月亮链 月亮链
Ctrl+D收藏月亮链

区块链:首发 | 遇到有漏洞的DeFi合约概率是多少?审计后又有多大概率被攻击?_Domani Protocol

作者:

时间:1900/1/1 0:00:00

身在新冠日增确诊10万例美国的小编,因为硬核原因不得不搭乘飞机出门。出行前一直担心是否会被感染,途中却被飞机遇到猛烈气流的颠簸唬住了。

虽然心里默默安慰自己飞机空难发生的概率非常低,感染新冠肺炎的概率也没那么高,但还是想起来了四个字:“墨菲定律”

在现代科技发展的大潮流下,锁定在区块链领域里的资产愈发庞大。隐藏在计算机背后的危机也随着区块链的发展日益展露狰狞的面目。

智能合约当中,任何一个小bug,都可能会给项目或者投资者造成无法挽回的损失。

受此警示之下,CertiK安全团队利用CertiK天网系统?,对自北京时间2020年12月4日0时至24时之间,新加入Uniswap的代币智能合约进行了监控分析。

在本次分析的时间段内,一共产生了29个智能合约代币项目。

首发 | 欧科云链推出“天眼方案”推动链上安全系统再升级:8月28日,区块链产业集团欧科云链宣布推出区块链“天眼方案”,主要通过链上数据追踪系统研发、对外技术支持、凝聚企业众力等途径,全面助力区块链安全提升和产业平稳健康发展。

据了解,在“天眼方案”下,欧科云链集团将打造链上数据追踪系统,通过溯源数字资产、监控非法交易等手段,全力遏制等非法行为;协助执法机关办案,并为打造法务等区块链系统提供技术支持;为联盟链和基于各类业务的链上数据提供区块链+大数据的解决方案。[2020/8/28]

经过CertiK的Skynet分析,总计发现16个智能合约存在漏洞或者缺陷!

大概有55%的智能合约项目或多或少存在漏洞或者缺陷,其中大约有10%存在严重漏洞,45%存在项目拥有者权限过大,权限中心化过高的缺陷。

本次分析的智能合约项目名称和合约地址如下:

《精灵达人3D》正式首发 Cocos-BCX 主网:据官方消息,近日,由生态合伙人 DAPPX 参与开发的《精灵达人3D》正式首发于游戏公链 Cocos-BCX 主网。《精灵达人3D》是一款以精灵宝可梦为题材的抓宠游戏,游戏美术采用全3D 制作。用户可通过 CocosWallet , DAPPX 或 IMCOCOS 登录 COCOS 主网账号即可体验。截至目前,Cocos-BCX 主网已上线《加密骑士团》《恶龙必须死》《XPEX怪兽世界》《Go Block》《可可夺币》《熊猫运动会》等多款玩法多样的趣味性链游,游戏公链生态在逐步壮大和完善。[2020/8/20]

分析结果如下:?

虽然难以通过一天的情况来预估所有时间范围内的智能合约安全情况,但窥一斑而知全豹。

下面主要针对三个相对重要的漏洞进行分析:

nostromo.finance(NSTR)

首发 | 区块链技术及软件安全实战基地正式成立:金色财经报道,今日,中软协区块链分会、人民大学、菏泽市局相关部门联合共建的区块链技术及软件安全实战基地正式成立。同时聘任中软协区块链分会副秘书长宋爱陆为区块链技术及软件安全实战基地特别专家。

区块链技术及软件安全实战基地主要涉及领域为:非法数字货币交易与、区块链与电信、网络、四方支付、冒用商标注册等,联合社会治理、城市安全、前沿技术领域的行业专家,进行警协合作。

据公开报道,近期菏泽市下属机关刚破获一起特大电信网络案,打掉多个涉嫌以网贷和投资“比特币”为名的团伙,抓获犯罪嫌疑人83名,扣押冻结涉案资金2700万元。[2020/7/21]

图1:burnFrom()函数

图1中burnFrom函数受到ownerOnly修饰词限制,只允许项目管理者执行该函数。该函数内部逻辑实现允许通过设置account,balance和subtractValue的值,间接对_totalSupply和给定账户的_balances值进行任意修改。

首发 | 火币集团全球业务副总裁:监管将决定区块链技术和加密货币的落地速度:1月21日,火币集团全球业务副总裁Ciara Sun在达沃斯世界经济论坛上表示,对区块链和数字货币的监管态度,2019年是重要的一年。在美国,到2019年底,针对加密货币和区块链政策有21项法案,这些法案包括税收问题,监管结构,跟踪功能和ETF批准,哪些联邦机构监管数字资产等。欧盟(EU)在2020年1月10日实施了一项新法律,要求加密货币平台采取更严格的反做法。瑞士,日本,立陶宛,马耳他和墨西哥通过法律,要求交易所必须根据KYC和AML准则获得许可。中国,土耳其,泰国等国家正在计划自己的中央银行数字货币(CBDC)。而监管将决定区块链技术和加密货币的落地速度。[2020/1/22]

PowerPool.Finance(CVP)

图2:?powerpoolttl合约中回退函数

IMEOS首发 BM表示EOS合约具有整数溢出保护:据金色财经合作媒体IMEOS报道:近日ETH出现多个ERC20智能合约的处理溢出错误,BM在推特上发表评论:新的ETH契约Bug可能会破坏整个Token的供应,让持有者留下无价值Token.这就算为什么代码不能成为法律,随即表示EOS erc合约不容易受到这种攻击。而EOS官方群也有人表示担忧EOS是否具有整数溢出保护?BM回应:有很多C ++模板类可以封装类型并检查溢出。[2018/4/25]

图2中为powerpoolttl合约的回退函数。当外部用户对该智能合约进行调用,如果该调用中没有调用合约中的任何一个函数,或者仅仅转移了代币到该合约中,则回退函数会被调用。70行的逻辑显示,当回退函数被调用时,调用中被转移到合同中的代币会被直接转移到teamAddress的地址中。

omphalos.co(OMPL)

该项目中可以通过执行transferFrom()函数进行对代币转移,根据图3中transferFrom()函数定义,211行需要执行getFee函数决定每次代币转移需要扣除的费用。从图3中getFee()函数的定义可以看到,决定费用高低的逻辑是取决与241行调用的Management.getFee()函数的定义。当前Management.getFee()函数的逻辑定义是根据manager变量中存储的地址值的不同而进行改变。当前manager变量中存储的地址值如图6所示。

然而manager变量中存储的地址值所指向的智能合约并未在etherscan上被认证,因此无法得知该智能合约的源代码,继而无从得知Management.getFee()函数的定义。

由于Management.getFee()函数背后的逻辑无法得知,因此项目拥有者有可能通过操作Management.getFee()函数返回值的方式,调整每次代币转移的费用,进行恶意操作等。

图3:transferFrom()函数

图4:StandardToken合约中的getFee()函数?

图5:Management智能合约接口与getFee函数接口

图6:当前manager变量存储的地址值

图7:当前manager变量存储的地址值指向的智能合约

大家都知道2020年最知名的一个例子——DeFi项目Yam于北京时间8月12日3:00启动后,尽管该项目的博客文章警告称尚未对其合约进行任何审计,但疯狂的Yieldfarmers在不到一小时内向该项目存入了7600万美元。

后期不出意料,Yam在短短36小时内,数亿美元因为一个小小的漏洞,消失于无形。

安全审计现在已经是高质量DeFi项目的标配。当前DeFi项目热潮持续不减,很多项目为了抓住热点与机遇,在未经严格测试和审计的情况下便匆忙上线。

这些项目中,大部分的漏洞是无法通过常见的测试方法和工具来发现的。只有寻找专业的审计专家进行严谨的数学模型证明,才可以发现该漏洞。形式化验证是当前唯一被证明可以产生可信数学证明的软件验证方法。

因此,采用基于形式化验证方法的区块链检测工具来验证项目中的安全漏洞,应成为每一个项目在上链前的必经步骤。

每一个项目受到攻击或是损失资产的原因,都是因为一个非常小的代码漏洞。

计算机领域中,平均每1000行代码中,会有1-25个bug。也就是说,这个概率的区间是千分之一至百分之二点五。

那么那些已经接受安全审计并通过的项目呢?

CertiK选取了三家公开审计信息的安全公司进行了数据统计。

此次统计了这三家公司的共计377个被审计的项目。

其中有8个项目在至少被审计过一次的情况下,仍旧遭受到了黑客攻击。

这8个已审计却被攻击的项目,整整损失了6900万美元。

根据此三家审计公司的数据来计算审计后被黑客攻击的比例是:8/377=2.12%

代码产生bug的几率和项目已通过审计但仍旧被攻击的概率大抵都约等于2%,在这里举个简单的例子:

根据SquareTrade数据统计显示——在美国,短短一小时内就有5761个手机屏幕壮烈牺牲。假设,美国人均一部手机,并且没有重复摔同一部手机的癖好。那么50天内,一位美国小伙儿有2%的几率把手机屏幕摔碎。

但是一部手机的使用寿命肯定不止50天,如果用一年呢?这个概率骤增为15%!使用超过三年半,概率就超过了50%!

这就印证了上文中的墨菲定律——小概率事件的必然性:时间基数够长的情况下,坏事总会轮到你的。

而空难发生的几率是五百万分之一。

相比之下,代码产生漏洞的概率以及项目已通过审计但仍旧被攻击的概率是空难的整整12.5万倍!

如果在飞机颠簸的时候,你害怕飞机失事,那么不妨用超出10万倍的担心,去保护你的项目。

这么对比过后,你还觉得项目不需要额外的保障吗?

为之于未有,制治于未乱。

除静态审计之外,动态的安全防护更能够防范攻击事件。CertiK开发的动态安全工具:快速扫描——安全预言机——CertiKShield,从预警到实时评测到保险计划,可以全方位为项目方提供安全保障。

标签:区块链MANMANAETF区块链域名还有市场前景吗Domani Protocolmana币价格今日行情metfi币总量

币安app官网下载热门资讯
HPT:火币矿池现已开放AAVE锁仓挖矿功能_GDEFI价格

尊敬的用户:火币矿池现已开放AAVE锁仓挖矿功能。开启挖矿之旅,尽享双重奖励。邀您体验!第一重:“锁仓即挖矿”获得HPT开启锁仓后,选择任意锁仓方案在矿池锁仓AAVE的用户,每日可获得HPT.

1900/1/1 0:00:00
比特币:我们必须解决比特币托管的用户体验问题_Qripplex

从历史的角度来看,12年只是一眨眼的时间,但在科技界却是永恒的。看看手机吧,在不到十年的时间里,它已经从小众配件变成了绝对的必需品.

1900/1/1 0:00:00
区块链:富贵“新手”也能成“股东”?一个60后的新躺赚之旅_USD

富贵走过20载,从籍籍无名到大有作为,从单匹马到人才辈出,它的成功与辉煌离不开每一位富贵人的付出。作为国内最具影响力的数字靓号收藏交流平台,富贵更是让无数富贵人绽放梦想,释放人生价值的舞台.

1900/1/1 0:00:00
COM:关于ZT暂停BITP充值的公告_XRP

尊敬的ZT用户:因BITP钱包节点维护,ZT已暂停BITP充值业务。由此给您带来的不便敬请谅解。风险提示:数字资产是创新产品,价格波动较大,请用户理性判断自己的投资能力,审慎做出投资决策.

1900/1/1 0:00:00
OIN:第一期“币赢精英团战-DeFi专区”重磅开启_COIN

亲爱的CoinW用户:CoinW将于2020年12月10日开启第一期“币赢精英团战-DeFi专区”活动.

1900/1/1 0:00:00
FIL:C網丨一文簡述Filecoin的首個分叉專案FileCash_HXAcoin

由於Filecoin紅極一時,人們已經把它視為分佈式存儲賽道的代表,某種意義上甚至將Filecoin等同於分佈式存儲賽道.

1900/1/1 0:00:00