▼▼▼
刘锋:近几天余弦参与处理Lendf.me被盗资金的追讨,可以和我们讲讲这几十个小时的经历吗?
余弦:第一步,快速定位威胁情况和攻击细节,这样可以快速给出最正确的漏洞原因,比如这次事件中,本质问题是Lendf.Me的核心代码中存在重入攻击漏洞,而这个漏洞又需要结合基于ERC777代币的组合才能发生。知道漏洞本质及攻击手法后,在链上是很容易知道攻击者具体盗走多少资产。
第二步,思考如何追回。在4月19日下午,dForce、星火与imToken安全团队在线下集结,并与慢雾安全团队远程连线成立“临时安全团队”,开始进行资产追回。因为信息量巨大且杂乱,集中讨论可以快速的信息对称,加快速度。
PEAKDEFI针对俄罗斯用户进行营销,面临公众质疑:金色财经报道,西汉姆联与DeFi加密平台PEAKDEFI的新合作正因积极向俄罗斯用户推广其加密货币服务而面临质疑。足球金融专家Martin Calladine发现,西汉姆联与其加密货币合作伙伴仅使用英语和俄语为主要语言在Twitter上推广其加密服务,这引发人们对PEAKDEFI的怀疑。
据悉,西汉姆联于2022年5月与DeFi加密平台PEAKDEFI合作。总部位于迪拜的PEAKDEF成立于2020年,提供加密钱包和各种加密股权和投资基金。[2022/9/8 13:15:27]
4月20日,基于黑客在攻击前后留下的痕迹,“临时安全团队”成功确定了准确的黑客画像,并开始与国内外各方资源进行交叉对比,获得突破性线索,离黑客越来越近。4月21日下午,在黄金48小时内,黑客在重重压力下,与dForce主动沟通,并开始归还部分资产。继续沟通后,所有资产被成功找回,这是攻击发生后的第三天。这个过程不仅是“临时安全团队”发挥了关键作用,还得到了非常多加密社区朋友直接与间接的帮助。
当前DeFi协议总锁仓量为2563.2亿美元:12月8日消息,据DefiLlama数据显示,目前DeFi协议总锁仓量2563.2亿美元,24小时减少0.45%。锁仓资产排名前五分别为CRV(209.1亿美元)、MakerDAO(193亿美元)、CVX(159.7亿美元)、AAVE(146.8亿美元)、WBTC(129.8亿美元)。[2021/12/8 12:59:24]
刘锋:对于这次Lendf.me被攻击事件,大家应该吸取什么教训?
余弦:任何新事物在进化过程中都会有安全风险,这是进化法则,越早期这种风险越大,最终要么死亡,要么就会趋于某种比较稳定的平衡。
基于这种心理准备,我们来看DeFi,有几个比较重要的风险:技术安全风险、业务安全风险、合规安全风险,我们简单展开:
基于Solana的DeFi衍生品交易平台Drift Protocol已在主网上线:12月5日消息,基于Solana的DeFi衍生品交易平台Drift Protocol近日已经在主网上线,面向所有交易者开放。用户可以在Solana主网上交易SOL、BTC和ETH永续掉期。
据此前报道,Drift Protocol完成380万美元种子轮融资,Multicoin Capital领投,Jump Capital、Alameda Research等参投。[2021/12/5 12:52:34]
1.技术安全
首先看公链本身是否久经考验,足够安全,以太坊基本满足这点;然后看智能合约的设计是否足够安全,Solidity并不太满足;再看相关的标准实现是否足够安全,这里最大的问题在于很多时候一个“特性”会变成一种“缺陷”;再看基于标准的成熟框架是否安全,如OpenZeppelin就很优秀;最后看项目方开发出来的是否真的严格安全实践,这个就非常不好说了,很明显,开发的质量是参差不齐的。
币赢CoinW将于7月17日19:00在DeFi专区上线SNX:据官方消息,币赢CoinW将于7月17日19:00在DeFi专区上线SNX,开通SNX/USDT交易,并举办充值送SNX活动;据悉,Synthetix(旧称:Havven)专为工程师而设计,旨在构建去中心化和无信任网络。[2020/7/17]
2.业务安全
业务决定于DeFi的设计,比如抵押借贷、闪贷、交易等等。业务需要特别考虑的是安全风控,比如暴跌暴涨怎么办?突然出现的大额转币如何处理?如何解决第三方安全风险?
3.合规安全
如果是一个灰色或黑色边界的DeFi,一不小心被一些国家的执法机构打掉或自己跑路了,怎么办?
另外特别补充一些和用户角度有关的判断:
观点:对于DeFi来说 快速贷款可能会带来比预期更大的风险:ConsenSys Diligence联合创始人Gon?aloS表示,对于快速贷款,一些安全假设完全被打破了,快速贷款可以被用来破坏DeFi协议。他接着补充说,在某种意义上,这些可能已经发生了。有些鲸鱼有能力实施这样的攻击,但这样做有名誉风险。但是,Gon?aloS也指出,尽管仍然存在此类漏洞,但社区已做出积极响应并采取了积极措施,防止此类攻击再次发生。(AMBcrypto )[2020/3/16]
1.项目方内部有实力不错的安全团队或有丰富安全经验的核心人物把关
2.项目方近半年内被第三方专业安全机构安全审计并公开安全审计结果
3.项目方有长期持续紧密合作的第三方专业安全机构
4.项目方核心成员对待安全的态度坦然开放,勇于认错并把安全放在第一位
5.项目方对安全工作充满敬畏与尊重
基于上面这5点可以延伸出一些事实,比如:口碑、真实用户数、数据透明度、安全透明度等等。
刘锋:大家愿意去用DeFi产品,有很大原因是担忧中心化金融服务平台的安全性问题,希望通过DeFi讨个平安。但是今年一连串DeFi平台和产品被攻击,这让人对DeFi反而不信任了,我觉得有点遗憾,你怎么看?
余弦:我的看法不一样,大家来看看历史。
具体细节这里看:https://hacked.slowmist.io/
大家会看到中心化、去中心化都有非常惨重的历史案例,但其实不必因此而打击信心,DeFi一定有自己的定位,但DeFi也别想着一统天下,同样的话也适合CeFi,未来应该会看到更多DeFi+CeFi的混合体出现。而且,DeFi其实并不一定需要完全去中心,这是我的个人看法。
我是黑客,这些在我眼里都没有绝对的安全,都有许多薄弱点,但是黑客不都是坏的,我们更希望是往安全的方向去进化,但我们在对抗时,必须有足够的攻击思维。
刘锋:观众提问,对DeFi合约审计的作用有多大?能保证足够安全么?是否经过了审计的defi项目就值得信任呢?
余弦:DeFi安全审计是安全策略的第二层,第一层是DeFi开发安全,这是项目方的事。DeFi安全审计在第二层可以规避不少问题,将安全防御水平提高一个档次。但之后还有第三层,也就是更新迭代持续运营的安全,这个一不小心就麻烦了。只能说,经过安全审计的项目,可以让人更放心,但也一定都有黑天鹅——来自未来的攻击。所以,如果安全审计已经超过半年,那就得注意了。
刘锋:观众提问,大多数知名DeFi协议都是以某种形式被中心化控制的,虽然这种方式在安全性上有些好处,怎样才能避免管理员滥用自己的特权,或者说减少相关风险?
余弦:这个是人性的问题,有的可以技术解决,有的解决不了。技术上通过类似DAO的方式来控制,但这又会产生新的问题,DAO的效率太低就麻烦了。但至少有一点项目方需要做的是透明,资产透明,权限透明,决策透明等等,让社区看得见。
刘锋:观众提问,有没有一种方案,在用户和合约之间建中间件,这个中间件来做安全处理?
余弦:这个不知道,需要试验,但我最近有一个想法,大家可以看看:https://firewallx.io/
这个防火墙是构建在EOS主网上的,核心是智能合约实现。以太坊上,ERC777这种偏复杂的也许也可以这样做,但还是需要试验。
刘锋:观众提问,代码的安全问题几乎不可避免,DeFi是不是需要辅以更成熟的风控机制,来避免大的损失?因为DeFi的魅力是去中心化,是智能合约,但是受攻击后的修复和自己追讨,看起来完全是人和人之间的博弈了。
余弦:追回是个很难的事,但比较有意思的是,今年开始可能会提高成功率,原因是各国司法、执法流程上开始支持加密货币了。
非常感谢参与今晚MathShow#001活动的“show”友们,也感谢慢雾的创始人余弦为我们带来的关于DeFi的安全知识饕餮盛宴,为区块链生态安全贡献自己的力量。祝慢雾越来越好。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。