借着Euler黑客事件,聊聊DeFi的安全审计和安全。
大的DeFi协议基本上都经过多轮审计,我们前前后后5次审计费用百万刀级别大的协议常规审计每年都百万刀,但蓝筹DeFi没哪个没被黑过这里原因很简单,简单的数学问题从攻防来看,所有静态审计的输入和输出(发现bug)都是有限的。
除了常规审计,Euler还用了Certora做形式化验证,这个我们之前也用过,形式化验证能帮助穷尽“已知”路径的覆盖范围,但是无法穷尽“未知的未知”。DeFi是一个开放系统,对于黑客来说,它的输入是无限的,输出也是无限的。假设把安全攻防看成挖矿,你守方用三五台机器算哈希挖矿。
Shiba Inu首席开发者回应:Shibarium并没有确切的发布时间:2月13日消息,Shiba Inu首席开发者Shytoshi Kusama近日在Shiba Inu社区频道中,针对未透露Shibarium确切发布日期回应到,无法提供任何具体细节。我没有确切的日期,因为Shibarium的发布不是通过switch实现的,在此之前,《今日美国》还指出,由于当时Shytoshi Kusama删除“情人节发布”这一暗示,所以“Shibarium将于情人节当天发布”存在疑问。[2023/2/13 12:02:38]
攻方无数机器时刻在算哈希,只要算对一次就赢了;这个输赢面对比是明显的。静态的安全审计,由于输入输出固定,无法覆盖已知的未知,更无法覆盖未知之未知。所以出现另一种审计,叫开发式竞争型审计,如Code4rena,审计奖金池固定,但是输入在一定时间内是弹性的,所有人都可以参加,谁发现bug。
潮玩巨头Funko推出《权力的游戏》NFT:金色财经报道,潮玩巨头Funko宣布推出《权力的游戏》NFT,并将把这些NFT集合添加到旗下Digital Pop阵容中,据悉此次NFT发售将在10月4日启动,其中包括艾莉亚·史塔克、猎犬、琼恩·雪诺和詹姆·兰尼斯特四个最知名的角色,NFT持有者可以兑换匹配的限量版实物收藏品。据悉,Funko将发行标准包(含5枚NFT)和高端包(含15枚NFT)两类,每类31,250个,总计625,000枚NFT。(variety)[2022/9/24 7:18:37]
按照严重程度,分奖金,这个方式是让审计师/白帽去卷,可以扩大覆盖面,但总体输入依然固定,远远不够。最后是完全开放的模式,那就是赏金网络,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平台,我建议每个DeFi在上面发bounty,亲测效果十分明显。Immunefy的奖金项目方会给非常高。
Telegram创始人宣布拟推链上用户名交易市场后TON上涨近20%:8月23日消息,Telegram 创始人 Pavel Durov 今日宣布计划在 TON 区块链上推出一个用户名交易市场,把用户名变成一种类似于 NFT 的智能合约并支持链上自由交易,此消息发布后 The Open Network (TON) 价格上涨,据 coingecko 数据显示,截至目前已突破 1.3 美元,24小时涨幅达 18.3%.[2022/8/23 12:43:14]
比如最高已支付的是Warmhole的千万美金。这次出事的Euler也曾放出100w刀赏金,但依旧没发现这次的漏洞。赏金模式在输入输出上也是开放式的,这个类似于黑客的攻击模式。
但两者激励模式很大区别。假如把两者当成是抽奖,同样1000w奖金池,赏金模式奖金一般都会在10w-30w刀封顶黑客模式是100%奖金全拿走这两种模式,同等投入,同样中奖概率,假设没有犯罪成本,毫无疑问黑客池输入/输出会跑赢。赏金模式就算加到10%,也跑不赢黑客池,除非把犯罪成本加入等式。
有人建议把赏金比例和TVL挂钩,比如10%,是否会激励更多黑客转白帽?首先,没哪个defi协议能支付10%TVL的赏金,其次,遇到真黑客,他大概率还是愿意一黑到底而不会止步要10%。DeFi的安全更复杂问题在于除了代码层面,还有可组合风险。
攻击面上,DeFi本身随着整合增加,攻击面是四维增长的,定期静态安全审计加长期赏金,也无法覆盖不断扩大的攻击面DeFi安全是无限游戏,唯一靠谱的是在协议上减少外部依赖,最小化攻击面,尽量待在“自己的舒适区”,不乱做扩展对开放系统来说,安全代价就是自由的代价。
过高的Cryptofarming收益被证明是不可持续的,再加上FTX、3AC、TerraLuna、Celcius和Blockfi崩溃的后果,用户现在正在寻求可持续的“真实收益”。过去,用户不假思索地迅速涌入20%的CEX质押率.
1900/1/1 0:00:003月14日,dYdX社区投票通过DIP-20提案,决定将交易奖励减少45%,剩余的55%奖励将由国库留存,并可经由社区投票改做他用,其中赞成票比例为83%,反映出dYdX社区围绕DYDX代币的改进迈出了实际的一步.
1900/1/1 0:00:00注:本文来自/img/20230515135635345113/0.jpg "/>BNB Chain验证者和项目正讨论将MEV集成到BSC网络中:6月16日消息,BNB Chain在推特上表示.
1900/1/1 0:00:003月7日,GalaxyDigital研究部门发布了调研报告,报告中提到2025年基于铭文和序数的比特币NFT市场规模将达到45亿美元.
1900/1/1 0:00:00今日,以太坊基金会安全研究员YoavWeiss在丹佛举办的WalletCon会议上出人意料地宣布,ERC-4337的核心合约已通过了OpenZeppelin的审计,并可在以太坊主网以及所有兼容以太坊EVM的网络上可用.
1900/1/1 0:00:002023-02-28在ETHDenver的会场,一个贴有“SaveYourMargin!”标签的巨大气泡球引起了大家极大的关注。搭配着许多具有象征意义的文字涂鸦,大量封闭在气泡球当中的美金更是给现场的开发者们一种极大的视觉冲击.
1900/1/1 0:00:00