区块见闻 区块见闻
Ctrl+D收藏区块见闻

Fairyproof TechCEO谭粤飞:DeFi投资者一定要看项目审计报告

作者:

时间:

金色财经现场报道,4月10日,由金色财经主办,波场TRON总冠名,HBTC、SumSwap、SubGame首席合作企业的“2021共为·创新大会”在上海举办。大会以“DeFi的创新进阶”为主题,汇聚百家优秀区块链企业和众多行业大咖,共同探讨Defi生态、波卡、NFT、交易所公链、ETH 2.0、Layer2六大赛道话题。

在下午的“DeFi+NFT”主题专场,Fairyproof TechCEO谭粤飞做了《小白用户如何读懂DeFi合约的审计报告》的主题演讲。谭粤飞在演讲中指出,2020年DeFi安全损失超过2亿美金,这些安全事故大多来自对智能合约的攻击,智能合约的安全事故较多,原因有三:第一个是智能合约本身,第二是区块链技术特点,第三是社会因素。首先智能合约一旦部署,不能被撤回。其次区块链结构使项目方无法知晓攻击者的社会身份以及交易不可逆。最后是智能合约应用的社会约束比较缺乏,例如缺乏对数字资产的保护,缺乏对区块链应用的约束和规范。

以下为演讲详情:

谭粤飞:今天我和大家分享的主题是如何阅读DeFi合约的审计报告。当我们说到审计报告的时候,事实上我们谈的是DeFi的安全,我们谈安全的时候,很多时候觉得这个概念比较抽象,所以,我给大家展示一些数据。

整个大饼是2020年整个一年所有和区块链安全事故所引起的损失,所有的损失,请大家注意看,其中光DeFi左边红色区域是DeFi损失,2.38亿万美元,占整个区块链安全所引发的损失40.9%,几乎接近一半。在2020年之前,DeFi安全的事故远远没有这么夸张,但是DeFi的出现导致安全的事故如此严重。

还不是这么直观,我们再看一些更具体的事例,我们从底下看起,2020年12月26日资金池的资金被转移,2020年12月21日被攻击,2021年1月份寿司被攻击,2月份WFI又被攻击,我罗列的数据不是指出这些项目本身怎么样,我是想要让大家注意,这些项目被攻击的时间点,大家有没有发现从2020年10月到2021年3月,每个月都有一个比较知名的DeFi项目受到供给,足以说明安全事故在DeFi领域发生的频率和频次多么高。

River Financial推出比特币挖矿托管产品River Mining:4月6日消息,比特币交易托管公司 River Financial 宣布推出比特币挖矿托管产品 River Mining,River Mining 将负责硬件采购、托管和维护,同时使客户能够轻松监控其矿机的性能。客户可以在 River 的个人或实体账户中购买矿机,而公司负责采购钻机,将其托管在美国的顶级数据中心,并保持其最大正常运行时间。River Financial 表示,River Mining 将于 2022 年二季度增加数千台矿机,预计该业务的矿机托管规模将在 2023 年拓展至 10000 台以上。(bitcoinmagazine)[2022/4/6 14:06:15]

安全事故的频发不仅仅项目方的声誉,直接影响投资者的利益,接下来,我和大家分享一下为什么智能合约安全事故这么多,他是由特殊的因素所确定,我们Fairyproof Tech团队认为,出现安全事故的原因主要有三个因素,第一个智能合约本身运行的机制,第二个区块链技术的特点,第三个智能合约应用的社会约束。

我们首先来看第一个智能合约本身运行机制,智能合约有一个非常大的特点,和我们传统的IT应用有一个什么样大的特点,我们使用比较传统的应用的时候,我们使用一个游戏或者是APP,我们使用过程当中突然有一天项目方告诉我们,这个APP发布一个公告,这个APP有问题,在这种情况下,项目方把APP从APP商店里面下架,让大家使用旧的版本,他们把有问题的版本撤下去修改完善之后使用新的APP,但是在区块链领域,以太坊领域,一旦智能合约理解成为是一种APP,部署到以太坊上面以后,他是没有无法被撤退,这是不能像传统的IT里面的应用被撤回,一旦智能合约开始执行的时候,这是不可逆的,或者我们可以理解,我们发现有问题的智能合约部署到以太坊上面,漏洞被黑客发现,黑客利用漏洞攻击它的时候我们眼睁睁看到资金池里面的资金被盗走,我们无能为力,我们在传统领域,把服务器关掉,但是在以太坊上面,这样的事情是不能发生,我们不可能把以太坊关机。

ETH非零地址数量达历史最高点:12月24日消息,据Glassnode数据显示,ETH非零地址数量达70,914,834的历史最高点。[2021/12/24 8:01:51]

我不知道大家注意到推广以太坊的时候,很多人不理解以太坊是什么,他用简单的一句话,以太坊是永远不停歇的世界计算机,永远不宕机,一旦运行无法停下来。

第二点跟区块链技术本身相关,我们谈到区块链技术的时候,我们首先看看区块链技术的第一个应用就是比特币,我们最早说比特币至今很多人比特币的时候想到第一个特点是匿名,当然如果按照纯技术的观点来讲,这是伪匿名,做到拟匿名的情况下,在某种情况下把个人真实的信息进行了隐藏,匿名是什么意思,我们在区块链里面进行每一笔交易的时候,我们在所有的可公开查询的资料里面,我们只能看到发起这笔交易或者是参与交易的这些地址,但是我们没有办法把这个地址和执行这笔交易的持有这个地址的人在社会生活当中的真实身份挂钩。我们不知道这个地址背后的持有人是谁,他叫什么名字,它的身份证号是多少,他在哪个国家,所以因为这个原因他是匿名的,这样导致了我们在区块链里面,在智能合约里面一旦发生安全事故,我们知道有黑客攻击我们只是看到攻击的地址,我们不知道地址后面的持有人是谁,我们不知道黑客真实的社会身份是什么。

刚刚我讲的智能合约本身的技术特点,还有区块链技术特点,导致安全事故非常特殊的特点,从技术角度考虑,还有一个角度我们平时各个公共场合大家提到比较少,但是在我们团队看来恰恰也是目前最复杂最难掌控的地方,这就是社会约束。

我在这里罗列两条,现有的法律法规缺乏对数字资产的保护,当我说这个问题的时候有朋友说,在我们国家关注到最近一两年关注数字货币法律的信息会说,我们国家在民法典出台具体的措施,保护数字资产,但是请大家注意,这样的一些条款和民法典里面,不管是我们国家的法律以及世界各国的法律,对传统资产的保护力度和广度跟他们相比是无法相比的,所以现在全世界各国对数字资产的保护,在法律上面都是不规范,不完善,不完备。

中币(ZB)10月22日支持存ZB、QC挖DIP:据悉,中币DeFi一站式挖矿于10月22日支持存ZB、QC挖DIP,用户可以打开中币APP进入ZAPP找到DeFi挖矿,存入ZB或QC即可参与DIP挖矿,获得DIP收益。

据了解,Deipool是基于DAO机制的社区治理智能合约平台,打造去中心化钱包、借贷、融资、交易、预言、资管经纪人等DeFi技术设施为一体、跨链的金融科技服务生态。[2020/10/22]

第二点现有的法律缺乏对区块链的应用和监管。现有的法律对所有的传统应用,互联网应用也好,他有一个约束性,有一个规范,但是这样的法律对智能合约的规范,目前在全世界任何一个国家几乎一个都没有,最近在美国,美国的某些州已经成人智能合约的某些法律效应,但是这是吃螃蟹而已,只是尝试而已,真正在具体落地或者是未来实现过程当中存在什么问题会产生新的问题或者是新的方式,我们目前都不得而知,在这方面也是一片空白。

所以,智能合约本身的问题,区块链技术本身的问题,以及智能合约应用缺乏的社会约会导致智能合约的安全有非常特殊的地方,所以,造成的事故这么频繁,造成的危害这么大。

刚刚我跟大家分享的是安全的一些特殊性,下面我和大家分享一下我们团队目前对所有在智能合约安全领域发生的事故我们一般分成三类,第一类是已知风险,第二类是潜在风险,第三类是人为风险。

什么是已知风险,已知风险我们现在在技术领域技术团队或者是业界根据以往所有发生的安全事故所总结出来的一些安全的特点,一些事故的特点,总结出来的一些规律,我们知道了这些规律,知道了这些事故的特点和特性我们很容易判断,所以我们称之为是已知的风险。

潜在的风险是什么,这些风险从来没有出现过,或许在我们运行的智能合约里面,但是我们不知道,或者说这些风险暂时因为条件不成熟,还没有被触发,这是潜在风险。

第三个是人为风险。我罗列了11个风险,实际上,并不是说在智能合约领域只有这11个风险,我罗列这11个风险,这是目前出现比较频繁的风险,而且我们见到比较多的风险,具体到每个风险,在业界有很多的分析和讲解,在这里我不和大家细说。

我们举一些更详细的例子讲讲已知风险和潜在风险和人为风险。我们看看这个风险,在座的朋友们有没有在2018年4月份之前上一轮进入币圈(有),那一轮的牛市疯狂,疯狂到什么地步,不仅很多小白用户进来,而且传统的IT界的大佬在这个领域,美链跟某一位传统的IT公司有非常深的关系,他做了什么事情,他发布一个智能合约出现一个重大的安全漏洞,什么漏洞?在一行代码计算过程当中没有使用安全的数学库,导致计算溢出,溢出导致的代币被巨量增发,导致价格暴跌。这是2018年4月22日。

在此之前可能这样的事故叫做潜在风险,现在这个事故发生以后,在业界我们用技术分析出来出现安全事故的原因以及可能出现的征兆和特点,我们现在称之为已知风险,这是已知风险的典型。

第二个案例,2020年312,比特币和以太坊全部报铁,比特币跌到4000美元以下,以太坊跌到100美元,在比特币和以太坊暴跌以后,MakerDAO出现疯狂挤兑的机制,最后发现是机制设计的问题。

接着红薯被攻击,20206年6月份,YAM被攻击,红薯这个项目非常有名,这个项目被攻击以后,它的创始人在推特上面发了一段话,对不起,我们失败了,这么大的事故是怎么产生的,主要是因为逻辑运算中缺乏分母,就是这么简单。

第三个案例,是YFI是去年一整轮过程当中,运行大半年没有出现问题,今年二月份出现问题,这个事件的出现是因为出现了一个应用方式善待贷导致稳定币的价格被操控。还有TSD被攻击,我们审查合约代码的时候,如果不是对逻辑理解特别深刻,红薯被攻击的除法算法不对,几乎很难被发现,另外三个更加困难,是治理机制出现了问题,而不是代码的问题,这个问题更难发现,对于这样的问题我们归结为潜在问题,潜在的问题以前有,今天有,未来还有,甚至包括我们所有运营的这么多合约上面,虽然很多都通过了很多公司的审计,但是我们依然担心里面还存在着很多潜在的大量的隐患,只不过这些隐患由于条件不成熟,没有被触发而已。潜在问题是对整个安全行业以及整个区块链行业最大的挑战,也是我们着力最重的地方。

还有一个是人为风险,因为时间有限,后面的内容我讲快一点,人为的疏忽跟代码的关系更少,几乎是因为人为的管理方面出现问题,我前面讲了安全的特殊性以及安全有哪些问题,下面我和大家讲一个非常重要的事项,也就是说,我们作为智能合约的审计公司,我们最重要的事情是做什么,就是为项目审计智能合约代码,看里面有没有安全事故,我刚刚在展台的时候有很多朋友过来问我们,你们写的这些报告对我们普通投资者小白来说到底有什么作用,我在这里讲,作用非常非常大。很多小白用户看到我们写的报告,这是技术文档,虽然是技术文档,但是里面有一部分内容非常通俗易懂,并且跟你的利益密切相关的。

在我们的报告里面这部分关键的内容就是我们整个审计报告里面的第一章,在我们审计报告当中的第一章,我们会开宗明义写这个项目是做什么的?这个项目的合约有什么功能?以及在我们审查过程当中,我们发现这个项目的风险没有?所以,对于任何用户而言,当你看一个项目的时候,如果这个项目有我们的审计报告,我个人建议处于你对自己投资利益的保护和自己利益的关心,无论如何你要看一看审计报告,当你拿到这份审计报告的时候,你可以不堪其他的章节,但是一定要看第一章,看完第一章,基本上不用花5分钟的时间你就能够明白这份合约安全不安全或者说这个项目通过我们公司审计的时候发现存在的问题,项目方是怎么处理这些问题,起码可以看到项目方对于处理问题的态度,对于你投资项目而言是参考的作用。

所以我强调审计报告一定要看,如果各位拿到是我们公司出的审计报告,关于技术部分不用看,但是一定要看第一章,第一章报告是我们对整个审计过程的精华和总结,看完第一章不需要5分钟,5分钟时间内大致理解这个项目做什么,合约是干什么的,安不安全,以及在审计过程当中出现什么问题。

标签:APPZOR区块链KEXSAPP币TAZOR区块链币在中国合法吗StrikeX

欧易okex官网热门资讯
全球首个区块链电子发票国际标准诞生 中国区块链技术在税收领域占据创新制高点

近日,由深圳市税务局主导推进的《基于区块链技术的电子发票应用推荐规程》国际标准(下称“国际标准”)正式经IEEE-SA(电子电气工程师协会标准协会)确认发布,成为全球首个基于区块链的电子发票应用的国际标准。 此次标准的确认,意味着我国在区块链电子发票场景下的技术实践获得国际权威机构认可,为规范和引导全球区块链电子发票应用做出了中国贡献。

风险提示 冒牌App正在币圈偷钱

又一名比特币持有者被冒牌App了。 近日,《华盛顿邮报》报道,iPhone用户菲利普·克里斯托杜鲁(Phillipe Christodoulou)因在苹果应用商店下载了假冒的Trezor钱包App,被盗走了时值60万美元的BTC。去年12月,就有美国用户称因假TrezorApp而损失了共计1.4万美元的ETH和BTC。

晚间必读5篇 | 为什么是NFT将Ethereum带入主流?

1.2021年 全球加密货币纳税进行时 随着投资机构对加密货币兴趣的增加,以及加密货币用户的激增,加密货币也成为世界各国政府监管的重要目标,越来越多的政府加入推出加密货币税法的行列。

为什么说美国今年成功发行比特币ETF的概率偏大?

比特币已经得到了广泛的关注,一些知名人士成为了比特币的支持者,他们主张更加公开地采用加密货币。 尽管许多人把比特币加入到了投资组合中,但对于一些投资者而言,不管资产的多头模式多有吸引力,都出于几点担忧而对直接交易比特币持怀疑态度。? 对于这些投资者来说,比特币ETF是解决他们想要配置比特币矛盾心理的良方。

重塑DeFi新纪元:SumSwap创新协议 特色staking

创收是流量,财富是存量,流量是存量的基础,存量是流量的归属,财富可来源于厚积薄发,也可以来源于机缘巧遇。

详细拆解黄金过去50年的走势 这对比特币的发展有何启发?

今天稍微有点时间,我们今天展开一点来讲。关于BTC的观点,做投资还是需要回到历史研究中,所以你看到那么多人告诉你,做投资的人都喜欢读历史和哲学的书。因为回到历史,你才能“古今多少事,都付笑谈中”。 “事来则应,事去心止”绝非一种赘词,而是真正属于“阿赖耶识”以上的境界。