在刚刚结束的鲸交所见面会厦门站活动现场,特邀演讲嘉宾慢雾科技创始人余弦面对主持人和观众的“灵魂拷问”,以代码审计方、黑客的视角,用专业、有力、幽默的方式,给予了精彩的解答。
以下摘取了慢雾科技创始人余弦与鲸交所CEO俊晶在提问环节时的精彩言论,让我们换个视角来看鲸交所。
提问:鲸交所的代码在你们审计的500多个项目中处于怎样的水平?
余弦:我们合作的时候也很看重项目方的研发实力。在对鲸交所的审计过程中,会特别去看用户资产相关的管理,还有关于签名数据验证等。这些如果做不好,会直接危害到用户资产。还有风控方面,在代码审计上主要指数据或者资产,因为攻防是一个系统化的整体。
鲸交所的审计重点在合约。当时在审计的时候,其实考验还是很大的,单靠一些工具或者算法,比如像现在比较流行的形式化验证,是不够的,还要满足具体的业务场景需求,这是关键。
慢雾:美国演员SethGreen的NFT遭钓鱼攻击,资金已跨链到 BTC 并混币:5月18日消息,美国演员SethGreen遭遇钓鱼攻击致4个NFT(包括1个BAYC、2个MAYC和1个Doodle)被盗,钓鱼者地址已将NFT全部售出,获利近160枚ETH(约33万美元)。
慢雾MistTrack对0xC8a0907开头的钓鱼地址分析后,发现总共有8个用户的NFT被盗,包含MAYC、Doodle、BAYC、VOX等12类NFT,全部售出后总获利194ETH。同时,该钓鱼地址初始资金0.188ETH来自Change NOW。钓鱼者地址将大部分ETH转换为renBTC后跨链到6个BTC地址,约14BTC均通过混币转移以躲避追踪。NFT钓鱼无处不在,请大家保持怀疑,提高警惕。[2022/5/18 3:24:23]
所以,我们特别在意整个合约的逻辑性,这也是鲸交所合约复杂之处。基本上,用户从授权、充值、提现,包括一些管理和操作,我们都会看,还有一些外部接口等。因为这些接口在合约上,合约在链上,有些工具可以直接标准化。如果这部分风控没有做好的话,我们审计中也会发现。
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
我们审鲸交所合约花了很长时间,我们拿到审计文档,然后鲸交所团队过来我们这里密切交流,了解业务层的一些设计考虑,即使这样,我们还算是花了一个月的时间,这只是第一期上线前的审计。
慢雾:ERC721R示例合约存在缺陷,本质上是由于owner权限过大问题:4月12日消息,据@BenWAGMI消息,ERC721R示例合约存在缺陷可导致项目方利用此问题进行RugPull。据慢雾安全团队初步分析,此缺陷本质上是由于owner权限过大问题,在ERC721R示例合约中owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。
当此退回地址持有目标NFT时,其可以通过调用refund函数不断的进行退款操作从而耗尽用户在合约中锁定的购买资金。且示例合约中存在owner Mint函数,owner可在NFT mint未达总供应量的情况下进行mint。因此ERC721R的实现仍是防君子不防小人。慢雾安全团队建议用户在参与NFTmint时不管项目方是否使用ERC721R都需做好风险评估。[2022/4/12 14:19:58]
现在鲸交所合约多签,我们是有一票否决权,如果我们发现更新后有安全问题,我们就会否定,不通过。
慢雾:Crosswise遭受攻击因setTrustedForwarder函数未做权限限制:据慢雾区情报,2022年1月18日,bsc链上Crosswise项目遭受攻击。慢雾安全团队进行分析后表示,此次攻击是由于setTrustedForwarder函数未做权限限制,且在获取调用者地址的函数_msg.sender()中,写了一个特殊的判断,导致后续owner权限被转移以及后续对池子的攻击利用。[2022/1/19 8:57:48]
提问:鲸交所的合约在不断迭代更新,慢雾团队日常是如何监看合约变动的呢?
余弦:我们开发了EOS天眼这个产品,用来监测链上合约的变动,任何用户都可以到我们平台上,订阅你关注的合约,这个合约如果有更新,我们会自动发邮件给你提示。
提问:跨链进展如何?跨链后鲸交所还安全吗?
俊晶:已经全部开发完成!很快将有独家跨链资产首发鲸交所!
金色财经独家采访 慢雾科技:此次EOS漏洞是真实存在的并且可信度非常高:今日,360表示EOS网络存在漏洞,对此,金色财经独家采访了慢雾科技,慢雾科技表示:这个漏洞本身是存在的并且可信度非常高,而且是可以直接拿到EOS超级节点服务器的权限,360所描述的史诗级漏洞,这种表述不过分。360没有披露漏洞细节是可以理解的,此次漏洞是在EOS网络上发布的恶意智能合约,该智能合约可以同步到区块链网络上,每个超级节点都会同步。这个恶意的智能合约会导致合约的虚拟机被穿透,打穿虚拟机到服务器,从而控制服务器。EOS 超级节点攻击有几个入口P2P 端口、RPC 端口、恶意智能合约、服务器与集群等其他缺陷、人员安全缺陷。此次漏洞是第三点从智能合约对区块链网络进行的攻击。[2018/5/29]
余弦:有我们在,当然安全了!
提问:曾有一个关于交易所安全的评分,其中安全最高的是Coinbase,大概80多分,第二名好像是币安40-50分。余弦怎么看这个评分?鲸交所自评有多少分?
余弦:这些评分基本都不靠谱的,考量的指标都比较简单。因为你真的要去评估交易所,如果没有和团队或内部核心开发紧密交流的话,都很难做出客观的评价。
俊晶:打分不太合适,还是请慢雾来评价。对于安全,我认为,一方面是成本投入,一方面是意识。交易所从上之下都要重视。鲸交所与慢雾有过非常深度和密切的交流。
余弦:我们评价,就不按照分数来了,按照对抗的级别来,可以分为国家级、省级、县级、村级等,很遗憾,没有一家能挡住国家级的。鲸交所至少在省级。
俊晶:关于“国家级”,再补充一句:如果是国家需要,我们捐给国家!不过,大家的资产鲸交所无法触碰,用户自己掌控资产权限,所以用户资产是无法捐出去的啊!
余弦:慢雾也一样!
提问:今天现场很多都是鲸东,他们都很关心团队的情况。慢雾团队和鲸交所团队有着较长时间合作,应该说是最紧密的伙伴了,因为要去同步审计他们的合约情况。从你的角度来评价,鲸交所是怎样的一个团队?
余弦:我们拜访过鲸交所,之前主要在上海,现在在杭州,对团队感觉战斗力非常强,能力非常强,战略战术的打法很清晰。去鲸交所去看下就能感受到“996”了!
提问:你们审计后一般都会给项目方一个证书进行评价。给鲸交所审计完,你们证书上给的评价是什么?
余弦:那肯定是优秀了!
提问:鲸交所是基于EOS开发的,假如有一条新的公链出来,超越了EOS,你们会怎么做?
俊晶:EOS是当时我们的最优选择,EOS交易免费和TPS高,我们在以太坊根本没法用。我认为,目前的公链中,都不足以支持WEB3.0。
鲸交所从设计之初到现在,我们都保留了迁移的能力。如果有更好的公链,我们会考虑的。我们目前已经有多链资产,不会局限在一个链上。我们的原则是,选择最合适的链,做去中心化的交易所。
提问:关于去中心化交易所的定义,有不同的说法。有的去中心化交易所不碰用户资产,也不通过合约托管。相比现在鲸交所目前的形态来说,哪个更好?
俊晶:从交易所的业务来看,不托管用户资产的这种去中心化交易所,在以太坊上就有的——以德。但以德最终还是小水洼里面的DEX。为什么?
交易所到底是为了去中心化而去中心化?还是一门运营的生意?刚你提到的这种DEX,合约其实很容易,直接部署在EOS上,目前国内外都有。
但交易所是强运营的事情,无法单纯的应用去中心化的技术来实现平台的高速运转和成长。再有,用户使用EOS需要处理CPU、RAM等,这些与用户间的摩擦,是无法让用户留存的。
我们举例鲸矿池,鲸矿池你投入后什么都不用管。其实,在EOS中投票权是随着时间有衰减的,如果是你个人,就需要自己去处理这些来实现利益最大化,而目前我们是平台来做的。一种是放在那不用管的躺赚,一种是需要自己处理操作,你会选择哪个?
这只是DEX的一个细节,还有很多。用户体验好,才能让DEX流行起来。我们选择这种模式,也与愿景有关。
余弦:两个团队互相交流很多,我们审计除了合约外,还有非合约层的代码,包括业务层、风控等。比较惊讶地是,鲸交所对安全的细节很在意。“在意”分为两种,一种是不懂,一种是很懂,知道敬畏,鲸交所属于后者。
合约多签是鲸交所第一个做的,每个版本都需要我们审计的,很少有项目这样做。当然,同时也能看出他们996挺疯狂的。后来我跟他们说,你们也不用不好意思找我们,因为我们是7*24小时的。
在安全方面,鲸交所做的很多,很确定的是,用户的资产绝对是在你们自己这里的。鲸交所官方是没法作恶的,内部出问题也没法作恶,好几个角色在把关。比如说私钥,有人可能担心用鲸交所App私钥在本地保存的,是否能提取出来?这些我们有验证,他们做了很多密码学的加密,破解很难。
还有离线保险箱,他们首创的,防止苹果企业证书掉签,很多安全上的做法,都走在行业最前面,会给同业或其他产品很多启发。慢雾内部有独立团队专门响应鲸交所。
回到提问,关于多少比例是去中心化的,这个意义不大,重要看两点:一是用户资产的权限一定要在你自己这里。二是误操作你的权限丢了怎么处理。这两点上,鲸交所是我们看到做的最好的。至于业务层的平衡,这是很好理解的。
提问:假设鲸交所CEO俊晶有一天要是跑路了,鲸交所的合约、用户资产是否会出问题?
余弦:大家都知道Google有句话:don'tbeevil,鲸交所已经做到了can'tbeevil。
结语
去中心化交易所一定是未来的趋势,而鲸交所已经走在了前列,正在迈向星辰大海,让我们拭目以待!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。