DEF:慢雾合伙人启富:NFT或是下一个方向 但落地需要时间

DeFi 很火,这个夏天业内仿佛打入鸡血一般地参与到这个生态,创新、革命,各类项目此消彼长。不过,热闹背后,却是暗流涌动。

2020年4月18日,Uniswap 爆出智能合约漏洞,该漏洞被人利用盗取了数十万美金的资产;次日,Lendf.me 因相同漏洞,被一位程序员(非黑客)盗取了数千万美金的资产;因为智能合约漏洞,上线36小时,红极一时的Yam迅速消亡。?

安全,已经是悬在DeFi头上的达摩克利斯之剑。有痛点就有市场,在这场狂欢中,“慢雾盖章”成了保障的标志。

近日,在厦门举办的“共为创业者大会”上,金色财经就DeFi安全采访了慢雾科技合伙人 Keywolf启富。

知名区块链安全公司派盾、慢雾科技宣布参加HBTC Chain主网节点竞选:1月6日,据霍比特HBTC官方消息,知名区块链安全公司派盾、慢雾科技宣布参加HBTC Chain主网节点竞选,投票均已超过50万HBC,其中派盾节点名称PeckShield;慢雾科技节点名称SlowMist Zone。

截止至今日18:00,HBTC Chain主网节点投票竞选上线10天,成功竞选主网节点数量达16个,HBC总投票数量为6457124.38,HBC总投票质押率30.75%,质押价值已近2500万USDT。

HBTC Chain基于DPoS共识算法,精选优质节点作为HBTC Chain主网区块验证者。HBTC Chain将对竞选节点进行筛选及管理,意欲参选的项目方及个人可通过HBTC Chain节点竞选投票页面进行申请操作。更多详情请点击原文链接。[2021/1/6 16:34:50]

分析 | 慢雾预警:ADX合约设计疑似存在“后门”风险:安全公司慢雾发布安全预警称,ADX合约设计疑似存在“后门”风险。具体细节为:在合约中grantVestedTokens方法写了转账是否可以允许被revoke ,可以在grants这个mapping中或者tokenGrant中查到用户生成的这个TokenGrant到底允不允许revoke, 如果是允许revoke则要慎重,用户可以通过revokeTokenGrant撤回,这样holder就会受到损失,代币可能会回到原本用户的余额上或者 转到0xdead, 这取决于burnsOnRevoke的值。

ADX项目业务设计比较特殊,如果在对接交易所的话,没有说明对接的方式,以及一些特殊方法的调用和判断,会造成交易所损失,请交易所注意对接时候相关细节处理。[2019/5/10]

以下为采访实录。

分析 | 慢雾:韩国交易所 Bithumb XRP 钱包也疑似被黑:Twitter 上有消息称 XRP 地址(rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu)被盗 20,000,000 枚 XRP(价值 $6,000,000),通过慢雾安全团队的进一步分析,疑似攻击者地址(rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1)于 UTC 时间 03/29/2019?13:46 新建并激活,此后开始持续 50 分钟的“盗币”行为。此前慢雾安全团队第一时间披露 Bithumb EOS 钱包(g4ydomrxhege)疑似被黑,损失 3,132,672 枚 EOS,且攻击者在持续洗币。更多细节会继续披露。[2019/3/30]

金色财经:慢雾审计一个项目主要有哪些流程?系统是否安全的最终标准有哪些??

动态 | 慢雾安全团队剖析EOS 合约竞猜类游戏 FFgame 被攻击事件:据慢雾安全团队消息,针对 EOS 合约竞猜类游戏 FFgame 被攻击事件的剖析,慢雾安全团队通过与 FIBOS 创始人响马的交流及复测推测:攻击者通过部署攻击合约并且在合约中使用与 FFgame 相同算法计算随机数,产生随机数后立即在 inline_action 中使用随机数攻击合约,导致中奖结果被“预测”到,从而达到超高中奖率。该攻击者从第一次出现盗币就已经被慢雾监控账户变动,在今日凌晨(11.8 号)已经第一时间将威胁情报同步给相关交易所平台。

慢雾安全团队提醒类似开发者:不要引入可控或可预测随机数种子,任何侥幸都不应该存在。[2018/11/8]

慢雾科技合伙人启富:对于DeFi,我们更关心的是资产的安全,简单来说就是本金的安全。用户的收益如何与项目的经济模型有关,所以,我们首先关注的是智能合约里在计算用户收益时,会不会存在溢出等问题,这也是合约里普遍存在的通用性问题。其次,我们会关注项目方是否留有后门,是不是作恶,是否盗取用户资金。

当收到用户项目审计诉求时,我们会先通过项目官网、介绍等资料了解项目,在初步审核通过之后,会去评估其智能合约代码的复杂度,并进入到商务流程,报价、排期等沟通没问题之后,开始项目审计。

审计的过程当中发现了任何的问题,都会马上去告诉对方并告知解决方案,改完之后、复查,最后会出具一个审计报告。同时我们现在要求对方一定把代码开源。在审计中除了关注常规的安全漏洞,还要关注代码和业务逻辑设计是否一致,以及组合性引入的外部风险,找出薄弱点提高攻击者的门槛从而整体提升安全性。?

基于对慢雾的认可,大家觉得慢雾审计过的项目会比较放心,所以我们现在都是尽可能的把有可能存在风险的,包括一些admin权限等,现在流行用时间锁的方式,想要有进一步动作,必须要经过24小时或者48小时。上链之后,大家都能够去看到。这方面现在大家都关注,我们也特别关注。

金色财经:现在有相关数据统计,8月份有大概8起DeFi相关的安全事件。从安全的角度,您怎么看DeFi的发展?

慢雾科技合伙人启富: DeFi相对于公链是一个比较新的东西,在发展的过程当中,肯定会有一些风险和未知的事情,毕竟面对一个新兴事物,大家都不是那么有经验。从DeFi安全性角度来说,新事物在发展的过程当中,出现这样的安全问题,算是可以理解的事情。

像比特币、以太坊它早期也有发生过安全问题,比特币之前也曾有增发漏洞,以太坊也有著名的The DAO事件,还分叉出了ETC。

所有人并不是一开始就有丰富的经验,包括那些试图攻击它的人,也不是很快就能知道攻击方法,也是做了一些自己的研究、尝试。所以在早期时候,去关注、参与一定会有风险,但是我们不能因为它发生过这些问题,去否定一个新的方向。整个行业或者DeFi方向肯定会越来越完善,包括安全公司或者优质的项目方,优质的技术团队参与到其中,就能够把整体水平提升上来。?

另外一个就是说大家对安全问题的一个规避的方式,就是项目方一定要有自己的安全的意识,尽可能有一些预算找安全公司,例如我们慢雾,去做一些相应的安全审计,至少现在已经知道的一些攻击的手法都给它规避掉。

金色财经:您接下来会看好哪一些项目??

慢雾科技合伙人启富:现阶段挖矿的应该不会太长久,这种玩法大家可能都已经比较熟悉了,币圈其实很多时候都讲究一个新鲜感或者画饼的能力,如果接下来没有更多新的玩法,大家都还是继续去搞这样的流动性挖矿,可能到后期就没什么人玩了。从以太坊到波场到币安智能链,或者到其他的一些新的公链如本体、NEO,这些国产公链都开始加入到这个赛道,但是大部分玩法还是一样的。资金就这么多,现在出来这么多项目,就会有均分或者转移,最后如果没有一些新的玩法,大家就会审美疲劳,而且年化有可能越来越低。

现在很多人都在聊另外一个热点NFT,大家关注到NFT,就是因为现在它能交易。在我看来,这是一个方向,真正的落地还要有一定的距离。

在这个行业,热点有时候并不是技术驱动的,很多时候是因为能赚钱而带来的。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-1:124ms