借着Euler黑客事件,聊聊DeFi的安全审计和安全。
大的DeFi协议基本上都经过多轮审计,我们前前后后5次审计费用百万刀级别大的协议常规审计每年都百万刀,但蓝筹DeFi没哪个没被黑过这里原因很简单,简单的数学问题从攻防来看,所有静态审计的输入和输出(发现bug)都是有限的。
除了常规审计,Euler还用了Certora做形式化验证,这个我们之前也用过,形式化验证能帮助穷尽“已知”路径的覆盖范围,但是无法穷尽“未知的未知”。DeFi是一个开放系统,对于黑客来说,它的输入是无限的,输出也是无限的。假设把安全攻防看成挖矿,你守方用三五台机器算哈希挖矿。
基于OP Stack构建的实验性Rollup框架Keystone已开源:6月1日消息,基于 OP Stack 构建的实验性 Rollup 框架 Keystone 已开源,Keystone 内置实体组件系统,游戏逻辑用 Go 语言编写,ECS 执行速度可以并行,此外 Solidity 智能合约可以通过预编译函数与底层 ECS 状态进行交互,包括获取和设置数据。[2023/6/1 11:51:48]
攻方无数机器时刻在算哈希,只要算对一次就赢了;这个输赢面对比是明显的。静态的安全审计,由于输入输出固定,无法覆盖已知的未知,更无法覆盖未知之未知。所以出现另一种审计,叫开发式竞争型审计,如Code4rena,审计奖金池固定,但是输入在一定时间内是弹性的,所有人都可以参加,谁发现bug。
欧易OKEx独家发放1000份NBA Top Shot球星卡:3月1日,欧易OKEx官方消息称,欧易OKEx携手FLOW举办的“充值或交易FLOW,独家赠送1,000份绝版NBA Top Shot 球星卡”活动于今日圆满结束,平台已开始陆续向中奖用户发放1000份NBA Top Shot 球星卡。
据欧易OKEx行情数据显示,FLOW今日24h价格短时触达23.5USDT,24h最高涨幅超20%,现报价为21.95USDT。公开资料称,FLOW是一个快速,去中心化,对开发人员友好的唯一将可用性改进融入协议层的区块链。它的生态系统伙伴囊括华纳音乐,育碧,NBA和UFC等全球IP品牌。[2021/3/1 18:03:30]
按照严重程度,分奖金,这个方式是让审计师/白帽去卷,可以扩大覆盖面,但总体输入依然固定,远远不够。最后是完全开放的模式,那就是赏金网络,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平台,我建议每个DeFi在上面发bounty,亲测效果十分明显。Immunefy的奖金项目方会给非常高。
欧易OKEx上线FLOW 并开启独家赠送1000张NBA Top Shot绝版球星卡活动:2月23日,欧易OKEx官方公告宣布上线FLOW,现已开放充值,FLOW/USDT市场将于今日13:00开放交易,FLOW/BTC、FLOW/ETH市场将于今日14:00开放交易,并于2月24日18:00开放FLOW提现。欧易OKEx为了庆祝FLOW上线,联合FLOW举办了“独家赠送1,000份绝版NBA Top Shot 球星卡 + 50,000USDT”活动。
公开资料显示,FLOW是一个快速,去中心化,对开发人员友好的唯一将可用性改进融入协议层的区块链。[2021/2/23 17:42:41]
比如最高已支付的是Warmhole的千万美金。这次出事的Euler也曾放出100w刀赏金,但依旧没发现这次的漏洞。赏金模式在输入输出上也是开放式的,这个类似于黑客的攻击模式。
但两者激励模式很大区别。假如把两者当成是抽奖,同样1000w奖金池,赏金模式奖金一般都会在10w-30w刀封顶黑客模式是100%奖金全拿走这两种模式,同等投入,同样中奖概率,假设没有犯罪成本,毫无疑问黑客池输入/输出会跑赢。赏金模式就算加到10%,也跑不赢黑客池,除非把犯罪成本加入等式。
有人建议把赏金比例和TVL挂钩,比如10%,是否会激励更多黑客转白帽?首先,没哪个defi协议能支付10%TVL的赏金,其次,遇到真黑客,他大概率还是愿意一黑到底而不会止步要10%。DeFi的安全更复杂问题在于除了代码层面,还有可组合风险。
攻击面上,DeFi本身随着整合增加,攻击面是四维增长的,定期静态安全审计加长期赏金,也无法覆盖不断扩大的攻击面DeFi安全是无限游戏,唯一靠谱的是在协议上减少外部依赖,最小化攻击面,尽量待在“自己的舒适区”,不乱做扩展对开放系统来说,安全代价就是自由的代价。
标签:ETHLIDLASHTORsETH2价格VSolidusSlash ProtocolTornado Finance
刚从Denver回来,过去的一周精彩不已。分享一下个人感受,和整个会议传递的新趋势。整体而言,EthDenver整体感受非常好,远胜Consensus,Token2049.
自2022年底OpenAI面向公众推出ChatGPT以来,人工智能一直是热门话题。人类提前收到了圣诞礼物,拥有了一个能回答大多数问题的机器!它是最快发展到一亿用户的应用,就像许多风险投资支持的创.
介绍 从?LSD?火热至今,有很多优秀文章对?LSD?和?DVT?机制做了讲解:LidoFinance?的先发优势和潜在风险,以及v2将会给?Lido?带来的质变.
1、MEV的定义、背景 MEV是指通过在区块内重新排序、插入和审查交易从用户那里提取的价值,例如套利、清算等。最根本上可以理解为“在创建新区块时,通过调整Tx的排序从而获得的额外收益”.
当OPStack这个方案被提出时,市场对于这项技术反响平平。归根结底,一来是当时正处于FTX崩溃的余波中,市场信心不足;二则是在Rollup竞争中,Arbitrum始终占据着上风,OPStack.
昨晚,Layer?2?扩容方案?Arbitrum?宣布将于?3?月?23?日向其社区成员空投治理代币?ARB.