大的DeFi协议基本上都经过多轮审计,我们前前后后5次审计费用百万刀级别大的协议常规审计每年都百万刀,但蓝筹DeFi没哪个没被黑过?这里原因很简单,简单的数学问题从攻防来看,所有静态审计的输入和输出(发现bug)都是有限的。
除了常规审计,Euler还用了Certora做形式化验证,这个我们之前也用过,形式化验证能帮助穷尽“已知”路径的覆盖范围,但是无法穷尽“未知的未知”。DeFi是一个开放系统,对于黑客来说,它的输入是无限的,输出也是无限的。假设把安全攻防看成挖矿,你守方用三五台机器算哈希挖矿攻方无数机器时刻在算哈希,只要算对一次就赢了;这个输赢面对比是明显的。静态的安全审计,由于输入输出固定,无法覆盖已知的未知,更无法覆盖未知之未知。
金色财经挖矿数据播报 | ETH今日全网算力上涨0.54%:金色财经报道,据蜘蛛矿池数据显示:
BTC全网算力147.941EH/s,挖矿难度20.82T,目前区块高度667831,理论收益0.00000652/T/天。
ETH全网算力351.954TH/s,挖矿难度4673.19T,目前区块高度11734824,理论收益0.00569817/100MH/天。
BSV全网算力0.737EH/s,挖矿难度0.11T,目前区块高度671767,理论收益0.00122131/T/天。
BCH全网算力1.814EH/s,挖矿难度0.25,目前区块高度672122,理论收益0.00049616/T/天。[2021/1/27 13:38:00]
所以出现另一种审计,叫开发式竞争型审计,如Code4rena,审计奖金池固定,但是输入在一定时间内是弹性的,所有人都可以参加,谁发现bug按照严重程度,分奖金,这个方式是让审计师/白帽去卷,可以扩大覆盖面,但总体输入依然固定,远远不够。最后是完全开放的模式,那就是赏金网络,DeFi里最出名的Immunefy,云集最多DeFi白帽高手的平台,我建议每个DeFi在上面发bounty,亲测效果十分明显。Immunefy的奖金项目方会给非常高。比如最高已支付的是Warmhole的千万美金。这次出事的Euler也曾放出100w刀赏金,但依旧没发现这次的漏洞。赏金模式在输入输出上也是开放式的,这个类似于黑客的攻击模式。
金色财经合伙人佟扬将作为特邀嘉宾参加波场大航海时代 4.0全球线上发布会:据最新消息显示,新加坡时间 7 月 7 日晚九点,波场TRON将举行波场大航海时代 4.0全球线上发布会,金色财经合伙人佟扬将作为特邀嘉宾出席并担任发布会支持人。据悉,波场TRON网络已经历三次重大版本更迭,将在7月7日迎来第四次重大升级,TRON 4.0 主要升级内容如下:1. 波场 TRONZ 匿名协议升级; 2. TPOS 新二层共识机制。新共识机制为跨链协议可将区块确认时间从 57 秒缩短至 3 秒;3. 新 TICP 跨链协议,实现了不同区块链之间的资产互换和资产转移;4. 企业级一键发链,推出区块链通用开发框架,包括共识机制、P2P 网络、区块链数据库、跨链、虚拟机、交易、加密等核心功能模块。届时波场 TRON 将举办大型线上发布会,邀请行业同仁共同探讨区块链新方向,四大直播平台将同时进行全球直播。[2020/7/2]
但两者激励模式很大区别。假如把两者当成是抽奖,同样1000w奖金池,赏金模式奖金一般都会在10w-30w刀封顶,黑客模式是100%奖金全拿走。这两种模式,同等投入,同样中奖概率,假设没有犯罪成本,毫无疑问黑客池输入/输出会跑赢。赏金模式就算加到10%,也跑不赢黑客池,除非把犯罪成本加入等式,有人建议把赏金比例和TVL挂钩,比如10%,是否会激励更多黑客转白帽??
金色晚报 | 2月21日晚间重要动态一览:12:00-21:00关键词:Cardano、富达国际、Telegram、Tezos?
1. Cardano现已完成OBFT硬分叉升级。
2. 全球金融监管机构:与稳定币相关的法律并没有迅速实施。
3. G20集团旗下工作组将对加密货币监管进行研究。
4. Telegram搬砖套利局仍在运转,20天内1010枚ETH。
5. Tezos已超越EOS成为质押市值最大的Staking项目。
6. 富达国际向加密货币交易所OSL运营商投资1400万美元。
7.重庆外汇管理部:跨境金融区块链服务平台节省核验时间。
8. 纳斯达克上市公司 Riot Blockchain计划出售交易所业务 专注挖矿比特币。
9. 比利时金融服务和市场管理局(FSMA)将三家加密货币网站加入黑名单。
10. 香港信托公司Legacy Trust为交易法币和加密货币的机构投资者创建结算层。[2020/2/21]
?首先,没哪个defi协议能支付10%TVL的赏金,其次,遇到真黑客,他大概率还是愿意一黑到底而不会止步要10%。DeFi的安全更复杂问题在于除了代码层面,还有可组合风险攻击面上,DeFi本身随着整合增加,攻击面是四维增长的,定期静态安全审计加长期赏金,也无法覆盖不断扩大的攻击面DeFi安全是无限游戏,唯一靠谱的是在协议上减少外部依赖,最小化攻击面,尽量待在“自己的舒适区”,不乱做扩展。对开放系统来说,安全代价就是自由的代价
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。