借着Euler黑客事件,聊聊DeFi的安全审计和安全。
大的DeFi协议基本上都经过多轮审计,我们前前后后5次审计费用百万刀级别大的协议常规审计每年都百万刀,但蓝筹DeFi没哪个没被黑过这里原因很简单,简单的数学问题从攻防来看,所有静态审计的输入和输出(发现bug)都是有限的。
除了常规审计,Euler还用了Certora做形式化验证,这个我们之前也用过,形式化验证能帮助穷尽“已知”路径的覆盖范围,但是无法穷尽“未知的未知”。DeFi是一个开放系统,对于黑客来说,它的输入是无限的,输出也是无限的。假设把安全攻防看成挖矿,你守方用三五台机器算哈希挖矿。
Cosmos生态流动性质押协议Stride将转向ATOM驱动的安全模型:7月19日消息,基于Cosmos的流动性质押协议Stride计划从现有的STRD代币模型过渡到Cosmos的链间安全(ICS)系统,该系统由ATOM代币驱动。Stride的贡献者Ian Unsworth表示:“过渡可能发生在周三17:00至21:30(UTC时间)之间,区块高度为4616678。”Unsworth补充道:“虽然Stride TVL达3500多万美元,但通过绑定网络代币,它只有1900万美元的经济安全。在ICS过渡之后,区块产出/安全性将传递给ATOM验证器集,这将使网络的经济安全性增加大约11,935.2%。”
根据官方博客,向ICS的过渡将使Stride的经济安全从大约2500万美元提高到23亿美元,使该协议更能抵御黑客攻击。[2023/7/19 11:04:31]
攻方无数机器时刻在算哈希,只要算对一次就赢了;这个输赢面对比是明显的。静态的安全审计,由于输入输出固定,无法覆盖已知的未知,更无法覆盖未知之未知。所以出现另一种审计,叫开发式竞争型审计,如Code4rena,审计奖金池固定,但是输入在一定时间内是弹性的,所有人都可以参加,谁发现bug。
摩根溪创始人:贝莱德申请的并非比特币ETF,而是一个信托:金色财经报道,摩根溪创始人Apompliano在社交媒体上发文称,贝莱德申请的并非比特币ETF,而是一个比特币信托,这些产品只是在技术上有所不同,尤其是在监管和批准方面,不过对于投资者而言最终的结果是相似的。最好的结果是真正的比特币现货ETF被SEC批准。但这不是ETF,不认为贝莱德在没有信心的情况下提交信托会被批准。这种发展有一些潜在的后果。GBTC可能被迫引入每日赎回来竞争。GBTC可能被迫削减费用。许多华尔街公司可能会推出快速跟进的产品来与贝莱德竞争,媒体的关注可能导致资金流入比特币。[2023/6/16 21:41:33]
按照严重程度,分奖金,这个方式是让审计师/白帽去卷,可以扩大覆盖面,但总体输入依然固定,远远不够。最后是完全开放的模式,那就是赏金网络,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平台,我建议每个DeFi在上面发bounty,亲测效果十分明显。Immunefy的奖金项目方会给非常高。
Bitcoin Magazine Ventures推出的BTC生态系统基金已募集3000万美元:金色财经报道,Bitcoin Magazine Ventures推出世界上第一个比特币生态系统基金。根据内部消息,这家专门致力于投资比特币生态系统的风险投资基金募集3000万美元,并且已经超额认购了9000万美元。
新基金强调比特币生态系统的发展,主要投资于新的应用程序、工具和基础设施,如Ordinals、Lighting、BRC20、DLC和其他UTXO相关元素。这些创新允许比特币采用更灵活的功能,类似于以太坊。知名风险投资公司Sora Ventures向该基金投资300万美元。[2023/6/2 11:53:19]
比如最高已支付的是Warmhole的千万美金。这次出事的Euler也曾放出100w刀赏金,但依旧没发现这次的漏洞。赏金模式在输入输出上也是开放式的,这个类似于黑客的攻击模式。
但两者激励模式很大区别。假如把两者当成是抽奖,同样1000w奖金池,赏金模式奖金一般都会在10w-30w刀封顶黑客模式是100%奖金全拿走这两种模式,同等投入,同样中奖概率,假设没有犯罪成本,毫无疑问黑客池输入/输出会跑赢。赏金模式就算加到10%,也跑不赢黑客池,除非把犯罪成本加入等式。
有人建议把赏金比例和TVL挂钩,比如10%,是否会激励更多黑客转白帽?首先,没哪个defi协议能支付10%TVL的赏金,其次,遇到真黑客,他大概率还是愿意一黑到底而不会止步要10%。DeFi的安全更复杂问题在于除了代码层面,还有可组合风险。
攻击面上,DeFi本身随着整合增加,攻击面是四维增长的,定期静态安全审计加长期赏金,也无法覆盖不断扩大的攻击面DeFi安全是无限游戏,唯一靠谱的是在协议上减少外部依赖,最小化攻击面,尽量待在“自己的舒适区”,不乱做扩展对开放系统来说,安全代价就是自由的代价。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。