代币从Polygon和BSC的部署中转移出来。
如何减轻中心化风险?
怎样才能减轻中心化风险?
智能合约审计是识别中心化风险的第一步,也是必要的一步。
通过智能合约审计,可以及时鉴别项目代码中存在的中心化风险,但只有审计是不够的,随后的代码修改同样至关重要。
在很多情况中,安全专家发现的问题以及给予的修改建议会被项目所有者置之不理....
这些行为简直就是在赤裸裸的呼唤黑客:快来呀,我这有钱给你!
CertiK将审计中发现的风险分为5个等级:严重、主要、中等、次要以及信息性。
上文中我们已经提过中心化风险属于主要风险等级,这代表着在特定情况下,该风险可能导致资金和/或项目控制权的损失。它也许不会显著影响平台运作,但同样是必须要解决的高危风险之一。
目前,CertiK官网已添加社群预警功能。在官网上,大家可以随时看到与漏洞、黑客袭击以及Rugpull相关的各种社群预警信息。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了2500家企业客户的认可,保护了超过3110亿美元的数字资免受损失。
标签:CERCERTcertikERTDisbalancerAnimal Concertscertik币价manitosupertoken
数据:Bitfinex上巨鲸已平仓其70%空头仓位3月15日消息,据Bitfinex合约市场数据显示,Bitfinex上此前重仓做空的BTC巨鲸现已平仓其大部分空头仓位.
1900/1/1 0:00:00美国东部时间1月20日11:30分,美国众议院能源和商业委员会关于加密货币及其环境影响举行了听证会.
1900/1/1 0:00:00北京时间2022年4月17日,CertiK审计团队监测到Beanstalk协议被恶意利用,导致24,830ETH和36,398,226BEAN遭受损失.
1900/1/1 0:00:00摘要 「政策动向」: -美国财政部确认,加密矿工、钱包提供商不受国税局税收报告的约束-美国SEC对加密借贷公司BlockFi处以创纪录的1亿美元罚款-俄罗斯经济部提出加密挖矿合法化-Binance加入俄罗斯数字金融资产和数字货币专家中.
1900/1/1 0:00:002009年区块链的第一个应用比特币的推出将区块链从理论应用转变为现实应用,证明了这种数字分布式账本技术确实有效。从那时起,许多企业组织一直在测试如何让区块链为他们服务.
1900/1/1 0:00:00根据花旗银行今年3月份的估算,到2030年,元宇宙的潜在市场规模在8-13万亿美元之间,元宇宙用户总数将达到50亿。元宇宙给艺术家、工程师等各种创作者提供了机会,而Create2Earn创造者经济将成为元宇宙经济的主要商业模式.
1900/1/1 0:00:00