22

知名DeFi项目经知名审计机构审计还被盗,DeFi将会有更大的雷?

 3 years ago
source link: https://www.tuoniaox.com/news/p-463141.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

本文内容,由鸵鸟区块链和defigo平台联合出品。

正当大家还热衷于DeFi的话题中,几起几落的小波段行情的时候,近日DeFi行业里面发生了一件非常重要的事情,这件事情的影响短期是小范围的,但是由此引发出来的行业问题,以及技术代码的问题所涉及的资金安全问题,将会对行业造成非常重要且长远的影响。

代码审计,区块链项目的定心丸?

随着近月DeFi的热度高度攀升,安全问题成了该领域不得不重视的挑战,据PeckShield数据显示,今年八月数字资产领域共发生安全事件28起,其中DeFi领域发生8起。区块链面临着数据层、网络层等各个方面的安全攻击危险,智能合约似乎是重灾区。

近日,BZX第三次被盗再次让整个行业的关注点转移到代码审计上。代码审计被视作DeFi项目是否可靠的一个重要评判准则。的确,代码审计对项目方来说可以节约安全投入,降低修复成本,能够从源头上降低风险,避免出现漏洞造成巨额损失。对投资者来说,由于很多项目都是匿名化,通过审计则是一枚重要的定心丸。所以在之前,审计是保障区块链项目尤其对当前疯狂的DEFI项目获得投资者信赖的重要途径。

今年下半年大火的流动性挖矿尤其存在清算、系统性和智能合约等多方面的风险,无审 DeFi 约无疑存在极高风险。项目开发者通过参考已审计的DEFI项目来审计代码,仍会出现严重漏洞。

随着YFI的推出,去中心化金融领域似乎形成了这样一种趋势,即发布未经代码审计的项目让用户参与。许多项目因为智能合约漏洞而出现重大问题,例如今年三次被盗的bzx、四月份的lendf.me、八月份因智能合约漏洞险些阵亡的YAM。

9 月 14 日下午 3 点半左右,bZx 发现其协议总锁定价值(TVL)出现显著下降。大约 3 小时后 bZx 确认多个 iToken 发生了重复事故,即 iToken 合约中的_internalTransferFrom() 函数出现异常行为,攻击者利用了相同的_from 和_to 地址调用了传输函数。确认问题后 bZx 随即暂停了放贷操作。

在此次攻击发生前不久,bZx贷款和保证金交易平台Fulcrum才重新启动。2月初,由于bZx遭遇攻击,Fulcrum宣布关闭进行维护。在六个月的时间里,bZx团队进行了很多工作。包括接受了来自Peckshield的12周人工手动审核,以及Certik的7周审核。bZx团队从头开始重构、完善和改进协议。

两家审计公司的轮番审核依旧没能预防攻击发 生。 bZx 此次攻击中, 损失了价值 800 多万的资产。去中心化借贷协议 Compound 创始人 Robert Leshner 建议 bZx 重新审计合约,而不是仅向用户表示「no big deal」。

审计不再是「no big deal」,需重新审视

然而审计不是决定项目好坏的唯一标准,并不能十足保障项目可信,目前的审计方案形式化,而且存在各方面的问题。

再好的项目也并不能永远保持完美,出现漏洞无可避免,即使提前采取防御措施。审计虽能够检查出隐患,减少安全担忧,但不乏通过审计仍然出现漏洞的事件发生。

一些DeFi挖矿项目通过审计,但结局并没意味着项目完全安全。例如MOONSWAP( 自称Sushiswap的升级版)过审,但却没有上时间锁,项目方可以直接提币。并且审计是看后端合约,而项目方偷换前端,即使换了后端也没办法。这引起许多投资者的讨论和质疑,审计似乎并不完全可靠。

目前很多项目套用其他项目的代码,或在原来的代码上稍作修改,sakeswap和pickle就是仿照sushiswap的代码,在此基础上做了新的调整,LP代币的添加和处理层有改动。pickle的流动性挖矿是用户在Uniswap上为几个不同的稳定币池提供流动性,即可获得其PICKLE代币。为了方便用户在不同挖矿池之间的切换,Pickle酸黄瓜计划推出PickleSwap,用户可以将其LP代币从一个稳定币池直接一键切换到另外一个稳定币池。这些项目没有经过可靠的实盘测试,所以,仍然存在同样的代码安全问题,它们所要考虑的重点则是如何让自己修改的代码保证安全。挖矿挖的是经过时间和大资金验证过的矿,而不仅仅只是通过安全审计过的矿,后者的安全隐患一直存在。

流动性挖矿的收益非常高,吸引了大批投资者,但也面临着诸多风险,包括智能合约风险、创始人中心化以及其他方面的风险。投资者在评估项目时,可以从团队、技术、审计等多方面出发。但我们需要知道的是,这些因素并不能完全杜绝项目崩塌的结局。目前只有不到三十家的网络安全公司为加密货币项目提供审计方案,并延伸到DeFi项目。掌握先进代码技术的公司也是凤毛麟角,随着越来越多的Defi项目诞生,代码审计的标准需及时跟上,防止更多的区块链安全事件发生。

==

和11万人同时接收最新行情资讯

搜“鸵鸟区块链”下载

和2万人一起加入鸵鸟社群

添加微信ID:tuoniao02

本文经「原本」原创认证,作者 鸵鸟区块链 ,访问yuanben.io查询【 1ORBUON2 】获取授权信息。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK