MANA:CertiK：我们每天遇到有漏洞的DeFi合约概率是多少？审计后又有多大概率被攻击？_MAN

身在新冠日增确诊10万例美国的小编，因为硬核原因不得不搭乘飞机出门。出行前一直担心是否会被感染，途中却被飞机遇到猛烈气流的颠簸唬住了。虽然心里默默安慰自己飞机空难发生的概率非常低，感染新冠肺炎的概率也没那么高，但还是想起来了四个字：“墨菲定律”

在现代科技发展的大潮流下，锁定在区块链领域里的资产愈发庞大。隐藏在计算机背后的危机也随着区块链的发展日益展露狰狞的面目。智能合约当中，任何一个小bug，都可能会给项目或者投资者造成无法挽回的损失。受此警示之下，CertiK安全团队利用CertiK天网系统，对自北京时间2020年12月4日0时至24时之间，新加入Uniswap的代币智能合约进行了监控分析。在本次分析的时间段内，一共产生了29个智能合约代币项目。经过CertiK的Skynet分析，总计发现16个智能合约存在漏洞或者缺陷！大概有55%的智能合约项目或多或少存在漏洞或者缺陷，其中大约有10%存在严重漏洞，45%存在项目拥有者权限过大，权限中心化过高的缺陷。本次分析的智能合约项目名称和合约地址如下：

数字资产研究院副院长孟岩：区块链与隐私计算必将走上前台:金色财经现场报道，7月5日，由巴比特×算力智库联合主办的《隐私计算：让数据安全有序流动起来》主题会议上，数字资产研究院副院长、通证思维实验室发起人孟岩做了主题为《数据资产化时代的区块链治理》的演讲。孟岩表示，目前互联网平台以“免费试用产品”为价格，买断用户的数据生产要素支配权。

要解决这一难题，必须要让数据要素配置市场化，让数据价值交易起来，而不是被买断支配，在这方面区块链与隐私计算必将走上前台。[2020/7/5]

分析结果如下：

虽然难以通过一天的情况来预估所有时间范围内的智能合约安全情况，但窥一斑而知全豹。下面主要针对三个相对重要的漏洞进行分析：nostromo.finance(NSTR)

声音 | 孟岩：Facebook的Libra假以时日会成为全球商业银行:在今日数字资产研究院主办的《Libra:一场牵动全球的智慧、技术、经济、、权力的全方位博弈》线下研讨会上，数字资产研究院学术与技术委员会委员孟岩发表了《Facebook数字货币：动机、意义和后果》的主题演讲。孟岩认为，假以时日Facebook会成为全球性的商业银行。他还指出Libra相比支付宝有三大优势：全球性、高性能、易扩展。[2019/6/20]

图1:burnFrom()函数图1中burnFrom函数受到ownerOnly修饰词限制，只允许项目管理者执行该函数。该函数内部逻辑实现允许通过设置account,balance和subtractValue的值，间接对_totalSupply和给定账户的_balances值进行任意修改。PowerPool.Finance(CVP)

声音 | CSDN副总裁孟岩：区块链+通证经济将带来新的协作模式:据筱静观察消息，孟岩在接受采访时表示，区块链+通证经济密不可分，衍生出的新的商业模式也会逐步应用于各行各业，其最大的优势就是增加协作强度，扩大协作范围。此外，区块链+通证经济可以极大的降低交易费用，这是最值得关注和挖掘的特点，不应该错过机会。通证经济的发展还需要更宽容的看待。[2019/1/17]

图2:powerpoolttl合约中回退函数图2中为powerpoolttl合约的回退函数。当外部用户对该智能合约进行调用，如果该调用中没有调用合约中的任何一个函数，或者仅仅转移了代币到该合约中，则回退函数会被调用。70行的逻辑显示，当回退函数被调用时，调用中被转移到合同中的代币会被直接转移到teamAddress的地址中。omphalos.co(OMPL)

该项目中可以通过执行transferFrom()函数进行对代币转移，根据图3中transferFrom()函数定义，211行需要执行getFee函数决定每次代币转移需要扣除的费用。从图3中getFee()函数的定义可以看到，决定费用高低的逻辑是取决与241行调用的Management.getFee()函数的定义。当前Management.getFee()函数的逻辑定义是根据manager变量中存储的地址值的不同而进行改变。当前manager变量中存储的地址值如图6所示。然而manager变量中存储的地址值所指向的智能合约并未在etherscan上被认证，因此无法得知该智能合约的源代码，继而无从得知Management.getFee()函数的定义。由于Management.getFee()函数背后的逻辑无法得知，因此项目拥有者有可能通过操作Management.getFee()函数返回值的方式，调整每次代币转移的费用，进行恶意操作等。

声音 | 孟岩：很多实际的应用项目都可以通过多通证方式解决:8月22日下午，币改试验区发起人、CSDN副总裁孟岩在题为“通证经济系统设计v2.0”的演讲中分享了他对通证经济的几点思考，其中重点讲到多通证结构。通证结构即一个基础之上允许所有个体发通证。这些通证能在市场上自由经营，需要有一些内部的交易所，允许所有的通证在交易所里能够实时自由的交换，通过一个结构模型进行递归和构造，构造出非常复杂的宏大系统。将来，很多实际的应用项目都可以通过多通证方式解决。[2018/8/23]

图3：transferFrom()函数

图4：StandardToken合约中的getFee()函数

金色独家 CSDN副总裁孟岩：未来更多国家会重新评估加密数字货币和ICO:昨日泰国颁布《数字资产法》，其证券监管机构预计将在本月晚些时候批准5个ICO，就此事金色财经独家访问了柏链道捷CEO、CSDN副总裁孟岩，孟岩表示：最近从印度央行也传出声音，说在反思之前对待ICO简单否定的态度，现在泰国传来这样的消息，我相信在未来一段时间越来越多的国家会重新评估加密数字货币和ICO，这是大势所趋。

但我们应该看到，之所以会有这种转变，主要还不是因为这些国家的金融当局打心里有多么崇尚创新、追求进步，恐怕更多是在美联储加息、欧洲退出QE的国际货币金融大背景下，围绕如何化解困局的而进行的一些探讨和探索。

不过历史往往就是这样，大方向在那里，你主动也好，被动也好，不情不愿也好，迟早是会走过去的。

我对于未来加密数字货币，以及基于智能合约和数字资产的新的融资及资金管理方式充满信心。我们这一代人将在区块链上创建新的商业模式，新的协作模式，新的市场主体，哪个国家先顺应这个趋势，哪个国家就能享受这个时代的先发红利。

至于未来ICO监管怎么走，我不关心具体过程，这是一个全球市场，大趋势不可阻挡，区块链领域新的融资模式，不仅限于ICO，逐渐走向开放，走向合规，走向诚信，这是必然发生的。[2018/6/15]

图5：Management智能合约接口与getFee函数接口

图6：当前manager变量存储的地址值

图7：当前manager变量存储的地址值指向的智能合约大家都知道2020年最知名的一个例子——DeFi项目Yam于北京时间8月12日3:00启动后，尽管该项目的博客文章警告称尚未对其合约进行任何审计，但疯狂的Yieldfarmers在不到一小时内向该项目存入了7600万美元。后期不出意料，Yam在短短36小时内，数亿美元因为一个小小的漏洞，消失于无形。安全审计现在已经是高质量DeFi项目的标配。当前DeFi项目热潮持续不减，很多项目为了抓住热点与机遇，在未经严格测试和审计的情况下便匆忙上线。这些项目中，大部分的漏洞是无法通过常见的测试方法和工具来发现的。只有寻找专业的审计专家进行严谨的数学模型证明，才可以发现该漏洞。形式化验证是当前唯一被证明可以产生可信数学证明的软件验证方法。因此，采用基于形式化验证方法的区块链检测工具来验证项目中的安全漏洞，应成为每一个项目在上链前的必经步骤。每一个项目受到攻击或是损失资产的原因，都是因为一个非常小的代码漏洞。计算机领域中，平均每1000行代码中，会有1-25个bug。也就是说，这个概率的区间是千分之一至百分之二点五。那么那些已经接受安全审计并通过的项目呢？CertiK选取了三家公开审计信息的安全公司进行了数据统计。此次统计了这三家公司的共计377个被审计的项目。其中有8个项目在至少被审计过一次的情况下，仍旧遭受到了黑客攻击。这8个已审计却被攻击的项目，整整损失了6900万美元。根据此三家审计公司的数据来计算审计后被黑客攻击的比例是：8/377=2.12%代码产生bug的几率和项目已通过审计但仍旧被攻击的概率大抵都约等于2%，在这里举个简单的例子：根据SquareTrade数据统计显示——在美国，短短一小时内就有5761个手机屏幕壮烈牺牲。

假设，美国人均一部手机，并且没有重复摔同一部手机的癖好。那么50天内，一位美国小伙儿有2%的几率把手机屏幕摔碎。但是一部手机的使用寿命肯定不止50天，如果用一年呢？这个概率骤增为15%！使用超过三年半，概率就超过了50%！这就印证了上文中的墨菲定律——小概率事件的必然性：时间基数够长的情况下，坏事总会轮到你的。而空难发生的几率是五百万分之一。相比之下，代码产生漏洞的概率以及项目已通过审计但仍旧被攻击的概率是空难的整整12.5万倍！如果在飞机颠簸的时候，你害怕飞机失事，那么不妨用超出10万倍的担心，去保护你的项目。这么对比过后，你还觉得项目不需要额外的保障吗？为之于未有，制治于未乱。除静态审计之外，动态的安全防护更能够防范攻击事件。CertiK开发的动态安全工具：快速扫描——安全预言机——CertiKShield，从预警到实时评测到保险计划，可以全方位为项目方提供安全保障。欢迎搜索微信关注CertiK官方微信公众号，点击公众号底部对话框，留言免费获取咨询及报价！

标签：MANAMANETFGETAMANABusinessmanTokenmetfi币价格白嫖steamtogetherbnb

POL币最新价格热门资讯