Tan Yuefei, CEO de Fairyproof Tech: Los inversores de DeFi deben leer el informe de auditoría del proyecto

El informe en vivo de Jinse Finance, el 10 de abril, organizado por Jinse Finance, TRON como título general, HBTC, SumSwap, la empresa socia principal de SubGame "2021 Together Innovation Conference" se llevó a cabo en Shanghái. Con el tema "Innovación y avance de DeFi", la conferencia reunió a cientos de destacadas empresas de blockchain y muchos líderes de la industria para discutir los seis temas principales de la ecología de DeFi, Polkadot, NFT, cadena pública de intercambio, ETH 2.0 y Layer2. En la sesión temática "DeFi+NFT" de la tarde, Tan Yuefei, CEO de Fairyproof Tech, pronunció un discurso de apertura sobre "Cómo los usuarios novatos pueden entender el informe de auditoría de los contratos DeFi". Tan Yuefei señaló en su discurso que en 2020, las pérdidas de seguridad de DeFi superarán los 200 millones de dólares estadounidenses. La mayoría de estos incidentes de seguridad provienen de ataques a contratos inteligentes. Hay muchos incidentes de seguridad en contratos inteligentes. Hay tres razones: la primera es el contrato inteligente en sí, y el segundo es el área. Las características técnicas de la cadena de bloques, el tercero son los factores sociales. En primer lugar, una vez que se implementa un contrato inteligente, no se puede retirar. En segundo lugar, la estructura de la cadena de bloques hace imposible que la parte del proyecto conozca la identidad social del atacante y la transacción es irreversible. Finalmente, existe una falta de restricciones sociales sobre la aplicación de contratos inteligentes, como la falta de protección de los activos digitales y la falta de restricciones y normas para las aplicaciones de blockchain. Los detalles del discurso son los siguientes: Tan Yuefei: El tema que compartiré con ustedes hoy es cómo leer el informe de auditoría del contrato DeFi. Cuando hablamos de informes de auditoría, en realidad estamos hablando de la seguridad de DeFi. Cuando hablamos de seguridad, a menudo sentimos que este concepto es relativamente abstracto, por lo que les mostraré algunos datos. zkSync actualiza los hitos de Fair Onboarding Alpha y Full Launch Alpha en la hoja de ruta del primer al segundo trimestre del próximo año: El 14 de diciembre, la red de dos capas de Ethereum basada en ZKRollup zkSync anunció que pospondrá los hitos de Fair Onboarding Alpha y Full Launch Alpha en el comunicado de la hoja de ruta. Al alcanzar el hito de BabyAlpha en octubre, zkSync dijo que espera alcanzar Fair Onboarding Alpha en el cuarto trimestre de 2022 y Full Launch Alpha en el primer trimestre de 2023. Para tener tiempo para la auditoría de seguridad en curso, se pospondrá el lanzamiento. Se espera que su auditoría de seguridad se complete antes de enero de 2023. segundo trimestre. Todas las fechas de lanzamiento del producto dependerán de la preparación de la red y serán de código abierto en Fair Onboarding Alpha. [2022/12/14 21:43:33] Todo el gran pastel es la pérdida causada por todos los accidentes de seguridad de blockchain a lo largo de 2020. Preste atención a todas las pérdidas. El área roja a la izquierda de DeFi es DeFi La pérdida, 238 millones de dólares estadounidenses, representó el 40,9% de la pérdida causada por toda la seguridad de la cadena de bloques, casi la mitad. Antes de 2020, los accidentes de seguridad de DeFi eran mucho menos exagerados, pero la aparición de DeFi provocó accidentes de seguridad tan graves. Todavía no es tan intuitivo, veamos algunos ejemplos más específicos, veámoslo desde abajo, los fondos en el fondo común se transfirieron el 26 de diciembre de 2020, se atacaron el 21 de diciembre de 2020 y el sushi fue atacado en enero de 2021 , WFI fue atacado nuevamente en febrero. Los datos que enumeré no son para señalar cómo son estos proyectos en sí. Quiero que todos presten atención al momento en que estos proyectos fueron atacados. ¿Ha encontrado que desde octubre de 2020 hasta marzo de 2021, cada mes, se proporciona un proyecto DeFi relativamente conocido, lo que es suficiente para ilustrar la frecuencia y la frecuencia de los incidentes de seguridad en el campo DeFi. Fairyproof: la plataforma QAN fue atacada y el atacante ganó alrededor de $ 2,000,000: el 11 de octubre, el sistema de monitoreo Fairyproof mostró que el proyecto dApp QANplatform en la cadena BNB fue atacado. La dirección del atacante es 0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11 (cadena BNB). La captura de pantalla muestra que el implementador del contrato transfiere BNB al atacante. Este comportamiento es altamente sospechoso de filtrar la clave privada del implementador del contrato. El atacante intercambió los tokens QANX robados por tokens WBNB en 1 pulgada. Al cierre de esta edición, el atacante ha ganado aproximadamente $960 000 en activos en Ethereum y aproximadamente $1 140 000 en activos en la cadena BNB. ¡Los inversores no deben comprar tokens QANX por el momento! [2022/10/11 10:31:08] La frecuente ocurrencia de accidentes de seguridad no solo afecta la reputación de la parte del proyecto, sino que también afecta directamente los intereses de los inversores. A continuación, Compartiré con ustedes por qué Hay tantos incidentes de seguridad de contratos inteligentes, que están determinados por factores especiales. Nuestro equipo de Fairyproof Tech cree que hay tres razones principales para los incidentes de seguridad. La primera es el mecanismo de operación del contrato inteligente en sí, y el segundo es la tecnología blockchain. Característicamente, el tercer contrato inteligente aplica restricciones sociales. Veamos primero el mecanismo operativo del primer contrato inteligente en sí. Los contratos inteligentes tienen una característica muy importante, y ¿qué tipo de característica importante tiene con nuestras aplicaciones de TI tradicionales? Cuando usamos aplicaciones más tradicionales, usamos un juego o es una APLICACIÓN. Durante nuestro uso, un día, la parte del proyecto nos dijo que la APLICACIÓN emitió un anuncio y que había un problema con la APLICACIÓN. En este caso, la parte del proyecto eliminó la APLICACIÓN de la tienda de APLICACIONES y pidió a todos que usaran la versión anterior. Eliminaron la versión problemática y la modificaron para usar la nueva aplicación. Sin embargo, en el campo de blockchain y Ethereum, una vez que el contrato inteligente se entiende como una aplicación y se implementa en Ethereum, no se puede retirar. , Esto no se puede retirado como la aplicación en TI tradicional. Una vez que el contrato inteligente comienza a ejecutarse, es irreversible, o podemos entender que encontramos que el contrato inteligente problemático se implementó en Ethereum, y los piratas informáticos descubrieron la vulnerabilidad. Cuando los piratas informáticos explotaron las lagunas para atacarlo, vimos que los fondos en el fondo común fueron robados y no pudimos hacer nada. Cerramos el servidor en el campo tradicional, pero en Ethereum, tal cosa no puede suceder, y es imposible para nosotros Ethereum apaga. Ant Group anuncia la actualización de la plataforma de colaboración de privacidad FAIR en Shanghái: Golden Finance News, en la Conferencia Mundial de Inteligencia Artificial (WAIC) de 2022 en Shanghái hoy, la plataforma de colaboración de privacidad AntChain FAIR anunció una actualización de su arquitectura general, la apertura de la plataforma y la computación a gran escala el rendimiento se ha mejorado aún más. Se informa que la plataforma de colaboración de privacidad FAIR es desarrollada por el equipo AntChain de Ant Digital. Integra profundamente las ventajas de las dos tecnologías de privacidad informática y blockchain para resolver el problema de "disponibilidad e invisibilidad" en el proceso de transferencia de datos y colaboración multipartita problemas de propiedad y autenticidad de los datos. [2022/9/2 13:05:18] No sé si todos notaron que al promocionar Ethereum, muchas personas no entienden qué es Ethereum. Usó una oración simple, Ethereum es una computadora mundial que nunca se detiene. Nunca tiempo de inactividad, una vez que se ejecuta no se puede detener. El segundo punto está relacionado con la tecnología blockchain en sí. Cuando hablamos de la tecnología blockchain, primero nos fijamos en la primera aplicación de la tecnología blockchain, que es Bitcoin. Pensar en la primera característica es el anonimato, por supuesto, desde un punto de vista puramente técnico. vista, esto es pseudo-anonimato. En el caso de cuasi-anonimato, la información personal real se oculta bajo ciertas circunstancias. ¿Qué significa el anonimato? Cuando realizamos cada transacción en la cadena de bloques, solo podemos ver las direcciones que iniciaron la transacción. o participó en la transacción en toda la información disponible públicamente, pero no tenemos forma de comparar esta dirección con La identidad real de la persona que tiene la dirección que ejecuta la transacción está vinculada en la vida social. No sabemos quién es el titular detrás de esta dirección, cuál es su nombre, cuál es su número de identificación y en qué país se encuentra, por lo que es anónimo, lo que nos lleva a, en la cadena de bloques, Once a incidente de seguridad ocurre en un contrato inteligente, sabemos que hay un ataque de piratas informáticos y solo vemos la dirección del ataque. No sabemos quién es el titular detrás de la dirección, y no sabemos cuál es la red social real del pirata informático. la identidad es. FAIRY completó la primera reducción de producción de recompensas mineras: según las noticias oficiales, el certificado de acciones de la plataforma FairySwap FAIRY completó su primera reducción de producción a las 8:00 (UTC+8) el 30 de marzo, y la recompensa por bloque se redujo a la mitad de 50 000 FAIRY a 25 000 FAIRY . Además, la segunda reducción de producción de FAIRY se realizará 14 días después de esta reducción de producción. FairySwap es el primer intercambio descentralizado (DEX) de creador de mercado automatizado (AMM) basado en Findora. Es un nuevo tipo de cadena de bloques que proporciona confidencialidad en la cadena y privacidad programable. Utilice EVM de Findora para proporcionar a los usuarios intercambios entre cadenas extremadamente rápidos con cadenas L1 como Ethereum y Binance Smart Chain. [2022/3/30 14:27:14] Las características técnicas del propio contrato inteligente que acabo de mencionar, así como las características técnicas de la cadena de bloques, conducen a características muy especiales de accidentes de seguridad. Desde un punto de vista técnico, hay otro punto de vista que solemos mencionar rara vez varios lugares públicos, pero en opinión de nuestro equipo, es precisamente el lugar más complicado y difícil de controlar, que son las restricciones sociales. Voy a enumerar dos cosas aquí. Las leyes y regulaciones existentes carecen de la protección de los activos digitales. Cuando hablé sobre este tema, algunos amigos dijeron que en nuestro país, la información que ha prestado atención a las leyes de moneda digital en los últimos uno o dos años. diré que nuestro país El Código Civil introduce medidas específicas para proteger los activos digitales, pero tenga en cuenta que algunas de estas disposiciones y el Código Civil, ya sean las leyes de nuestro país o las leyes de otros países del mundo, compare con ellos en términos de solidez y amplitud de la protección de los activos tradicionales es incomparable, por lo que la protección de los activos digitales en países de todo el mundo no está estandarizada, es imperfecta e incompleta en la ley. El segundo punto es que las leyes existentes carecen de la aplicación y supervisión de blockchain. Las leyes existentes se aplican a todas las aplicaciones tradicionales, aplicaciones de Internet, tiene un enlace, hay una especificación, pero tal ley sobre la especificación de contratos inteligentes, casi no hay nadie en ningún país del mundo, recientemente en los Estados Unidos , Algunos estados de los Estados Unidos se han convertido en ciertos efectos legales de los contratos inteligentes, pero esto es solo comer cangrejos, solo un intento, y cualquier problema en la implementación real o futura generará nuevos problemas o nuevos métodos, no lo sabemos. todavía, y hay un espacio en blanco en este sentido. Fairyproof Tech: las referencias de proyectos riesgosos del contrato de Iron Bank deben ser cautelosas: el análisis de Fairyproof Tech encontró que la causa de este accidente fue la existencia de contratos relacionados con Iron Bank recientemente introducidos por el protocolo Cream. Las vulnerabilidades son explotadas por piratas informáticos. Iron Bank adoptó audazmente el método no garantizado + lista blanca para permitir a los usuarios tomar prestado del fondo común. Por un lado, este método mejora la tasa de utilización y la flexibilidad de los fondos, pero por otro lado, aumenta la exposición al riesgo de los préstamos para proyectos e intenta cubrir dichos riesgos de manera parcialmente centralizada. Fairyproof Tech cree que debido a que el contrato de Iron Bank no ha estado en línea durante mucho tiempo y no ha sido probado por el mercado, existe un mayor riesgo. Por lo tanto, recordamos a todos los equipos que hacen referencia al código del proyecto Cream que no lancen la función Iron Bank por el momento para fortalecer el control de riesgos. Publicaremos más detalles más adelante. [2021/2/13 19:41:17] Por lo tanto, los problemas del contrato inteligente en sí, el problema de la tecnología blockchain en sí y la falta de citas sociales de la aplicación del contrato inteligente llevan a un lugar muy especial en la seguridad. del contrato inteligente, por lo tanto, causando Los accidentes son tan frecuentes y el daño causado es tan grande. Lo que acabo de compartir con ustedes es una particularidad de la seguridad. Permítanme compartir con ustedes que nuestro equipo actualmente divide todos los accidentes en el campo de la seguridad de contratos inteligentes en tres categorías. La primera categoría son riesgos conocidos y la segunda categoría son riesgos potenciales. la tercera categoría son los riesgos provocados por el hombre. ¿Qué son los riesgos conocidos?Riesgos conocidos Ahora estamos en el campo técnico equipo técnico o la industria hemos resumido algunas características de seguridad, características de algunos accidentes y algunas leyes resumidas en base a todos los accidentes de seguridad anteriores.Conocemos estos Conociendo las características y características de estos accidentes, podemos juzgarlos fácilmente, por lo que los llamamos riesgos conocidos. ¿Cuáles son los riesgos potenciales?Estos riesgos nunca han aparecido antes, tal vez en los contratos inteligentes que ejecutamos, pero no sabemos, o estos riesgos no se han desencadenado debido a condiciones inmaduras.Este es un riesgo potencial. El tercero es el riesgo humano. He enumerado los riesgos de 11. De hecho, no significa que solo existan estos riesgos de 11 en el campo de los contratos inteligentes. He enumerado estos riesgos de 11. Hay muchos análisis y explicaciones en la industria para cada riesgo, así que gané No entraré en detalles aquí. Damos algunos ejemplos más detallados para hablar sobre los riesgos conocidos y los riesgos potenciales y los riesgos humanos. Echemos un vistazo a este riesgo. ¿Los amigos aquí ingresaron al círculo de divisas en la última ronda antes de abril de 2018 (sí). El mercado alcista en esa ronda fue una locura, en qué medida, no solo ingresaron muchos usuarios nuevos, sino también el tradicional Un pez gordo en la industria de TI En este campo, la cadena estadounidense tiene una relación muy profunda con cierta empresa de TI tradicional. ¿Qué hizo? Lanzó un contrato inteligente con una laguna de seguridad importante. ¿Qué laguna? Durante el proceso de cálculo de una línea de código, no se usó una biblioteca matemática segura, lo que resultó en un desbordamiento de cálculo, y los tokens causados ​​por el desbordamiento se emitieron en una gran cantidad, lo que provocó que el precio cayera en picado. Esto es 22 de abril de 2018. Anteriormente a este tipo de accidentes se les llamaba riesgos potenciales, ahora después de que ocurre este accidente, en la industria utilizamos la tecnología para analizar las causas de los accidentes de seguridad así como los posibles síntomas y características, ahora los llamamos riesgos conocidos, que son riesgos conocidos. riesgo típico. En el segundo caso, el 12 de marzo de 2020, se informó que tanto Bitcoin como Ethereum eran de hierro, Bitcoin cayó por debajo de $ 4000 y Ethereum cayó a $ 100. Después de que Bitcoin y Ethereum cayeron en picado, MakerDAO tuvo un mecanismo de ejecución loco y, finalmente, Discovery es un cuestión de diseño del mecanismo.

Tags：

Filecoin