DeFi在过去的半年时间内是加密世界的主角,火热程度爆表,也成为了黑客们攻击的对象,有关DeFi协议被攻击的事件时有发生,这给项目和用户带来严重的资产损失。
据统计,在计算机领域中,平均每1000行代码中,会有1-25个BUG。也就是说,这个概率的区间是0.1%至2.5%。而这个概率放到刚刚处于起步阶段的DeFi领域,无疑只会更高。
英国伦敦大学学院副教授IlyaSergey与新加坡国立大学多位学者合著的论文FindingTheGreedy,Prodigal,andSuicidalContractsatScale指出:「将近100万份智能合约进行每份10秒分析时间的分析后发现,这其中有34200份智能合约很容易受到黑客攻击,其中2365份有明显漏洞」。这意味着智能合约出现问题的概率是0.2%至3.42%。
跨链桥Poly Network项目被攻击,用户请注意资产安全:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Poly Network项目被攻击,用户请注意资产安全,Beosin正在统计被盗金额。[2023/7/2 22:13:04]
DeFi产品在区块链平台上运作,大量且频繁的交易则依赖于部署在链上智能合约予以自动化处理,智能合约当中,任何一个小BUG,都可能会给项目或者投资者造成无法挽回的损失。
比如知名DeFi项目Yam,Yam于北京时间8月12日启动后不到24小时,合约质押的资产就已经超过4.6亿美元,然而由于一个小小的增发漏洞,项目就宣告失败,距离启动也不过36小时,代币YAM也从109美元跌至0.9美元,跌幅超99%,而这也是DeFi众多安全事件的一个缩影。
Web3资产安全服务商ZKSAFE推出1万美元漏洞赏金活动:12月27日消息,Web3资产安全服务商ZKSAFE推出1万美元漏洞赏金(Bug Bounty)活动,ZKSAFE在推特上公布一个Safebox的地址和私钥,黑客还需要破解对应密码才能取走赏金。
据悉,ZKSAFE创建了一种带有密码+私钥的安全箱,即使私钥被盗,资产仍然安全。用户可以拥有自己的安全箱合约,可以理解为自己的私人银行。据RootData数据显示,该项目于9月完成种子轮融资,NGC资本、Catcher VC、Betterverse Dao、Aperture参投。[2022/12/27 22:09:59]
以太坊上,数字货币的发行和流通、借贷、投票、拍卖等,都已有现成的智能合约模块可供调用,各种新的智能合约也在不停编写和部署中。根据区块链安全机构CertiK的一份报告,该报告对2020年12月份新加入Uniswap,共计29个代币智能合约进行了分析,结果总计发现16个智能合约存在漏洞或者缺陷。
CZ:强烈建议用户删除与第三方平台共享的API私钥,以保证资产安全:11月14日消息,CZ在其社交平台表示,已关注到有用户与第三方平台共享API私钥,导致账户出现意外交易。建议用户删除与第三方平台共享的API私钥,以保证资产安全。[2022/11/14 13:01:40]
大概有55%的智能合约项目或多或少存在漏洞或者缺陷,其中大约有10%存在严重漏洞,45%存在项目拥有者权限过大,权限中心化过高的缺陷。DeFi智能合约的安全问题可见一斑。
具体结果如下:?
那么DeFi项目要如何做呢?
案例分享:acBTC如何确保合约安全
acBTC是一个致力于提供综合性BTCDeFi服务的协议,为BTC这一单一资产提供多种DeFi方案。BTC作为最为优质的加密资产,用户对智能合约的安全问题尤其重视,acBTC团队也很重视这个问题。
Rose Chen:链上ChainUP WaaS联盟——聚力赋能 保障企业资产安全:近日,链上ChainUP WaaS联盟合伙人Rose Chen受邀参加币牛牛《牛牛面对面》专访时表示,ChainUP WaaS联盟解决了企业资产托管安全隐患、主链开发技术难、热门币种追不上等一系列痛点,目前已支持200+主链,大大节省了客户的开发时间与人力成本,致力于保障企业资产安全;同时也支持DeFi、波卡等热门币种的快速接入,让交易所创业者在热门资产中快速抢夺市场先机。作为全球领先的企业金融托管服务平台,近期ChainUP WaaS联盟会陆续上线理财、借贷等产品功能,以提升联盟企业成员的资产使用率与沉淀资金价值;也会继续支持更多热门价值主链,降低客户边际成本,扶持WaaS联盟企业成员快速长远地发展。
ChainUP WaaS联盟是链上ChainUP集团依托3年时间所服务的500多家企业客户经验,将底层资产托管和钱包封装而成的一套完整的服务,包含资产托管、节点服务、主链币种开发、热门币种一键接入、共管钱包、借贷理财等多种功能服务,通过开放钱包API与SDK,帮助交易所、项目方、媒体等快速高效接入,实现云端资产安全托管,联盟内部转账0手续费,即时到账。目前已有超过500家企业加入ChainUP WaaS联盟。[2020/11/11 12:18:10]
一、选择权威的审计机构
当前DeFi项目热潮持续不减,很多项目为了抓住热点与机遇,在未经严格测试和审计的情况下便匆忙上线。而且对于智能合约而言,大部分的漏洞是无法通过常见的测试方法和工具来发现,只有寻找专业的审计专家进行严谨的数学模型证明,才可以发现该漏洞。
目前业内最常见的做法是在项目上线之前,聘请专业的安全团队进行充分的安全审计。形式化验证是当前唯一被证明可以产生可信数学证明的软件验证方法。因此,采用基于形式化验证方法的区块链检测工具来验证项目中的安全漏洞,成为了每一个项目在上线前的必经步骤。
acBTC的审计方为区块链知名机构安比实验室。安比实验室按照严格的标准,从合约的技术实现、业务逻辑、接口规范、Gas优化、发行风险等维度对acBTC的合约代码进行审计,通过形式化验证、语义分析等工具进行扫描检测,对acBTC进行了21项审计,并出具了明晰的审计报告。
详细的审计报告能够明确的指出代码中存在的重大BUG、轻微BUG、可优化环节等等,帮助项目在代码安全层面做到更好。在安比实验室为acBTC提供的21个审计报告里,为acBTC排除了潜在风险。
二、防患于未然,可优化绝不放过
如前文提到,审计的一个作用还在于帮助项目进行代码优化,这种优化可以带来更好的用户体验,减少在实际使用过程中可能出现的问题。
安比在审计过程发现的部分可优化项,并报告给acBTC团队,acBTC技术团队在安比实验室的协助下修复完成。
安比实验室的审计结论:
安比实验室在对ACoconutBTC合约进行分析后,发现部分可优化项,并提出了对应的修复及优化建议,acBTC开发者均已在最新版代码中进行了修复。安比实验室认为acBTC项目代码质量较高、文档详细、测试用例完整。acBTCPhaseTwo完整实现了acBTCMigration和acSwap功能,acSwap中提供了Mint,Redeem,Swap功能,打通了BTCToken的流通,促进DeFi应用发展。
三、与审计方成为长期合作伙伴
网络的安全风险还是动态的,特别是在DeFi这样强调可组合性的世界里,因此有一个为项目长期提供安全服务的审计方可以在运行过程中为项目排除风险。
acBTC作为一项金融服务产品,代码的设计不仅需要以太坊协议层开发的基本功,还需要开发者具备一定的金融常识和金融工程能力,此外DeFi作为一个金融领域的新生事物,经济模型设计以及代码开发层面仍有需要待完善的地方,即使是专业安全审计机构,也很难在有限时间内穷尽所有漏洞,所以除了项目上线前必要的安全审计,acBTC还邀请了安比实验室加入其开发DAO,作为一个全程的安全服务伙伴,为acBTC项目的安全稳定保驾护航。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。