借着Euler黑客事件 聊聊DeFi的安全审计和安全_EFI:WEB

大的DeFi协议基本上都经过多轮审计,我们前前后后5次审计费用百万刀级别大的协议常规审计每年都百万刀,但蓝筹DeFi没哪个没被黑过?这里原因很简单,简单的数学问题从攻防来看,所有静态审计的输入和输出(发现bug)都是有限的。

除了常规审计,Euler还用了Certora做形式化验证,这个我们之前也用过,形式化验证能帮助穷尽“已知”路径的覆盖范围,但是无法穷尽“未知的未知”。DeFi是一个开放系统,对于黑客来说,它的输入是无限的,输出也是无限的。假设把安全攻防看成挖矿,你守方用三五台机器算哈希挖矿攻方无数机器时刻在算哈希,只要算对一次就赢了;这个输赢面对比是明显的。静态的安全审计,由于输入输出固定,无法覆盖已知的未知,更无法覆盖未知之未知。

前FTX工程总监Nishad Singh 370万美元度假屋遭美国政府没收:3月10日消息,前FTX工程总监Nishad Singh去年10月在圣胡安群岛购买价值370万美元的度假屋,现已被美国政府没收。

此前报道,3月1日,前FTX工程总监Nishad Singh对美国刑事指控认罪。Alameda首席执行官Caroline Ellison和FTX首席技术官Gary Wang分别承认了七项和四项刑事指控。[2023/3/10 12:54:25]

所以出现另一种审计,叫开发式竞争型审计,如Code4rena,审计奖金池固定,但是输入在一定时间内是弹性的,所有人都可以参加,谁发现bug按照严重程度,分奖金,这个方式是让审计师/白帽去卷,可以扩大覆盖面,但总体输入依然固定,远远不够。最后是完全开放的模式,那就是赏金网络,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平台,我建议每个DeFi在上面发bounty,亲测效果十分明显。Immunefy的奖金项目方会给非常高。比如最高已支付的是Warmhole的千万美金。这次出事的Euler也曾放出100w刀赏金,但依旧没发现这次的漏洞。赏金模式在输入输出上也是开放式的,这个类似于黑客的攻击模式。

Haun Ventures创始人Katie Haun:NFT将在更多用例推动下反弹:金色财经报道,Haun Ventures 创始人 Katie Haun 在接受 Bloomberg Crypto 采访时表示,NFT 将在更多用例推动下反弹,价值回归也将受到必要基础设施可用性增加的推动。 Katie Haun 解释说:“我们将越来越多地生活在数字世界中,我认为如果你生活在一个数字世界中,就会想要在那个世界中拥有数字商品,你不会满足于租用它们,这就是我们现在所做的,我认为 NFT 和数字稀缺商品从根本上改变了这一点。当基础设施存在时,将会有很多新的用例被解锁,NFT 也会变得更加高效和用户友好。”(finbold)[2022/10/5 18:39:45]

但两者激励模式很大区别。假如把两者当成是抽奖,同样1000w奖金池,赏金模式奖金一般都会在10w-30w刀封顶,黑客模式是100%奖金全拿走。这两种模式,同等投入,同样中奖概率,假设没有犯罪成本,毫无疑问黑客池输入/输出会跑赢。赏金模式就算加到10%,也跑不赢黑客池,除非把犯罪成本加入等式,有人建议把赏金比例和TVL挂钩,比如10%,是否会激励更多黑客转白帽??

前美国驻华大使:全球合作对于促进Web3.0的发展非常重要:5月20日消息,前美国驻华大使Terry Edward Branstad在今日举行的以太坊上海Web3.0开发者峰会上表示:

全球合作对于促进Web3.0的发展非常重要,国际社会需要合作来培育新技术,这将是整个人类社会进步的巨大飞跃。因为Web3.0是全球化的产物,其发展需要各个国家和市场的合作,这也是我们为什么要重视合作而不是竞争的原因。

美国很多科技发达的州正在做更多的工作来让Web3更有科技含量,这将是一场州与州之间的竞赛,为了吸引Web3人才打造更开放的创业环境,美国很多州之间的竞争已经非常激烈,

前驻华大使还表示,他一直非常热爱上海,也希望在未来能够再次到访上海。同时,他也表达了希望看到各个国家直接协作,共同推动发展Web3的未来。[2022/5/20 3:31:01]

?首先,没哪个defi协议能支付10%TVL的赏金,其次,遇到真黑客,他大概率还是愿意一黑到底而不会止步要10%。DeFi的安全更复杂问题在于除了代码层面,还有可组合风险攻击面上,DeFi本身随着整合增加,攻击面是四维增长的,定期静态安全审计加长期赏金,也无法覆盖不断扩大的攻击面DeFi安全是无限游戏,唯一靠谱的是在协议上减少外部依赖,最小化攻击面,尽量待在“自己的舒适区”,不乱做扩展。对开放系统来说,安全代价就是自由的代价

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:93ms0-1:3ms