链资讯 链资讯
Ctrl+D收藏链资讯

DEF:借着Euler黑客事件 聊聊DeFi的安全审计和安全_BLO

作者:

时间:

大的DeFi协议基本上都经过多轮审计,我们前前后后5次审计费用百万刀级别大的协议常规审计每年都百万刀,但蓝筹DeFi没哪个没被黑过?这里原因很简单,简单的数学问题从攻防来看,所有静态审计的输入和输出(发现bug)都是有限的。

除了常规审计,Euler还用了Certora做形式化验证,这个我们之前也用过,形式化验证能帮助穷尽“已知”路径的覆盖范围,但是无法穷尽“未知的未知”。DeFi是一个开放系统,对于黑客来说,它的输入是无限的,输出也是无限的。假设把安全攻防看成挖矿,你守方用三五台机器算哈希挖矿攻方无数机器时刻在算哈希,只要算对一次就赢了;这个输赢面对比是明显的。静态的安全审计,由于输入输出固定,无法覆盖已知的未知,更无法覆盖未知之未知。

Injective测试网正在集成外汇功能:金色财经报道,基于Injective构建的DApp正在集成链上外汇功能并在测试网上线EUR代币,以推出无缝的外汇产品。由Injective提供支持的真正去中心化的RWA市场正在初具规模。[2023/3/29 13:32:44]

所以出现另一种审计,叫开发式竞争型审计,如Code4rena,审计奖金池固定,但是输入在一定时间内是弹性的,所有人都可以参加,谁发现bug按照严重程度,分奖金,这个方式是让审计师/白帽去卷,可以扩大覆盖面,但总体输入依然固定,远远不够。最后是完全开放的模式,那就是赏金网络,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平台,我建议每个DeFi在上面发bounty,亲测效果十分明显。Immunefy的奖金项目方会给非常高。比如最高已支付的是Warmhole的千万美金。这次出事的Euler也曾放出100w刀赏金,但依旧没发现这次的漏洞。赏金模式在输入输出上也是开放式的,这个类似于黑客的攻击模式。

数据:标记为Robinhood的钱包今日向“DDuXGM”地址转入12亿枚DOGE:金色财经报道,据Lookonchain监测,被标记为Robinhood(也可能是Elon Musk)的钱包今日再次向“DDuXGM”地址转入12亿枚DOGE(约9850万美元),最后一次转入是在2022年12月20日。[2023/2/11 12:01:13]

但两者激励模式很大区别。假如把两者当成是抽奖,同样1000w奖金池,赏金模式奖金一般都会在10w-30w刀封顶,黑客模式是100%奖金全拿走。这两种模式,同等投入,同样中奖概率,假设没有犯罪成本,毫无疑问黑客池输入/输出会跑赢。赏金模式就算加到10%,也跑不赢黑客池,除非把犯罪成本加入等式,有人建议把赏金比例和TVL挂钩,比如10%,是否会激励更多黑客转白帽??

OpenSea与Twitter未能达成合作,Magic Eden可能成为Twitter合作伙伴:11月5日消息,据知情人士透露,OpenSea和Twitter讨论了在Tweet Tiles上的合作,但未就条款达成一致。Magic Eden成为可能Twitter的合作伙伴。

此前,Magic Eden超过OpenSea成为月交易量最大的NFT市场。(TheBlock)[2022/11/5 12:19:46]

?首先,没哪个defi协议能支付10%TVL的赏金,其次,遇到真黑客,他大概率还是愿意一黑到底而不会止步要10%。DeFi的安全更复杂问题在于除了代码层面,还有可组合风险攻击面上,DeFi本身随着整合增加,攻击面是四维增长的,定期静态安全审计加长期赏金,也无法覆盖不断扩大的攻击面DeFi安全是无限游戏,唯一靠谱的是在协议上减少外部依赖,最小化攻击面,尽量待在“自己的舒适区”,不乱做扩展。对开放系统来说,安全代价就是自由的代价

标签:DEFEFIDEFIBLOMetaegg DeFiRetro DEFIPINETWORKDEFI价格PABLO币

以太坊价格热门资讯
CFT:金色午报 | 3月15日午间重要动态一览_SEC

7:00-12:00关键词:Lido、OP、Voyager、Circle、高盛1.Lido预计5月中旬进行主网升级;2.OPLabs发布Optimism技术去中心化路线图;3.

CFT:美国监管方动手 CFTC指控币安和赵长鹏明知故犯、非法经营 宣称对整个币圈示警_加密货币

CFTC称,币安明知客户位于美国却为牟利无视当地法规,未在CFTC注册就提供比特币等属于商品的数字资产相关期货、期权,指导客户利用VPN规避法规要求.

CHA:最容易受ChatGPT影响的职业_chatcoin币未来价值

作者:华尔街日报LaurenWeber,LindsayEllis编译:比推BitpushNewsLinnLiu一项新的研究表明,会计师是职业生涯最容易受到生成式人工智能技术影响的职业之一.

区块链:让Aptos成为新公链佼佼者的8大创新_EFI

为什么Aptos生态可以实现蓬勃发展?能够为所有人提供流畅的体验?Aptos网络发展的源动力是什么?本文将为你介绍Aptos网络发展的8项源动力.

TOS:盘点4个提供ARB流动性的DEX:谁的收益率最高?_BER

原文作者:DeFiMadeHere原文编译:深潮TechFlow作者列出了几个提供ARB流动性的DEX,包括KyberNetwork、TraderJoe、Uniswap和Camelot.

EFI:AC Capital Panel:新兴潜力赛道—全链游戏FOCG玩法初探_GAM

Xtoearn模式的Gamefi已经成为过去式,Gamefi行业在探索新的叙事和增长点,全链游戏概念悄然升起,由于其免许可、可互操作、可组合性备受青睐,也可以和其他DeFi、NFT.