XMX:以出状况的Hegic为例，教你读懂DeFi安全审计报告_BTC

作者：

时间：

编者按：本文来自链闻ChainNews，撰文：MyCrypto，翻译：PerryWang星球日报经授权发布。对那些懒得打开PDF文档的读者，这里给大家概括一下「审计报告」。对那些根本一点不懂的小白来说：这是一份审计报告的摘要摘要中有投资预警阅读审计报告你需要字斟句酌。读这份摘要就清算多了。

第一部分：事实陈述

何时审计，用时多少天具体审计了什么由谁进行了审计就算是小白都知道这种规模的合同，一个工程师用时两天进行审计，不会让我买账。16个小时就想搞懂所有代码、找到bug，找到攻击方法，然后完事交差？

1.1一位熟悉系统底层架构和理念的专家面对总量很小、非常简单、语言非常漂亮的代码库，也许能做到这一点。此外，他们没有时间考虑代码的经济影响。

现场丨李礼辉：数字人民币或发展成为全球性数字货币:金色财经现场报道，10月27日，第六届区块链全球峰会于上海开幕，峰会上中国银行前行长李礼辉演讲表示，我国试点中的法定数字货币采用中心化管理和间接发行模式，采用“账户松耦合”加数字钱包的方式，具有脱网交易的技术优势，能够为公众提供安全性高、流动性好的支付工具，让日常生活更简单，也有可能跨境“溢出”，发展成为全球性数字货币。[2020/10/27]

1.2只进行了小型审计，可能是由于Hegic财力所限，我对此表示赞赏。但是，审计的目的是要避免发生坏事，不要将审计作为一种促销手段，出了问题不能说「不是我们的错，只能怪安全审计机构@trailofbits！」

1.3要改善审计的投资回报率，更简单的方式是让审计人员的工作变得更简单代码干净+恰当的论述使用所有免费工具来发现基本问题，以便专家可以专注于复杂的问题请他人帮忙查看代码，提出问题提供文件，提供摘要+重点/关注领域

第二部分：看看他们在寻找什么问题+找到了什么问题

值得注意的提示：有三个领域，也被称为「糟糕情况可能出现吗？」三个领域的答案都是「是Yes」，程度级别不同而已。另外他们认为这些风险与算法有关

声音 | 李礼辉：区块链的核心功能可以建立数字信任:由中国企业改革与发展研究会、中国产经新闻报社、网易财经联合主办的2020网易经济学家年会于12月22日在北京举行。会上，中行原行长李礼辉表示，区块链的核心功能是可以建立数字信任。一是可以通过数学方法解决信任问题，二是可以应用数字技术对人或物进行特征识别和时空定位，三是数字信任的主要优势是高效率、低成本的普惠性。李礼辉强调，目前，各个国家均未实现区块链技术的大规模应用。我国的区块链技术研发致力于突破规模化可靠应用瓶颈。我们应该实施数字经济国家战略，维护数字经济安全。具体而言，中国应该掌握自主可控的技术，加快标准化建设和制度创新，推进公共数据资源的整合和共享，加大力度保护数据安全和个人隐私。（中国产经新闻）[2019/12/23]

(审计报告图片中译)从资金池窃取财产以低于预期的行权价创建期权合约免费创建期权合约我们发现多数问题与算法有关，包括如果资金池代币的供应量低于资产供应量，攻击者可以吸干资金如果ETH价格低于1美元，期权合同行权价可以为0当流动性增加，资金池恶意参数可以允许0铸币有多个问题可能导致恶意合约所有者伤害Hegic用户，包括：通过费用收取来窃取期权资产

2.1稍后将详细介绍算法方面，但接下来看看@ChrisBlec所谓的「管理员漏洞」，比特币至上主义者会以此为例证发表所谓中心化目前优于DeFi的胡言乱语。他们说的都没有错。你可能不喜欢这个事实，但只能接受它。

声音 | 李礼辉：数字货币会形成跨越商业银行的金融体系:“2019金融改革与创新高级论坛暨北京大学曹凤岐金融发展基金第八届颁奖仪式”10月19日在京举办。中国银行原行长、人大财经委委员李礼辉在演讲中表示，数字货币会形成跨越商业银行的金融体系。它可能会从支付入手，进入储蓄，进入投资，进入融资和保险和资产管理领域，它可能意图对现在的金融机构取而代之。最后，如果我们的人民币不能纳入超主权的数字货币体系的话，我们也会面临未来的人民币国际化方面的挑战。（新浪财经）[2019/10/21]

有多个问题可能导致恶意合约所有者伤害Hegic用户，包括：通过费用收取来窃取期权资产将资金困在期权合约中，阻止流动性提供者撤资可以免费创建期权合约

2.2<这里插入有关去中心化的渐进论证>无论如何，你应该注意到这种可能性以及知道审计人员在上面花了时间。在一个全新的金融体系中发现所有的漏洞攻击方法，这16个小时中有多少时间被用于验证有效的、已知的攻击方法？

2.2只有16个小时找到所有攻击方法数学/密码学中的Bug比如重入攻击金融/经济方面的影响内部作恶者外部恶意攻击者意外错误/意外结果资金损失等等等等。16个小时不可能搞清楚这一切。绝无可能。

声音 | 互金协会李礼辉：区块链等数字技术的深度融合能够提高信用评价:据新浪财经消息，12月8日，以“探索金融与科技融合发展之道”为主题的2018第二届中国互联网金融论坛今日在京召开，中国互联网金融协会区块链研究工作组组长、中国银行原行长李礼辉表示，大数据、云计算、人工智能、区块链等数字技术的深度融合能够提高信用评价、风险定价和投资决策效率。为了更好地加强数字技术在驱动开放银行业务转型升级方面的作用，我们应该不断地推进大数据、人工智能、云计算、区块链等数字技术的集成，以效率为中心，重构金融服务流程，打造零距离、多维度、一体化的开放银行服务模式，全面提升金融服务的质效。[2018/12/8]

2.3审计机构永远不会说：「这些代码烂的像臭狗屎」。扪心自问，为什么他们指出蛛丝马迹。不要指望他们彻底告诉你想要的东西或他们自己的反应。这就是事情被忽略的完美例证，因为它没有成为Twitter热门话题：另外我们还发现，当资金池增加或减少资产时会出现账簿记录错误，没有体现出期权合约中的相关资产，因此攻击者可能窃取资金池中资产。

2.3我来帮你。Hegic内的合约并不清楚合约中的资产被谁以何种方式偷走。我实在不明白如果都不清楚这些情况，资金池还怎么运转。老人看手机脸。另外请注意：记账簿。

中国银行前行长李礼辉：区块链技术规模化应用取决于四方面 :中国银行前行长李礼辉在10日下午举行的博鳌亚洲论坛“分论坛：再谈区块链”上表示，区块链技术规模化应用取决于四方面：效率更高、成本更低、靠安全、制度。对于制度建设，盛松成认为，底层技术和法律建设同样重要，科技创新方面中国做的很快走的很快，但制度方面很慢的。科技创新很快，制度要跟上。[2018/4/10]

第三部分：推荐

这一直是最重要的部分，因为这里是审计机构字斟句酌的部分。在实际的审计报告中，会向Hegic指出需要解决的大量代码、漏洞及事情。但这篇摘要是供外部人了解所用的。是给我们普通人的。

由于发现的算法问题较多以及时间限制，无法进行深入的算法验证，(审计机构)TraitofBits推荐使用符号执行和fuzzing测试合约的变量。代码库中可能存在更多问题。另外TraitofBits作出以下推荐：未来开发利用crytic.io。采用该平台发现两个问题。评估和记录合约所有者特权验证和记录不同合约之间的资产记账评估和记录系统的套利机会推荐用户在保障资产的前提下使用提供资产和撤资功能