大的DeFi协议基本上都经过多轮审计,我们前前后后5次审计费用百万刀级别大的协议常规审计每年都百万刀,但蓝筹DeFi没哪个没被黑过?这里原因很简单,简单的数学问题从攻防来看,所有静态审计的输入和输出(发现bug)都是有限的。
除了常规审计,Euler还用了Certora做形式化验证,这个我们之前也用过,形式化验证能帮助穷尽“已知”路径的覆盖范围,但是无法穷尽“未知的未知”。DeFi是一个开放系统,对于黑客来说,它的输入是无限的,输出也是无限的。假设把安全攻防看成挖矿,你守方用三五台机器算哈希挖矿攻方无数机器时刻在算哈希,只要算对一次就赢了;这个输赢面对比是明显的。静态的安全审计,由于输入输出固定,无法覆盖已知的未知,更无法覆盖未知之未知。
曾推广FTX的名人遭到集体诉讼:金色财经报道,曾推广加密货币交易所FTX的名人正面临集体诉讼。Tom Brady、Gisele Bundchen、Steph Curry和Larry David都是在诉讼中点名的明星,该诉讼由佛罗里达州的律师David Boies和Adam Moskowitz提起。上周从公司辞职的前首席执行官SBF也在诉讼中被点名。该诉讼称,Brady, Bundchen和其他人“积极参与”“以收益账户的形式发行和出售未注册证券”。据悉,Boies和Moskowitz也正在对达拉斯小牛队及其老板Mark Cuban提起类似的集体诉讼,指控其推广现已破产的加密货币借贷公司Voyager。(The Block)[2022/11/17 13:14:10]
所以出现另一种审计,叫开发式竞争型审计,如Code4rena,审计奖金池固定,但是输入在一定时间内是弹性的,所有人都可以参加,谁发现bug按照严重程度,分奖金,这个方式是让审计师/白帽去卷,可以扩大覆盖面,但总体输入依然固定,远远不够。最后是完全开放的模式,那就是赏金网络,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平台,我建议每个DeFi在上面发bounty,亲测效果十分明显。Immunefy的奖金项目方会给非常高。比如最高已支付的是Warmhole的千万美金。这次出事的Euler也曾放出100w刀赏金,但依旧没发现这次的漏洞。赏金模式在输入输出上也是开放式的,这个类似于黑客的攻击模式。
数据:Solana链上NFT销售总额突破27亿美元,创历史新高:金色财经报道,据cryptoslam最新数据显示,Solana链上NFT销售总额已突破27亿美元,创历史新高,本文撰写时达到2,705,489,017美元,链上交易量为13,957,944笔。 当前 Solana 区块链上交易额最大的 NFT 项目是 Solana Monkey Business,“淡定熊”Okay Bears当前交易额排名第二,,Degenerate Ape Academy位列第三。[2022/10/11 10:30:37]
但两者激励模式很大区别。假如把两者当成是抽奖,同样1000w奖金池,赏金模式奖金一般都会在10w-30w刀封顶,黑客模式是100%奖金全拿走。这两种模式,同等投入,同样中奖概率,假设没有犯罪成本,毫无疑问黑客池输入/输出会跑赢。赏金模式就算加到10%,也跑不赢黑客池,除非把犯罪成本加入等式,有人建议把赏金比例和TVL挂钩,比如10%,是否会激励更多黑客转白帽??
比特币基金会主席Pierce:不能对未经测试的资产抱有太多信心:5月20日消息,美国非营利性组织比特币基金会主席Pierce表示,不能对未经测试的资产抱有太多信心。(金十)[2022/5/20 3:29:31]
?首先,没哪个defi协议能支付10%TVL的赏金,其次,遇到真黑客,他大概率还是愿意一黑到底而不会止步要10%。DeFi的安全更复杂问题在于除了代码层面,还有可组合风险攻击面上,DeFi本身随着整合增加,攻击面是四维增长的,定期静态安全审计加长期赏金,也无法覆盖不断扩大的攻击面DeFi安全是无限游戏,唯一靠谱的是在协议上减少外部依赖,最小化攻击面,尽量待在“自己的舒适区”,不乱做扩展。对开放系统来说,安全代价就是自由的代价
标签:EFIDEFIDEFLANAPi Network DeFiDeFi11defi communitysolana币今日价格行情
原文:《What’sNewwithZKs?》byWilliamM.Peaster编译:Kyle如果您深入了解加密世界,那么您已经听说过零知识证明及其应用已有一段时间了.
1900/1/1 0:00:00撰文:0xmin美国中小银行接连暴雷!3月8日,以加密货币友好著名的银行SilvergateBank宣布清盘,将所有存款退还客户.
1900/1/1 0:00:00从区块链层面出发,以太坊生命的初始阶段是单一的。这意味着在最初的几年里,Layer1以太坊主网全权负责执行自己的交易,促进自己的网络安全,并为自己的数据可用性提供服务.
1900/1/1 0:00:00金色财经报道,据华尔街日报报发文称,加密货币交易巨头Binance希望在GaryGensler成为美国证券交易委员会主席之前的几年聘请他担任顾问.
1900/1/1 0:00:00文章作者:JosephPolitano文章编译:Blockunicorn 在硅谷银行倒闭后,美联储向银行借出了3000亿美元的紧急资金,这是否足够?自2020年以来.
1900/1/1 0:00:001.金色观察|创新稳定币项目FraxFinance深入研究在快速发展的去中心化金融世界中,稳定币市场经历了显著的增长,越来越多样化.
1900/1/1 0:00:00