CER:中心化风险居高不下，2021年黑客攻击损失高达13亿美元_Animal Concerts

转眼间已经陪伴CertiK走入了第五个年头，然而随着阅尽千篇审计报告，却一直有一个问题，让譬如小编这样的技术门外汉倍感疑惑。有的时候，我们辨别一个项目的代码是否优质，就是查看它的审计报告。而后根据审计报告中的风险等级和数目来判断这个项目代码的安全性是否达到标准。

但是近一年中，很多项目的代码相对足够完善和安全，却不约而同地存在着一个主要风险——中心化风险。

那么具备这一风险的项目，假如它的代码在其他方面表现得很良好，我们如何判断它的代码质量优质亦或不优质？

这样的项目在以往的审计记录中，占据了很大的比例——在CertiK统计的2021年1737份审计报告中，具备中心化风险的项目竟有286个之多，占据比例近17%。

OP Labs：EIP-4844将大幅降低Rollup费用，使以太坊能够在保持去中心化的情况下扩容:7月30日消息，OP Labs推特发文称，EIP-4844将大幅降低Rollup费用，使以太坊能够在不牺牲去中心化的情况下扩容。近期来自OP Labs、Coinbase和ConsenSys的研究人员和开发人员参与了社区第二次会议，讨论了公共开发网络、收费市场设计和同步架构等话题。今年3月，以太坊创始人V神（Vitalik Buterin）在推特上分享了关于其和几位开发者共同提出的EIP-4844提案，该提案建议用proto-danksharding代替扩容解决方案Danksharding。该提案致力于在尚未实际实施任何分片的情况下，部署构成完整Danksharding规范的大部分逻辑和交易格式及验证规则。Proto-danksharding引入的主要特性是新的交易类型，称之为携带blob的交易。携带blob的交易引入一种新的交易格式，其中包含大量数据，EVM执行无法访问，但其提交可以访问。提案提议每30天自动删除blob数据，以防止网络对数据和内存存储的要求过大。Proto-danksharding部署后，所有验证者和用户仍须直接验证完整数据的可用性。[2022/7/31 2:49:01]

而在CertiK近期发布的中，更是指出：2021年造成黑客攻击最常见的原因是中心化风险，在因此产生的44起DeFi黑客攻击事件中，总资产损失高达13亿美元！

去中心化拍卖工具 Bounce 推出社交验证拍卖池，质押 300 BOT 即可自动上线:去中心化拍卖工具 Bounce.finance （BOT）宣布推出需要社交验证的拍卖池。项目方在提交创建拍卖池提案后，Bounce 社区成员可以根据提案中的项目具体信息质押 BOT 以支持提案，如果质押数量超过 300 BOT 则拍卖池将自动被激活，当拍卖池结束后，支持者可以取消质押的 BOT。Bounce 还于几日前宣布通过治理提案降低了每日 BOT 代币奖励的数量，从每日 16 个减少至每日 4 个。[2020/11/7 11:55:01]

复制链接至浏览器即可下载安全报告：

Switcheo推出基于Zilliqa区块链的去中心化交易平台Zilswap:Switcheo团队在博客文章中宣布，它已经建立并启动了由Zilliqa支持的去中心化加密货币交易所（DEX）Zilswap，将允许用户首次在Zilliqa区块链上进行数字资产交易Zilswap由Switcheo开发人员从头开始构建，在类似于Uniswap的未经许可的流动性协议的基础上，使用恒定产品自动做市商。用户可以从自己的钱包直接在Zilliqa区块链上交易ZIL或ZRC代币，或者将其持有的代币添加到流动资金池中以被动地作为做市商赚钱。（U.Today）[2020/10/5]

https://certik-2.hubspotpagebuilder.com/the-state-of-defi-security-2021-chinese

金色相对论丨《稳字当头，带你了解去中心化钱包的安全性》:今日17:00以“《稳字当头，带你了解去中心化钱包的安全性》”为主题的金色相对论将准时开始，本期金色相对论由金色财经内容总监主持，邀请到金色财经合伙人、火币集团VP、慢雾科技合伙人、上海挖易CEO，带大家一起了解去中心化钱包的安全性。详情点击原文链接或扫二维码进群参与话题讨论。[2020/4/7]

DAO乃至整个加密世界最独一无二的核心本质。

从定义上讲——百度百科搜索的结果如下：在一个分布有众多节点的系统中，每个节点都具有高度自治的特征。节点之间彼此可以自由连接，形成新的连接单元。任何一个节点都可能成为阶段性的中心，但不具备强制性的中心控制功能。这种开放式、扁平化、平等性的系统现象或结构，我们称之为去中心化。

而中心化风险仅在这一层面，就背离了加密领域创建的初衷。

中心化风险的核心是DeFi协议内的单一故障点——拥有中心化所有权的智能合约比拥有时间锁或多签名密钥所有权的合约风险更大。

一旦这一风险被恶意攻击者利用，那么无限铸币、RugPull以及其他各类型的攻击事件将接踵而来。

如果你的合约具备铸币漏洞，那么攻击者但凡能拿到合约私钥，即可转手铸造无数代币然后想给谁就给谁。

很明显，这种攻击方式对于项目的所有者来说简直就是印钞神器，当然也有些项目会成为其他黑客的ATM机。

另一种比较典型的攻击方式就是RugPull，CertiK刚刚发布分析的BabyMusk攻击事件就是一个典型的案例。

在这种攻击手法中，有些是项目所有者恶意抛售其所持有的全部代币以此消耗去中心化交易所的流动性。还有些是项目所有者直接从合约中窃取代币，如预售锁定合约类的项目。

在有些去中心化交易所中，具备RugPull风险的项目简直多如牛毛——因为上币并不需要通过审计。

典型案例

DeFi协议bZx因私钥管理不善于2021年11月被恶意攻击导致损失高达5500万美元。

该项目合约私钥未采取多签名，攻击者通过钓鱼邮件轻松获取了私钥的控制权。这一中心化风险使得攻击者可以完全控制该私钥管理的所有合约。

在这一案例中，一旦攻击者获取了合约的控制权即可将代币从Polygon和BSC的部署中转移出来。

如何减轻中心化风险？

怎样才能减轻中心化风险？

智能合约审计是识别中心化风险的第一步，也是必要的一步。

通过智能合约审计，可以及时鉴别项目代码中存在的中心化风险，但只有审计是不够的，随后的代码修改同样至关重要。

在很多情况中，安全专家发现的问题以及给予的修改建议会被项目所有者置之不理....

这些行为简直就是在赤裸裸的呼唤黑客：快来呀，我这有钱给你！

CertiK将审计中发现的风险分为5个等级：严重、主要、中等、次要以及信息性。

上文中我们已经提过中心化风险属于主要风险等级，这代表着在特定情况下，该风险可能导致资金和/或项目控制权的损失。它也许不会显著影响平台运作，但同样是必须要解决的高危风险之一。

目前，CertiK官网已添加社群预警功能。在官网上，大家可以随时看到与漏洞、黑客袭击以及Rugpull相关的各种社群预警信息。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了2500家企业客户的认可，保护了超过3110亿美元的数字资免受损失。

标签：CERERTTIKCERTcere币总量BitgertPlastiksAnimal Concerts

Fil热门资讯