▼▼▼
刘锋:近几天余弦参与处理Lendf.me被盗资金的追讨,可以和我们讲讲这几十个小时的经历吗?
余弦:第一步,快速定位威胁情况和攻击细节,这样可以快速给出最正确的漏洞原因,比如这次事件中,本质问题是Lendf.Me的核心代码中存在重入攻击漏洞,而这个漏洞又需要结合基于ERC777代币的组合才能发生。知道漏洞本质及攻击手法后,在链上是很容易知道攻击者具体盗走多少资产。
第二步,思考如何追回。在4月19日下午,dForce、星火与imToken安全团队在线下集结,并与慢雾安全团队远程连线成立“临时安全团队”,开始进行资产追回。因为信息量巨大且杂乱,集中讨论可以快速的信息对称,加快速度。
盗取DeFiance Capital创始人资产的黑客将500 ETH转入Tornado Cash:3月24日消息,此前盗取DeFiance Capital创始人Arthur NFT资产的黑客将原地址(0xe47E8cD58c8E95F765e642d7dCB898f622ceFA83)中588枚以太坊转入地址为 0xB09e66b66B7daA35699496fF560E1034990E5e3a的钱包,之后再将其中500枚以太坊分为5次转入Tornado Cash。
此前报道,DeFiance Capital创始人Arthur的E47E8C地址刚疑似遭到入侵,17个Azuki和1个CloneX被盗,总计约310ETH。之后该黑客地址已被Etherscan标记为Arthur0x钱包黑客。[2022/3/24 14:15:11]
4月20日,基于黑客在攻击前后留下的痕迹,“临时安全团队”成功确定了准确的黑客画像,并开始与国内外各方资源进行交叉对比,获得突破性线索,离黑客越来越近。4月21日下午,在黄金48小时内,黑客在重重压力下,与dForce主动沟通,并开始归还部分资产。继续沟通后,所有资产被成功找回,这是攻击发生后的第三天。这个过程不仅是“临时安全团队”发挥了关键作用,还得到了非常多加密社区朋友直接与间接的帮助。
DeFi固定利率生成协议88mph发布“init()”函数严重漏洞修复报告:官方消息,DeFi固定利率生成协议88mph发布“init()”函数严重漏洞的修复报告。此前iosiro的安全研究员白帽AshiqAmien向智能合约漏洞赏金平台Immunefi披露88mph的CRV:RENWBTC、CRV:STETH和yaLink池中发现严重漏洞,该漏洞是一个未受保护「init()」函数,这些特定池的代码功能将允许恶意用户窃取650万美元的代币,主要是crvRenWBTC。该init()函数是用来初始化88mph平台的NFT合约,init()函数不受保护并且可以被任何人多次调用,此漏洞允许恶意攻击者访问任何用户的NFT和存款。在Immunefi披露该漏洞后,88mph暂停了受影响的合约,并将用户资金归还给合格的所有者。88mph表示很快就会部署其V3平台,这将废除受影响的合约,所以不需要立即修复。意识到该漏洞的潜在破坏性影响,88mph应白帽公司的要求,向iosiro颁发了42069美元的赏金。[2021/6/15 23:37:12]
刘锋:对于这次Lendf.me被攻击事件,大家应该吸取什么教训?
DeFi板块加密货币普涨,CRV、UNI、1INCH价格创下历史新高:1月31日,DeFi概念板块普涨,其中CRV一度突破2.8美元;UNI现报价19.5美元;1INCH现报价4.9美元,日涨幅均超30%,创下历史新高。[2021/1/31 18:30:50]
余弦:任何新事物在进化过程中都会有安全风险,这是进化法则,越早期这种风险越大,最终要么死亡,要么就会趋于某种比较稳定的平衡。
基于这种心理准备,我们来看DeFi,有几个比较重要的风险:技术安全风险、业务安全风险、合规安全风险,我们简单展开:
1.技术安全
首先看公链本身是否久经考验,足够安全,以太坊基本满足这点;然后看智能合约的设计是否足够安全,Solidity并不太满足;再看相关的标准实现是否足够安全,这里最大的问题在于很多时候一个“特性”会变成一种“缺陷”;再看基于标准的成熟框架是否安全,如OpenZeppelin就很优秀;最后看项目方开发出来的是否真的严格安全实践,这个就非常不好说了,很明显,开发的质量是参差不齐的。
DeFi交易及借贷协议UniLend完成310万美元种子轮融资:DeFi交易及借贷协议UniLend宣布完成310万美元种子轮及私募轮融资,投资机构包括WoodstockFund、SignalVentures、3Commas、TRGCapital、BTC12Capital、AU21Capital、Youbi Capital、Tomo Chain、Bidesk、Bibox、Tenzor Capital,以及Bitcoin.com管理合伙人Danish Chaudhry、CryptoBriefing合伙人JayPutera、Matic联合创始人Sandeep Nailwal等投资者。注,UniLend是一种无许可的DeFi交易与借贷协议,旨在将交易服务、货币市场与通过智能合约提供的借贷服务结合在一起。[2020/9/30]
2.业务安全
观点:许多DeFi项目并未真正去中心化:在Epicenter播客最新一集中,Centrifuge代币设计师Cassidy Daly谈到代币治理中的集中化和DeFi问题以及生态系统的去中心化指导方针。Daly表示,在分析一些DeFi项目之后,其中许多项目并未真正去中心化。她指出,“我认为你可以对去中心化的含义有一个非常模糊的定义。因此,从‘为无银行账户的人提供服务’到‘基本上取消中介机构’,无所不包。”根据Daly的说法,该生态系统中许多项目的“去中心化”性质是非常值得怀疑的,她补充道,“很多这样的项目,它们只是完全重建金融体系中已经存在的东西,并没有真正增加很多价值。尤其是控制一些项目时,比如说我们在合约中使用multisig,但你仍然是一家控制multisig的公司,这实际上是去中心化吗?”今年早些时候,DeFi锁定资产总价值突破10亿美元大关。从那以后,该数据一直在稳步下降,随着最近比特币价格暴跌,根据DeFi Pulse的数据,DeFi锁定资产价值约为2月份的一半。(AMBCrypto)[2020/3/16]
业务决定于DeFi的设计,比如抵押借贷、闪贷、交易等等。业务需要特别考虑的是安全风控,比如暴跌暴涨怎么办?突然出现的大额转币如何处理?如何解决第三方安全风险?
3.合规安全
如果是一个灰色或黑色边界的DeFi,一不小心被一些国家的执法机构打掉或自己跑路了,怎么办?
另外特别补充一些和用户角度有关的判断:
1.项目方内部有实力不错的安全团队或有丰富安全经验的核心人物把关
2.项目方近半年内被第三方专业安全机构安全审计并公开安全审计结果
3.项目方有长期持续紧密合作的第三方专业安全机构
4.项目方核心成员对待安全的态度坦然开放,勇于认错并把安全放在第一位
5.项目方对安全工作充满敬畏与尊重
基于上面这5点可以延伸出一些事实,比如:口碑、真实用户数、数据透明度、安全透明度等等。
刘锋:大家愿意去用DeFi产品,有很大原因是担忧中心化金融服务平台的安全性问题,希望通过DeFi讨个平安。但是今年一连串DeFi平台和产品被攻击,这让人对DeFi反而不信任了,我觉得有点遗憾,你怎么看?
余弦:我的看法不一样,大家来看看历史。
具体细节这里看:https://hacked.slowmist.io/
大家会看到中心化、去中心化都有非常惨重的历史案例,但其实不必因此而打击信心,DeFi一定有自己的定位,但DeFi也别想着一统天下,同样的话也适合CeFi,未来应该会看到更多DeFi+CeFi的混合体出现。而且,DeFi其实并不一定需要完全去中心,这是我的个人看法。
我是黑客,这些在我眼里都没有绝对的安全,都有许多薄弱点,但是黑客不都是坏的,我们更希望是往安全的方向去进化,但我们在对抗时,必须有足够的攻击思维。
刘锋:观众提问,对DeFi合约审计的作用有多大?能保证足够安全么?是否经过了审计的defi项目就值得信任呢?
余弦:DeFi安全审计是安全策略的第二层,第一层是DeFi开发安全,这是项目方的事。DeFi安全审计在第二层可以规避不少问题,将安全防御水平提高一个档次。但之后还有第三层,也就是更新迭代持续运营的安全,这个一不小心就麻烦了。只能说,经过安全审计的项目,可以让人更放心,但也一定都有黑天鹅——来自未来的攻击。所以,如果安全审计已经超过半年,那就得注意了。
刘锋:观众提问,大多数知名DeFi协议都是以某种形式被中心化控制的,虽然这种方式在安全性上有些好处,怎样才能避免管理员滥用自己的特权,或者说减少相关风险?
余弦:这个是人性的问题,有的可以技术解决,有的解决不了。技术上通过类似DAO的方式来控制,但这又会产生新的问题,DAO的效率太低就麻烦了。但至少有一点项目方需要做的是透明,资产透明,权限透明,决策透明等等,让社区看得见。
刘锋:观众提问,有没有一种方案,在用户和合约之间建中间件,这个中间件来做安全处理?
余弦:这个不知道,需要试验,但我最近有一个想法,大家可以看看:https://firewallx.io/
这个防火墙是构建在EOS主网上的,核心是智能合约实现。以太坊上,ERC777这种偏复杂的也许也可以这样做,但还是需要试验。
刘锋:观众提问,代码的安全问题几乎不可避免,DeFi是不是需要辅以更成熟的风控机制,来避免大的损失?因为DeFi的魅力是去中心化,是智能合约,但是受攻击后的修复和自己追讨,看起来完全是人和人之间的博弈了。
余弦:追回是个很难的事,但比较有意思的是,今年开始可能会提高成功率,原因是各国司法、执法流程上开始支持加密货币了。
非常感谢参与今晚MathShow#001活动的“show”友们,也感谢慢雾的创始人余弦为我们带来的关于DeFi的安全知识饕餮盛宴,为区块链生态安全贡献自己的力量。祝慢雾越来越好。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。