Primer lanzamiento | ¿Cuál es la probabilidad de encontrar un contrato DeFi vulnerable? ¿Cuál es la probabilidad de ser atacado después de la auditoría?

El editor que vive en Estados Unidos con 100.000 casos confirmados de la nueva corona tiene que salir en avión por razones de fondo. Antes del viaje, siempre me preocupaba si me infectaría, pero las violentas turbulencias del aire del avión me engañaron en el camino. Aunque en silencio me consolé que la probabilidad de un accidente aéreo es muy baja y la probabilidad de contraer la nueva neumonía corona no es tan alta, todavía recordaba cuatro palabras: "La Ley de Murphy" está bloqueada en la cadena de bloques bajo la tendencia de moderno desarrollo tecnológico Los activos en el campo de blockchain son cada vez más grandes. Con el desarrollo de la cadena de bloques, la crisis que se esconde detrás de la computadora muestra cada vez más su cara feroz. En el contrato inteligente, cualquier pequeño error puede causar pérdidas irreparables al proyecto o a los inversores. Bajo esta advertencia, el equipo de seguridad de CertiK usó el sistema CertiK Skynet (Skynet) para monitorear y analizar los contratos inteligentes de token recién agregados a Uniswap de 00:00 a 24:00 el 4 de diciembre de 2020, hora de Beijing. Durante el período de tiempo de este análisis, se generaron un total de 29 proyectos de token de contrato inteligente. ¡Después del análisis de Skynet realizado por CertiK, se descubrió que un total de 16 contratos inteligentes tenían lagunas o defectos! Alrededor del 55 % de los proyectos de contratos inteligentes tienen más o menos lagunas o defectos, aproximadamente el 10 % de los cuales tienen graves lagunas, y el 45 % tiene defectos como autoridad excesiva de los propietarios del proyecto y centralización excesiva de la autoridad. LBank Blue Shell lanzó BOSON a las 16:50 el 9 de abril: Según el anuncio oficial, LBank Blue Shell lanzará BOSON (Boson Protocol) a las 16:50 el 9 de abril, abrirá transacciones en USDT y abrirá recargas a las 16:00 en abril. 9. El retiro estará disponible a las 16:00 el 12 de abril. Abra la transacción de recarga BOSON al mismo tiempo que se conecta en línea para compartir 10,000 USDT. A las 16:50 del 9 de abril, LBank Blue Shell abrió la transacción de depósito BOSON para compartir 10,000 USDT. El monto de recarga neta del usuario no es inferior a 1 BOSON, y se puede obtener la recompensa de lanzamiento aéreo USDT equivalente al 1% de BOSON de acuerdo con el monto de recarga neta; la competencia comercial se clasificará de acuerdo con el volumen de operaciones de BOSON del usuario, y los 30 principales se pueden basar en la proporción del volumen comercial personal Divide USDT. Para obtener más información, haga clic en el anuncio oficial. [2021/4/9 20:02:26] El nombre del proyecto de contrato inteligente y la dirección del contrato de este análisis son los siguientes: Los resultados del análisis son los siguientes:   Primera versión | imKey admite oficialmente Filecoin y se convierte en el primer lote de Filecoin carteras de hardware: 1 de diciembre, con el lanzamiento de imToken2.7.2, imKey es compatible con Filecoin sincrónicamente, convirtiéndose en la primera cartera de hardware de la industria en admitir oficialmente FIL. Como uno de los proyectos prioritarios respaldados por la cadena múltiple de imKey, Filecoin se ha convertido en la quinta cadena pública después de las cuatro cadenas públicas de BTC, ETH, EOS y COSMOS. Se informa que el equipo de imKey lanzó por completo el plan de soporte de cadenas múltiples en el cuarto trimestre, planeando implementar todos los proyectos de cadenas públicas que imToken ha respaldado. Esta actualización de actualización de imKey no necesita reemplazar el hardware, no implica actualizaciones de firmware y puede actualizarse automáticamente a través de la aplicación (Applet) Darse cuenta del soporte de imKey para Filecoin y la gestión de tokens de FIL. [2020/12/2 22:52:32] Aunque es difícil estimar la situación de seguridad de los contratos inteligentes en todos los rangos de tiempo en función de la situación de un día, puede conocer la imagen completa de un vistazo. Lo siguiente se centra principalmente en el análisis de tres lagunas relativamente importantes: Primera versión | Se estableció oficialmente la base de prácticas de seguridad de software y tecnología Blockchain: Jinse Finance informó que hoy, China Soft Association Blockchain Branch, People's Public Security University y los departamentos relevantes de la ciudad de Heze Oficina de Seguridad Pública en conjunto Se estableció formalmente la base de práctica de seguridad de software y tecnología blockchain construida conjuntamente. Al mismo tiempo, Song Ailu, subsecretaria general de la rama de cadena de bloques de la Asociación de Software de China, fue contratada como experta especial en la base de prácticas de seguridad de software y tecnología de cadena de bloques. La base de prácticas de seguridad de software y tecnología blockchain involucra principalmente las siguientes áreas: transacciones ilegales de moneda digital y lavado de dinero, esquemas piramidales de blockchain y fraude de telecomunicaciones, juegos de azar en línea, pago de cuatro partes, registro de marca fraudulento, etc., gobernanza social conjunta, seguridad urbana , tecnología de punta Los expertos de la industria en el campo cooperan con la Asociación de Policía. Según informes públicos, los órganos de seguridad pública de la ciudad de Heze acaban de descifrar recientemente un gran caso de fraude en la red de telecomunicaciones, aplastaron a varias bandas de fraude sospechosas de usar préstamos en línea e invertir en "Bitcoin", arrestaron a 83 sospechosos y confiscaron y congelaron el fondos involucrados 27 millones de yuanes. [2020/7/21] Figura 1: función burnFrom() En la Figura 1, la función burnFrom está restringida por el modificador OwnerOnly, y solo los administradores de proyectos pueden ejecutar esta función. La implementación lógica interna de esta función permite cualquier modificación de _totalSupply y el valor de _balances de una cuenta dada indirectamente al establecer los valores de cuenta, saldo y subtractValue. Primer lanzamiento | Imagen real de la máquina Antminer S17 expuesta por primera vez Adopción de ventilador de doble tubo y diseño de máquina todo en uno: Tras el anuncio oficial de ventas al contado el 9 de abril, el próximo nuevo Antminer S17 de Bitmain tiene nuevos desarrollos. Se informa que el mapa de máquina real del Antminer S17 se expuso por primera vez en Internet hoy. A juzgar por las imágenes expuestas, el Antminer S17 continúa con el diseño de ventilador de doble cilindro del producto S15 de la generación anterior y adopta el diseño de cuerpo de una máquina todo en uno. Algunas personas en la industria creen que el diseño de doble cañón puede acortar efectivamente el rango de viento, la diferencia de temperatura entre la entrada y la salida de la máquina minera será menor y el rendimiento de la máquina mejorará considerablemente. Anteriormente, el responsable del producto de Bitmain dijo en una entrevista con los medios que, en comparación con la generación anterior de productos, el nuevo producto S17 ha mejorado mucho en términos de relación de eficiencia energética y potencia de cómputo por unidad de volumen. [2019/4/3] Figura 2: La función de respaldo en el contrato de powerpoolttl La Figura 2 es la función de respaldo del contrato de powerpoolttl. Cuando un usuario externo llama al contrato inteligente, si la llamada no llama a ninguna función en el contrato, o solo transfiere tokens al contrato, se llamará a la función de reserva. La lógica en la línea 70 muestra que cuando se llama a la función de reserva, los tokens transferidos al contrato durante la llamada se transferirán directamente a la dirección de teamAddress. Primer lanzamiento | Baidu promueve la colección en línea de 246 museos en la cadena: Golden Finance News, recientemente, Baidu Super Chain y Baidu Encyclopedia, basada en tecnología blockchain para crear una "cadena de arte cultural" para promover la colección en línea de 246 museos en el enciclopedia museo plano bobinado. Basado en la "Cadena de arte cultural", Baidu trabajará con los museos para promover la confirmación y el mantenimiento de los derechos de autor de las colecciones en línea y, al mismo tiempo, explorar métodos de comercio digital para los derechos de autor de las colecciones en línea, brindando servicios más completos y más derechos e intereses para las cooperativas. museos Según los informes, este proyecto se llevará a cabo por fases. En la primera fase, se completará el ingreso en cadena y la confirmación de las colecciones en línea, y se producirá un certificado de depósito de derechos de autor exclusivo para cada colección. Permita que cada usuario vea el certificado en las páginas de colección de PC y WAP del Proyecto del Museo de la Enciclopedia de Baidu. En el futuro, Baidu también promoverá la aplicación combinada de IA y tecnología blockchain en el campo cultural y museístico para garantizar que los datos en cadena coincidan con las colecciones, sentando las bases para transacciones digitales posteriores de derechos de autor de imágenes de colecciones. [2019/1/30] En este proyecto, los tokens se pueden transferir mediante la ejecución de la función transferFrom() De acuerdo con la definición de la función transferFrom() en la Figura 3, la línea 211 necesita ejecutar la función getFee para determinar la tarifa a pagar. deducirse por cada transferencia de token. A partir de la definición de la función getFee() en la Figura 3, podemos ver que la lógica para determinar el costo depende de la definición de la función Management.getFee() llamada en la línea 241. La definición lógica de la función Management.getFee() actual se cambia de acuerdo con el valor de dirección almacenado en la variable del administrador. El valor de la dirección almacenado en la variable del administrador actual se muestra en la Figura 6. Sin embargo, el contrato inteligente al que apunta el valor de dirección almacenado en la variable del administrador no se ha autenticado en etherscan, por lo que es imposible conocer el código fuente del contrato inteligente y, por lo tanto, es imposible conocer la definición de la administración. función getFee(). Dado que no se puede conocer la lógica detrás de la función Management.getFee(), es posible que el propietario del proyecto ajuste la tarifa para cada transferencia de token y realice operaciones maliciosas manipulando el valor de retorno de la función Management.getFee(). Figura 3: función transferFrom() Figura 4: función getFee() en el contrato StandardToken Figura 5: Interfaz de contrato inteligente de gestión e interfaz de función getFee Figura 6: El valor de la dirección almacenado en la variable del administrador actual Figura 7: La dirección almacenada en el contrato actual variable del administrador Todos conocen el ejemplo más conocido del contrato inteligente en 2020: después de que el proyecto DeFi Yam se lanzó a las 3:00 el 12 de agosto, hora de Beijing, aunque la publicación del blog del proyecto advirtió que no se había realizado ninguna auditoría en su contrato. Los agricultores de Crazy Yield depositaron $76 millones en el proyecto en menos de una hora. Como era de esperar, Yam perdió cientos de millones de dólares en solo 36 horas debido a una pequeña laguna. Las auditorías de seguridad ahora son estándar para proyectos DeFi de alta calidad. El auge actual de los proyectos DeFi continúa sin cesar. Con el fin de aprovechar los puntos calientes y las oportunidades, muchos proyectos se han lanzado en línea sin pruebas ni auditorías rigurosas. En estos proyectos, la mayoría de las lagunas no se pueden encontrar mediante métodos y herramientas de prueba comunes. Solo buscando expertos profesionales en auditoría para realizar pruebas rigurosas de modelos matemáticos se puede descubrir la laguna. La verificación formal es actualmente el único método de verificación de software probado para producir pruebas matemáticas creíbles. Por lo tanto, el uso de herramientas de detección de blockchain basadas en métodos formales de verificación para verificar las vulnerabilidades de seguridad en los proyectos debería convertirse en un paso necesario para cada proyecto antes de pasar a la cadena. Cada razón por la que un proyecto es atacado o pierde activos se debe a una laguna de código muy pequeña. En el campo de la informática, en promedio, habrá de 1 a 25 errores en cada 1000 líneas de código. En otras palabras, el rango de probabilidad es uno en mil (0.1%) a dos y medio por ciento (2.5%). ¿Qué pasa con los proyectos que se han sometido a auditorías de seguridad y han pasado? CertiK seleccionó tres empresas de seguridad que divulgan información de auditoría para estadísticas de datos. En esta ocasión, se contabilizaron un total de 377 proyectos auditados (incluidos proyectos de auditoría repetidos) de las tres empresas. Ocho de estos proyectos fueron pirateados a pesar de haber sido auditados al menos una vez. Estos 8 proyectos auditados pero atacados perdieron un total de 69 millones de dólares estadounidenses. De acuerdo con los datos de estas tres empresas auditoras, la proporción de ser pirateado después de la auditoría se calcula de la siguiente manera: 8/377 = 2,12% La probabilidad de un error en el código y la probabilidad de que el proyecto haya pasado la auditoría pero todavía está atacados son aproximadamente iguales al 2% Aquí hay un ejemplo Un ejemplo simple: Según las estadísticas de SquareTrade, en los Estados Unidos, 5,761 pantallas de teléfonos móviles fueron sacrificadas en solo una hora. Suponga que todas las personas en los Estados Unidos tienen un teléfono móvil y no existe la costumbre de dejar caer el mismo teléfono móvil repetidamente. Luego, dentro de los 50 días, un chico estadounidense tiene un 2% de posibilidades de romper la pantalla del teléfono. Pero la vida útil de un teléfono móvil debe ser superior a 50 días, ¿y si se utiliza durante un año? ¡Esta probabilidad ha aumentado repentinamente al 15%! ¡Después de más de tres años y medio de uso, la probabilidad supera el 50%! Esto confirma la Ley de Murphy mencionada anteriormente: la inevitabilidad de los eventos de pequeña probabilidad: cuando la base de tiempo es lo suficientemente larga, las cosas malas siempre serán tu turno. Las probabilidades de un accidente aéreo son de una en cinco millones (0,00002%). En contraste, la probabilidad de que un código tenga una vulnerabilidad y la probabilidad de que un proyecto haya pasado una auditoría pero aún sea atacado es 125,000 veces mayor que la de un accidente aéreo. Si tiene miedo de un accidente aéreo cuando el avión está turbulento, también podría usar 100,000 veces más preocupación para proteger su proyecto. Después de tal comparación, ¿sigues pensando que el proyecto no necesita protección adicional? Hazlo por el futuro, controla el caos. Además de la auditoría estática, la protección de seguridad dinámica puede prevenir mejor los ataques. La herramienta de seguridad dinámica desarrollada por CertiK: escaneo rápido - oráculo de seguridad - CertiKShield, desde la alerta temprana hasta la evaluación en tiempo real y el plan de seguro, puede proporcionar seguridad completa para las partes del proyecto.

Tags：

Huobi App Download