月亮链 月亮链
Ctrl+D收藏月亮链
首页 > BNB > 正文

DEFI:杨民道:从Euler黑客事件,漫谈DeFi的安全审计和安全_Definex

作者:

时间:1900/1/1 0:00:00

借着Euler黑客事件,聊聊DeFi的安全审计和安全。

大的DeFi协议基本上都经过多轮审计,我们前前后后5次审计费用百万刀级别大的协议常规审计每年都百万刀,但蓝筹DeFi没哪个没被黑过这里原因很简单,简单的数学问题从攻防来看,所有静态审计的输入和输出(发现bug)都是有限的。

除了常规审计,Euler还用了Certora做形式化验证,这个我们之前也用过,形式化验证能帮助穷尽“已知”路径的覆盖范围,但是无法穷尽“未知的未知”。DeFi是一个开放系统,对于黑客来说,它的输入是无限的,输出也是无限的。假设把安全攻防看成挖矿,你守方用三五台机器算哈希挖矿。

法国立法者正在起草一项针对NFT的定制法案:金色财经报道,法国立法者正在起草一项针对NFT的定制法案,并为在虚拟游戏中具有货币化价值的数字对象建立护栏。关于web3游戏中NFT的一套新规则的协议可能会在几个月内达成。该框架被称为JONUM,已在法国议会上院通过一读。它于7月移交给国民议会,立法者将在暑假后进行讨论。[2023/8/13 16:23:20]

攻方无数机器时刻在算哈希,只要算对一次就赢了;这个输赢面对比是明显的。静态的安全审计,由于输入输出固定,无法覆盖已知的未知,更无法覆盖未知之未知。所以出现另一种审计,叫开发式竞争型审计,如Code4rena,审计奖金池固定,但是输入在一定时间内是弹性的,所有人都可以参加,谁发现bug。

数字资产托管商Hex Trust在法国注册,以扩大欧洲业务:8月2日消息,数字资产托管商 Hex Trust 已获得法国金融市场管理局 (AMF) 和审慎监管局 (ACPR) 的注册,提供数字资产托管、购买、销售和交易服务。理论上,由于欧盟的 MiCA 法规,注册应能使其更容易在整个欧盟获得必要的注册和许可。

此前,Hex Trust 于去年六月获得了意大利 Organismo Agenti e Mediatori (OAM) 的同等注册。[2023/8/2 16:13:56]

按照严重程度,分奖金,这个方式是让审计师/白帽去卷,可以扩大覆盖面,但总体输入依然固定,远远不够。最后是完全开放的模式,那就是赏金网络,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平台,我建议每个DeFi在上面发bounty,亲测效果十分明显。Immunefy的奖金项目方会给非常高。

Zodia Custody将与Blockdaemon合作向机构提供加密质押服务:6月6日消息,渣打银行子公司、加密货币托管机构 Zodia Custody 将通过与基础设施提供商 Blockdaemon 合作向机构客户提供加密质押服务。[2023/6/6 21:19:04]

比如最高已支付的是Warmhole的千万美金。这次出事的Euler也曾放出100w刀赏金,但依旧没发现这次的漏洞。赏金模式在输入输出上也是开放式的,这个类似于黑客的攻击模式。

但两者激励模式很大区别。假如把两者当成是抽奖,同样1000w奖金池,赏金模式奖金一般都会在10w-30w刀封顶黑客模式是100%奖金全拿走这两种模式,同等投入,同样中奖概率,假设没有犯罪成本,毫无疑问黑客池输入/输出会跑赢。赏金模式就算加到10%,也跑不赢黑客池,除非把犯罪成本加入等式。

有人建议把赏金比例和TVL挂钩,比如10%,是否会激励更多黑客转白帽?首先,没哪个defi协议能支付10%TVL的赏金,其次,遇到真黑客,他大概率还是愿意一黑到底而不会止步要10%。DeFi的安全更复杂问题在于除了代码层面,还有可组合风险。

攻击面上,DeFi本身随着整合增加,攻击面是四维增长的,定期静态安全审计加长期赏金,也无法覆盖不断扩大的攻击面DeFi安全是无限游戏,唯一靠谱的是在协议上减少外部依赖,最小化攻击面,尽量待在“自己的舒适区”,不乱做扩展对开放系统来说,安全代价就是自由的代价。

标签:DEFIDEFEFIUSTDefinexDEFILANCER价格IDEFIBraintrust

BNB热门资讯
ARB:四种为ARB估值的方法_Baby Bitcoin

昨晚,Layer?2?扩容方案?Arbitrum?宣布将于?3?月?23?日向其社区成员空投治理代币?ARB.

1900/1/1 0:00:00
GMX:DODO Research:一文速览 GMX 的挑战者们_ELA

自22年GMX代币上线币安后,GMX的各项数据接连创下新高。截至目前,GMX的平台总交易量已超过1000亿美金,AUM超10亿美金,独立地址超过16万,分发给用户的费用超过1亿美金.

1900/1/1 0:00:00
NFT:综观蓝筹项目表现,这些NFT正面临洗牌危机_DOO

当下,蓝筹NFT之间正悄然出现分化。即便曾一度引发GasWar,但不少头部NFT项目却因未能形成长期品牌叙事和社区赋能的增长飞轮,而使其价值难以支撑,持续下跌的价格和交易量也体现了这点.

1900/1/1 0:00:00
ZKP:利用ZK技术构建Web3产品:部署、实施和改进_ARK

零知识证明正逐渐成为未来十年的一项根本性的变革技术。在Web3中,该技术已经解决了可扩展性和隐私方面的主要瓶颈;这是令人兴奋的区块链的两个主要痛点.

1900/1/1 0:00:00
NFT:长推:蓝筹的整体下跌,但仍看好NFT赛道的原因_des币种

注:本文来自@0xDanielWeb3推特,MarsBit整理如下:近期NFT市场相当冷清,甚至已经有人开始说NFT就是小图片类型的Meme币,都会归零。币圈总是这样周期性的唱多和唱衰,习惯了.

1900/1/1 0:00:00
WEB:Web3“圈地运动”,谁都无法视而不见_web3域名注册官网

前言:春蚕不念秋丝、夏蝉不见冬雪。不管你有没有看到,Web3就在你眼前。300万年前,旧石器时代开始,猿人制作出了最早的石头器具,进而用这些石器猎杀动物并切肉烧食;2万年前,中石器时代开始,人类.

1900/1/1 0:00:00