鸵鸟区块链

知名DeFi项目经知名审计机构审计还被盗,DeFi将会有更大的雷?

Kylin 2020-09-17 11:26 2507
摘要:

本文内容,由鸵鸟区块链和defigo平台联合出品。

本文内容,由鸵鸟区块链和defigo平台联合出品。

正当大家还热衷于DeFi的话题中,几起几落的小波段行情的时候,近日DeFi行业里面发生了一件非常重要的事情,这件事情的影响短期是小范围的,但是由此引发出来的行业问题,以及技术代码的问题所涉及的资金安全问题,将会对行业造成非常重要且长远的影响。

代码审计,区块链项目的定心丸?

随着近月DeFi的热度高度攀升,安全问题成了该领域不得不重视的挑战,据PeckShield数据显示,今年八月数字资产领域共发生安全事件28起,其中DeFi领域发生8起。区块链面临着数据层、网络层等各个方面的安全攻击危险,智能合约似乎是重灾区。

近日,BZX第三次被盗再次让整个行业的关注点转移到代码审计上。代码审计被视作DeFi项目是否可靠的一个重要评判准则。的确,代码审计对项目方来说可以节约安全投入,降低修复成本,能够从源头上降低风险,避免出现漏洞造成巨额损失。对投资者来说,由于很多项目都是匿名化,通过审计则是一枚重要的定心丸。所以在之前,审计是保障区块链项目尤其对当前疯狂的DEFI项目获得投资者信赖的重要途径。

今年下半年大火的流动性挖矿尤其存在清算、系统性和智能合约等多方面的风险,无审DeFi约无疑存在极高风险。项目开发者通过参考已审计的DEFI项目来审计代码,仍会出现严重漏洞。

随着YFI的推出,去中心化金融领域似乎形成了这样一种趋势,即发布未经代码审计的项目让用户参与。许多项目因为智能合约漏洞而出现重大问题,例如今年三次被盗的bzx、四月份的lendf.me、八月份因智能合约漏洞险些阵亡的YAM。

 9 月 14 日下午 3 点半左右,bZx 发现其协议总锁定价值(TVL)出现显著下降。大约 3 小时后 bZx 确认多个 iToken 发生了重复事故,即 iToken 合约中的_internalTransferFrom() 函数出现异常行为,攻击者利用了相同的_from 和_to 地址调用了传输函数。确认问题后 bZx 随即暂停了放贷操作。

在此次攻击发生前不久,bZx贷款和保证金交易平台Fulcrum才重新启动。2月初,由于bZx遭遇攻击,Fulcrum宣布关闭进行维护。在六个月的时间里,bZx团队进行了很多工作。包括接受了来自Peckshield的12周人工手动审核,以及Certik的7周审核。bZx团队从头开始重构、完善和改进协议。

两家审计公司的轮番审核依旧没能预防攻击发生。bZx此次攻击中, 损失了价值 800 多万的资产。去中心化借贷协议 Compound 创始人 Robert Leshner 建议 bZx 重新审计合约,而不是仅向用户表示「no big deal」。

审计不再是「no big deal」,需重新审视

然而审计不是决定项目好坏的唯一标准,并不能十足保障项目可信,目前的审计方案形式化,而且存在各方面的问题。

再好的项目也并不能永远保持完美,出现漏洞无可避免,即使提前采取防御措施。审计虽能够检查出隐患,减少安全担忧,但不乏通过审计仍然出现漏洞的事件发生。

一些DeFi挖矿项目通过审计,但结局并没意味着项目完全安全。例如MOONSWAP( 自称Sushiswap的升级版)过审,但却没有上时间锁,项目方可以直接提币。并且审计是看后端合约,而项目方偷换前端,即使换了后端也没办法。这引起许多投资者的讨论和质疑,审计似乎并不完全可靠。

目前很多项目套用其他项目的代码,或在原来的代码上稍作修改,sakeswap和pickle就是仿照sushiswap的代码,在此基础上做了新的调整,LP代币的添加和处理层有改动。pickle的流动性挖矿是用户在Uniswap上为几个不同的稳定币池提供流动性,即可获得其PICKLE代币。为了方便用户在不同挖矿池之间的切换,Pickle酸黄瓜计划推出PickleSwap,用户可以将其LP代币从一个稳定币池直接一键切换到另外一个稳定币池。这些项目没有经过可靠的实盘测试,所以,仍然存在同样的代码安全问题,它们所要考虑的重点则是如何让自己修改的代码保证安全。挖矿挖的是经过时间和大资金验证过的矿,而不仅仅只是通过安全审计过的矿,后者的安全隐患一直存在。

流动性挖矿的收益非常高,吸引了大批投资者,但也面临着诸多风险,包括智能合约风险、创始人中心化以及其他方面的风险。投资者在评估项目时,可以从团队、技术、审计等多方面出发。但我们需要知道的是,这些因素并不能完全杜绝项目崩塌的结局。目前只有不到三十家的网络安全公司为加密货币项目提供审计方案,并延伸到DeFi项目。掌握先进代码技术的公司也是凤毛麟角,随着越来越多的Defi项目诞生,代码审计的标准需及时跟上,防止更多的区块链安全事件发生。

==

和11万人同时接收最新行情资讯

搜“鸵鸟区块链”下载

和2万人一起加入鸵鸟社群

添加微信ID:tuoniao02

本文经「原本」原创认证,作者鸵鸟区块链,访问yuanben.io查询【1ORBUON2】获取授权信息。

声明: 鸵鸟区块链所有发布内容均为原创或授权发布,如需转载,请务必注明文章作者以及来源:鸵鸟区块链(微信公众号:MyTuoniao),任何不尊重原创的行为鸵鸟区块链都将进行责任追究!鸵鸟区块链报道和发布内容,不构成任何投资建议。

Kylin

越努力,越幸运!

663 篇 作品
222.97W 总阅读量