宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > KuCoin > 正文

Hegic出事,Trail of Bits该背锅吗?来看看Hegic代码评审报告

作者:

时间:1900/1/1 0:00:00

撰文:MyCrypto

翻译:PerryWang

来源:链闻

对那些懒得打开PDF文档的读者,这里给大家概括一下「审计报告」。

对那些根本一点不懂的小白来说:

这是一份审计报告的摘要

摘要中有投资预警

阅读审计报告你需要字斟句酌。读这份摘要就清算多了。

第一部分:事实陈述

何时审计,用时多少天

具体审计了什么

由谁进行了审计

就算是小白都知道这种规模的合同,一个工程师用时两天进行审计,不会让我买账。16个小时就想搞懂所有代码、找到bug,找到攻击方法,然后完事交差?

1.1一位熟悉系统底层架构和理念的专家面对总量很小、非常简单、语言非常漂亮的代码库,也许能做到这一点。

此外,他们没有时间考虑代码的经济影响。

AvalancheGo发布v1.7.3版本,向后兼容AvalancheGo v1.7.0:12月21日,官方消息,AvalancheGo发布v1.7.3版本,向后兼容AvalancheGo v1.7.0,可选但推荐升级。[2021/12/21 7:52:52]

1.2只进行了小型审计,可能是由于Hegic财力所限,我对此表示赞赏。但是,审计的目的是要避免发生坏事,不要将审计作为一种促销手段,出了问题不能说「不是我们的错,只能怪安全审计机构/img/20230515230844905424/5.jpg "/>

1.3要改善审计的投资回报率,更简单的方式是让审计人员的工作变得更简单

代码干净+恰当的论述

使用所有免费工具来发现基本问题,以便专家可以专注于复杂的问题

请他人帮忙查看代码,提出问题

提供文件,提供摘要+重点/关注领域

第二部分:看看他们在寻找什么问题+找到了什么问题

值得注意的提示:

有三个领域,也被称为「糟糕情况可能出现吗?」

三个领域的答案都是「是Yes」,程度级别不同而已。

另外他们认为这些风险与算法有关

(审计报告图片中译)

从资金池窃取财产

以低于预期的行权价创建期权合约

免费创建期权合约我们发现多数问题与算法有关,包括

Hegic推出V8888版本,包含0交易费、LP无损等多项新功能:链上期权协议Hegic宣布推出V8888版本,其特点包括0%的交易手续费、100%无需Gas的交易、更低的期权价格、无损的流动性池、两倍的资金效率和支持卖Call和Put的资金池。不过团队提醒该版本目前是一个实验性的版本,存在风险。[2021/8/12 1:51:11]

如果资金池代币的供应量低于资产供应量,攻击者可以吸干资金

如果ETH价格低于1美元,期权合同行权价可以为0

当流动性增加,资金池恶意参数可以允许0铸币

有多个问题可能导致恶意合约所有者伤害Hegic用户,包括:

通过费用收取来窃取期权资产

2.1稍后将详细介绍算法方面,但接下来看看/img/20230515230844905424/9.jpg "/>

有多个问题可能导致恶意合约所有者伤害Hegic用户,包括:

通过费用收取来窃取期权资产

将资金困在期权合约中,阻止流动性提供者撤资

可以免费创建期权合约

2.2<这里插入有关去中心化的渐进论证>

无论如何,你应该注意到这种可能性以及知道审计人员在上面花了时间。在一个全新的金融体系中发现所有的漏洞攻击方法,这16个小时中有多少时间被用于验证有效的、已知的攻击方法?

Anchorage新增HEGIC、RAD和RLY支持:3月19日消息,数字资产银行Anchorage正进一步进军DeFi领域,并于周四宣布新增支持三种治理代币,分别为HEGIC、RAD和RLY。(CoinDesk)[2021/3/19 18:59:25]

2.2只有16个小时找到所有攻击方法

数学/密码学中的Bug

比如重入攻击

金融/经济方面的影响

内部作恶者

外部恶意攻击者

意外错误/意外结果

资金损失

等等等等。

16个小时不可能搞清楚这一切。绝无可能。

2.3审计机构永远不会说:「这些代码烂的像臭狗屎」。

扪心自问,为什么他们指出蛛丝马迹。不要指望他们彻底告诉你想要的东西或他们自己的反应。这就是事情被忽略的完美例证,因为它没有成为Twitter热门话题:另外我们还发现,当资金池增加或减少资产时会出现账簿记录错误,没有体现出期权合约中的相关资产,因此攻击者可能窃取资金池中资产。

2.3我来帮你。

Hegic内的合约并不清楚合约中的资产被谁以何种方式偷走。

我实在不明白如果都不清楚这些情况,资金池还怎么运转。老人看手机脸。

另外请注意:记账簿。

雪崩协议Avalanche已发布AvalancheGo v1.1.3:1月16日,去中心化服务平台雪崩协议Avalanche?(AVAX)官方宣布,AvalancheGo v1.1.3已发布,此次为可选更新。[2021/1/16 16:19:15]

第三部分:推荐

这一直是最重要的部分,因为这里是审计机构字斟句酌的部分。

在实际的审计报告中,会向Hegic指出需要解决的大量代码、漏洞及事情。但这篇摘要是供外部人了解所用的。是给我们普通人的。

由于发现的算法问题较多以及时间限制,无法进行深入的算法验证,(审计机构)TraitofBits推荐使用符号执行和fuzzing测试合约的变量。代码库中可能存在更多问题。

另外TraitofBits作出以下推荐:

未来开发利用crytic.io。采用该平台发现两个问题。

评估和记录合约所有者特权

验证和记录不同合约之间的资产记账

评估和记录系统的套利机会

推荐用户在保障资产的前提下使用提供资产和撤资功能

3.1一定做更多来确保安全!!!

3.2我们真的没有时间展开深入讲,基本的数学问题已经占用了大部分时间,我们连数学问题都没搞懂,更别说更大范围的问题了。

动态 | ECAF 发布紧急仲裁令 要求冻结账户 gizdkmjvhege:据IMEOS消息,ECAF 发布了最新的紧急仲裁令,要求 BP 冻结账户 gizdkmjvhege。本次仲裁令与 HireVibes 空投(HVT)被盗有关。此前,第三方服务提供商私钥泄露,受害者账户的大量糖果在非本人操作下转入到了 sym111111add 账户,随后该账户在去中心化交易平台 Newdex 套现 2514 EOS, 这笔 EOS 随后又被转入到 gizdkmjvhege 账户。该仲裁令已在链上发布。[2018/11/16]

3.3我们当然知道有更多问题,你现在知道了。

3.4你付钱给我们找一些自己本可以用更便宜的方式找到的基本问题,然后付钱给我们找到了另一个错误。

3.5你们的项目文档记录匮乏实在令人厌恶,我们在五点建议中用三条的篇幅去描述这个问题,因为这是你们发现问题、并为安全人员/白帽黑客提供挽救用户资产的最佳机会。

3.6评估合约所有者的特权:我们的工作不到位。

验证你们的算法:小心打补丁。重新查验一切因为你们的算法真的太烂了。

验证套利交易:我们都还没开始考虑这个问题。

也许你们在写文档的时候就会发现问题了。

3.7我真的不知道怎么收尾。

通常在完整审核中,你会发现带有代码片段的内容。事实是这一行代码有分量。

3.8或者是他们选择让读者注意到最后一句特别重要,或者他们也意识到「我们真的检查了所有东西/所有功能了吗」?在概要最后扔下一句。

不管是哪种情况,依据这份审计报告,这是致命硬伤的所在地。

总体心得

1/img/20230515230844905424/25.jpg "/>

4要构建金融系统,必须要有出色的数学/记账簿/会计能力。

Hegic有太多问题,让/img/20230515230844905424/26.jpg "/>

5Hegic无权利用这份审计报告宣称自己是个安全的系统,或者像当前这样转嫁责任「甚至trailofbits都没有发现问题!」

6Hegic将审计当作敷衍他人的挡箭牌,而不是为了切实保护用户或者了解及确保系统的安全。这种态度显示团队对用户利益的漠视,可能是一种性质恶劣的文化,对我而言总是拉响警报。

7Hegic项目目前不该推出。如果他们是被指着头被迫发布产品,他们也应该宣称自己是未经审计的、受限的Pre-alpha项目。

8/img/20230515230844905424/30.jpg "/>

9作为社区一个整体,我们需要注意,即使是名头最响亮机构所做的审计报告,也不意味着是安全的。也许还更不安全。

来源链接:twitter.com

标签:GICHEGICANCAVAMagic Shoeshegic币最新消息Plow FinanceWAVAX价格

KuCoin热门资讯
减半要来了,但这次或许真不一样

原文作者:RobertStevens 译者:Azuma 来源:Odaily星球日报BTC.com数据显示,依照当前的块高及出块速度计算,比特币预计将于UTC时间?5月12日09:28迎来第三次区块奖励减半.

1900/1/1 0:00:00
Kik诉讼疑云:Howey测试能否成为厘清加密货币与证券的试金石?

作者:罗滔 美国证券交易委员会(SEC)对于加密公司的首次代币发行始终施加着严格的管控措施。由于加密货币与证券的界定一直很模糊,很多加密公司试图通过SAFT等手段增强代币发行的合规性,但包括Telegram、Block.one在内的众.

1900/1/1 0:00:00
终端“挖矿”落幕:阿里产品退市、360科技子公司被罚,产品持有者走向二手交易

作者:陈以 来源:财经网链上财经 在目前的加密货币生态中,矿业可谓是风险最小、盈利最为稳定的行业之一,前有矿霸比特大陆将詹克团、吴忌寒、葛越晟三人送上胡润财富榜,后有嘉楠科技纳斯达克上市成为“区块链第一股”.

1900/1/1 0:00:00
大量细节曝光!BSV当家人“澳本聪”硕士论文涉嫌抄袭

作者:Paintedfrog 译者:马可薇 来源:区块链前哨 “澳本聪”克雷格·赖特于2008年在诺森比亚大学获得了国际商法硕士学位。同年2月他提交了长达九十页的论文《互联网中介责任的影响》.

1900/1/1 0:00:00
DeFi Review特别篇:休斯顿,我们有麻烦了

“?如果未来,全人类有机会使用各种自由开放的DeFi服务的时候,应该感谢在过去历次黑客攻击事件中受损的DeFi用户,以及各位孜孜不倦,不忘初心的DeFi开发者们,这段激动人心的旅程永远肇始于这些探险者和建造者们踏出的第一步.

1900/1/1 0:00:00
当比特币价格到达28万美金,世界会发生哪些巨变?

近期,推特主/img/20230515230743170120/0.jpg "/>以拥堵最严重的2017年12月中旬为例,比特币网络未确认交易长期维持16万笔左右.

1900/1/1 0:00:00