靈蹤安全CEO譚粵飛:DeFi投資者一定要看項目審計報告

2021-04-11 00:04:31

金色財經現場報道,4月10日,由金色財經主辦,波場TRON總冠名,HBTC、SumSwap、SubGame首席合作企業的“2021共為·創新大會”在上海舉辦。大會以“DeFi的創新進階”為主題,匯聚百家優秀區塊鏈企業和衆多行業大咖,共同探討Defi生態、波卡、NFT、交易所公鏈、ETH 2.0、Layer2六大賽道話題。

在下午的“DeFi+NFT”主題專場,靈蹤安全CEO譚粵飛做了《小白用戶如何讀懂DeFi合約的審計報告》的主題演講。譚粵飛在演講中指出,2020年DeFi安全損失超過2億美金,這些安全事故大多來自對智能合約的攻擊,智能合約的安全事故較多,原因有三:第一個是智能合約本身,第二是區塊鏈技術特點,第三是社會因素。首先智能合約一旦部署,不能被撤回。其次區塊鏈結構使項目方無法知曉攻擊者的社會身份以及交易不可逆。最後是智能合約應用的社會約束比較缺乏,例如缺乏對數字資產的保護,缺乏對區塊鏈應用的約束和規範。

靈蹤安全CEO譚粵飛:DeFi投資者一定要看項目審計報告

以下為演講詳情:

譚粵飛:今天我和大家分享的主題是如何閱讀DeFi合約的審計報告。當我們說到審計報告的時候,事實上我們談的是DeFi的安全,我們談安全的時候,很多時候覺得這個概念比較抽象,所以,我給大家展示一些數據。

整個大餅是2020年整個一年所有和區塊鏈安全事故所引起的損失,所有的損失,請大家注意看,其中光DeFi左邊紅色區域是DeFi損失,2.38億萬美元,佔整個區塊鏈安全所引發的損失40.9%,幾乎接近一半。在2020年之前,DeFi安全的事故遠遠沒有這么誇張,但是DeFi的出現導致安全的事故如此嚴重。

還不是這么直觀,我們再看一些更具體的事例,我們從底下看起,2020年12月26日資金池的資金被轉移,2020年12月21日被攻擊,2021年1月份壽司被攻擊,2月份WFI又被攻擊,我羅列的數據不是指出這些項目本身怎么樣,我是想要讓大家注意,這些項目被攻擊的時間點,大家有沒有發現從2020年10月到2021年3月,每個月都有一個比較知名的DeFi項目受到供給,足以說明安全事故在DeFi領域發生的頻率和頻次多么高。

安全事故的頻發不僅僅項目方的聲譽,直接影響投資者的利益,接下來,我和大家分享一下為什么智能合約安全事故這么多,他是由特殊的因素所確定,我們靈蹤安全團隊認為,出現安全事故的原因主要有三個因素,第一個智能合約本身運行的機制,第二個區塊鏈技術的特點,第三個智能合約應用的社會約束。

我們首先來看第一個智能合約本身運行機制,智能合約有一個非常大的特點,和我們傳統的IT應用有一個什么樣大的特點,我們使用比較傳統的應用的時候,我們使用一個遊戲或者是APP,我們使用過程當中突然有一天項目方告訴我們,這個APP發布一個公告,這個APP有問題,在這種情況下,項目方把APP從APP商店裏面下架,讓大家使用舊的版本,他們把有問題的版本撤下去修改完善之後使用新的APP,但是在區塊鏈領域,以太坊領域,一旦智能合約理解成為是一種APP,部署到以太坊上面以後,他是沒有無法被撤退,這是不能像傳統的IT裏面的應用被撤回,一旦智能合約开始執行的時候,這是不可逆的,或者我們可以理解,我們發現有問題的智能合約部署到以太坊上面,漏洞被黑客發現,黑客利用漏洞攻擊它的時候我們眼睜睜看到資金池裏面的資金被盜走,我們無能為力,我們在傳統領域,把服務器關掉,但是在以太坊上面,這樣的事情是不能發生,我們不可能把以太坊關機。

我不知道大家注意到推廣以太坊的時候,很多人不理解以太坊是什么,他用簡單的一句話,以太坊是永遠不停歇的世界計算機,永遠不宕機,一旦運行無法停下來。

第二點跟區塊鏈技術本身相關,我們談到區塊鏈技術的時候,我們首先看看區塊鏈技術的第一個應用就是比特幣,我們最早說比特幣至今很多人比特幣的時候想到第一個特點是匿名,當然如果按照純技術的觀點來講,這是僞匿名,做到擬匿名的情況下,在某種情況下把個人真實的信息進行了隱藏,匿名是什么意思,我們在區塊鏈裏面進行每一筆交易的時候,我們在所有的可公开查詢的資料裏面,我們只能看到發起這筆交易或者是參與交易的這些地址,但是我們沒有辦法把這個地址和執行這筆交易的持有這個地址的人在社會生活當中的真實身份掛鉤。我們不知道這個地址背後的持有人是誰,他叫什么名字,它的身份證號是多少,他在哪個國家,所以因為這個原因他是匿名的,這樣導致了我們在區塊鏈裏面,在智能合約裏面一旦發生安全事故,我們知道有黑客攻擊我們只是看到攻擊的地址,我們不知道地址後面的持有人是誰,我們不知道黑客真實的社會身份是什么。

剛剛我講的智能合約本身的技術特點,還有區塊鏈技術特點,導致安全事故非常特殊的特點,從技術角度考慮,還有一個角度我們平時各個公共場合大家提到比較少,但是在我們團隊看來恰恰也是目前最復雜最難掌控的地方,這就是社會約束。

我在這裏羅列兩條,現有的法律法規缺乏對數字資產的保護,當我說這個問題的時候有朋友說,在我們國家關注到最近一兩年關注數字貨幣法律的信息會說,我們國家在民法典出臺具體的措施,保護數字資產,但是請大家注意,這樣的一些條款和民法典裏面,不管是我們國家的法律以及世界各國的法律,對傳統資產的保護力度和廣度跟他們相比是無法相比的,所以現在全世界各國對數字資產的保護,在法律上面都是不規範,不完善,不完備。

第二點現有的法律缺乏對區塊鏈的應用和監管。現有的法律對所有的傳統應用,互聯網應用也好,他有一個約束性,有一個規範,但是這樣的法律對智能合約的規範,目前在全世界任何一個國家幾乎一個都沒有,最近在美國,美國的某些州已經成人智能合約的某些法律效應,但是這是喫螃蟹而已,只是嘗試而已,真正在具體落地或者是未來實現過程當中存在什么問題會產生新的問題或者是新的方式,我們目前都不得而知,在這方面也是一片空白。

所以,智能合約本身的問題,區塊鏈技術本身的問題,以及智能合約應用缺乏的社會約會導致智能合約的安全有非常特殊的地方,所以,造成的事故這么頻繁,造成的危害這么大。

剛剛我跟大家分享的是安全的一些特殊性,下面我和大家分享一下我們團隊目前對所有在智能合約安全領域發生的事故我們一般分成三類,第一類是已知風險,第二類是潛在風險,第三類是人為風險。

什么是已知風險,已知風險我們現在在技術領域技術團隊或者是業界根據以往所有發生的安全事故所總結出來的一些安全的特點,一些事故的特點,總結出來的一些規律,我們知道了這些規律,知道了這些事故的特點和特性我們很容易判斷,所以我們稱之為是已知的風險。

潛在的風險是什么,這些風險從來沒有出現過,或許在我們運行的智能合約裏面,但是我們不知道,或者說這些風險暫時因為條件不成熟,還沒有被觸發,這是潛在風險。

第三個是人為風險。我羅列了11個風險,實際上,並不是說在智能合約領域只有這11個風險,我羅列這11個風險,這是目前出現比較頻繁的風險,而且我們見到比較多的風險,具體到每個風險,在業界有很多的分析和講解,在這裏我不和大家細說。

我們舉一些更詳細的例子講講已知風險和潛在風險和人為風險。我們看看這個風險,在座的朋友們有沒有在2018年4月份之前上一輪進入幣圈(有),那一輪的牛市瘋狂,瘋狂到什么地步,不僅很多小白用戶進來,而且傳統的IT界的大佬在這個領域,美鏈跟某一位傳統的IT公司有非常深的關系,他做了什么事情,他發布一個智能合約出現一個重大的安全漏洞,什么漏洞?在一行代碼計算過程當中沒有使用安全的數學庫,導致計算溢出,溢出導致的代幣被巨量增發,導致價格暴跌。這是2018年4月22日。

在此之前可能這樣的事故叫做潛在風險,現在這個事故發生以後,在業界我們用技術分析出來出現安全事故的原因以及可能出現的徵兆和特點,我們現在稱之為已知風險,這是已知風險的典型。

第二個案例,2020年312,比特幣和以太坊全部報鐵,比特幣跌到4000美元以下,以太坊跌到100美元,在比特幣和以太坊暴跌以後,MakerDAO出現瘋狂擠兌的機制,最後發現是機制設計的問題。

接着紅薯被攻擊,20206年6月份,YAM被攻擊,紅薯這個項目非常有名,這個項目被攻擊以後,它的創始人在推特上面發了一段話,對不起,我們失敗了,這么大的事故是怎么產生的,主要是因為邏輯運算中缺乏分母,就是這么簡單。

第三個案例,是YFI是去年一整輪過程當中,運行大半年沒有出現問題,今年二月份出現問題,這個事件的出現是因為出現了一個應用方式善待貸導致穩定幣的價格被操控。還有TSD被攻擊,我們審查合約代碼的時候,如果不是對邏輯理解特別深刻,紅薯被攻擊的除法算法不對,幾乎很難被發現,另外三個更加困難,是治理機制出現了問題,而不是代碼的問題,這個問題更難發現,對於這樣的問題我們歸結為潛在問題,潛在的問題以前有,今天有,未來還有,甚至包括我們所有運營的這么多合約上面,雖然很多都通過了很多公司的審計,但是我們依然擔心裏面還存在着很多潛在的大量的隱患,只不過這些隱患由於條件不成熟,沒有被觸發而已。潛在問題是對整個安全行業以及整個區塊鏈行業最大的挑战,也是我們着力最重的地方。

還有一個是人為風險,因為時間有限,後面的內容我講快一點,人為的疏忽跟代碼的關系更少,幾乎是因為人為的管理方面出現問題,我前面講了安全的特殊性以及安全有哪些問題,下面我和大家講一個非常重要的事項,也就是說,我們作為智能合約的審計公司,我們最重要的事情是做什么,就是為項目審計智能合約代碼,看裏面有沒有安全事故,我剛剛在展臺的時候有很多朋友過來問我們,你們寫的這些報告對我們普通投資者小白來說到底有什么作用,我在這裏講,作用非常非常大。很多小白用戶看到我們寫的報告,這是技術文檔,雖然是技術文檔,但是裏面有一部分內容非常通俗易懂,並且跟你的利益密切相關的。

在我們的報告裏面這部分關鍵的內容就是我們整個審計報告裏面的第一章,在我們審計報告當中的第一章,我們會开宗明義寫這個項目是做什么的?這個項目的合約有什么功能?以及在我們審查過程當中,我們發現這個項目的風險沒有?所以,對於任何用戶而言,當你看一個項目的時候,如果這個項目有我們的審計報告,我個人建議處於你對自己投資利益的保護和自己利益的關心,無論如何你要看一看審計報告,當你拿到這份審計報告的時候,你可以不堪其他的章節,但是一定要看第一章,看完第一章,基本上不用花5分鐘的時間你就能夠明白這份合約安全不安全或者說這個項目通過我們公司審計的時候發現存在的問題,項目方是怎么處理這些問題,起碼可以看到項目方對於處理問題的態度,對於你投資項目而言是參考的作用。

所以我強調審計報告一定要看,如果各位拿到是我們公司出的審計報告,關於技術部分不用看,但是一定要看第一章,第一章報告是我們對整個審計過程的精華和總結,看完第一章不需要5分鐘,5分鐘時間內大致理解這個項目做什么,合約是幹什么的,安不安全,以及在審計過程當中出現什么問題。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

盤點 2025 年七大 DeFi 質押協議

質押和挖礦是加密貨幣生態系統的基石,在網絡安全和投資者參與中發揮着關鍵作用。通過參與質押,個人可以...

coincaso
6 10小時前

Hyperliquid:從史上最有價值空投到高估值警鐘

毫無疑問,Hyperliquid 是近期加密市場炙手可熱的焦點,它通過一場震撼行業的空投,不僅引發...

coincaso
14 3天前

Arthur Hayes 新文聚焦 | 全球貨幣政策的真相,比特幣接下來何去何從?

作為一名宏觀經濟預測者,我試圖基於公开數據和當前事件,作出能夠指導投資組合資產配置的預測。我喜歡“...

coincaso
20 4天前

Ouroboros DeFi:為什么 Usual Money 被低估了?

前言:Ouroboros DeFi 方法論在Ouroboros DeFi收益基金,我們的投資策略始...

coincaso
18 4天前

WEEX 唯客交易所贊助臺北區塊鏈周 支持更多全球用戶Onboard Web3

第三屆臺北區塊鏈周(Taipei Blockchain Week, TBW)於 12 月 12-1...

coincaso
18 4天前

DeFi 3.0正在到來:下一代去中心化金融的演進

DeFi 3.0正逐步成形,多個前沿項目正在引領這一波技術浪潮。$HYPE、$PENDLE、$IN...

coincaso
18 1周前