编者按:本文来自链闻ChainNews,撰文:MyCrypto,翻译:PerryWang星球日报经授权发布。对那些懒得打开PDF文档的读者,这里给大家概括一下「审计报告」。对那些根本一点不懂的小白来说:这是一份审计报告的摘要摘要中有投资预警阅读审计报告你需要字斟句酌。读这份摘要就清算多了。
第一部分:事实陈述
何时审计,用时多少天具体审计了什么由谁进行了审计就算是小白都知道这种规模的合同,一个工程师用时两天进行审计,不会让我买账。16个小时就想搞懂所有代码、找到bug,找到攻击方法,然后完事交差?
1.1一位熟悉系统底层架构和理念的专家面对总量很小、非常简单、语言非常漂亮的代码库,也许能做到这一点。此外,他们没有时间考虑代码的经济影响。
Base:已针对Builder Quest期间出现的区块批量写入问题完成两项优化:6月8日消息,Coinbase L2网络Base在推特上表示,在Builder Quest期间,超过100万个钱包在Base测试网上部署智能合约,为了应对这种交易激增情况,Base将区块的Gas限制增加一倍来降低快速增长的Base费用。当我们进行此更改时,较大的L2区块在批量打包至Goerli L1时会产生问题。所以,我们对参数进行了微调,希望达到平衡。尽管有这些变化,系统还是难以达到平衡并将不安全区块写入L1。
为了解决这一问题,Base已完成两项优化:1.改进压缩实现以更好地利用L1交易调用数据;2.每个L1区块提交多个批次处理交易,而不是一次提交一个。[2023/6/8 21:23:58]
1.2只进行了小型审计,可能是由于Hegic财力所限,我对此表示赞赏。但是,审计的目的是要避免发生坏事,不要将审计作为一种促销手段,出了问题不能说「不是我们的错,只能怪安全审计机构/img/20230509080143374314/6.jpg "/>
1.3要改善审计的投资回报率,更简单的方式是让审计人员的工作变得更简单代码干净+恰当的论述使用所有免费工具来发现基本问题,以便专家可以专注于复杂的问题请他人帮忙查看代码,提出问题提供文件,提供摘要+重点/关注领域
第二部分:看看他们在寻找什么问题+找到了什么问题
值得注意的提示:有三个领域,也被称为「糟糕情况可能出现吗?」三个领域的答案都是「是Yes」,程度级别不同而已。另外他们认为这些风险与算法有关
数据:Optimism和Arbitrum等Layer 2项目5月利润下降超40%:金色财经报道,DuneAnalytics数据显示,2023 年 3 月和 4 月是 Optimism 和 Arbitrum 等Layer 2项目有史以来最赚钱的月份,但在5月,这些利润下降了超40%。主要原因是Arbitrum的利润下降,从4月份的约1281枚ETH下降到5月份的505枚ETH。Optimism的利润也下降了,但相较Arbitrum没有那么明显。[2023/6/7 21:21:55]
(审计报告图片中译)从资金池窃取财产以低于预期的行权价创建期权合约免费创建期权合约我们发现多数问题与算法有关,包括如果资金池代币的供应量低于资产供应量,攻击者可以吸干资金如果ETH价格低于1美元,期权合同行权价可以为0当流动性增加,资金池恶意参数可以允许0铸币有多个问题可能导致恶意合约所有者伤害Hegic用户,包括:通过费用收取来窃取期权资产
2.1稍后将详细介绍算法方面,但接下来看看/img/20230509080143374314/10.jpg "/>
有多个问题可能导致恶意合约所有者伤害Hegic用户,包括:通过费用收取来窃取期权资产将资金困在期权合约中,阻止流动性提供者撤资可以免费创建期权合约
OPNX将从5月29日向Celsius用户开放其破产索赔产品:金色财经报道,OPNX联合创始人Mark Lamb和合作公司Heimdall的首席执行官Vishal Shah证实,其破产代币化产品将从5月29日左右开始对Celsius用户开放。该交易所允许在已停用的加密平台上冻结资金的用户解锁其潜在价值。[2023/5/25 10:38:20]
2.2<这里插入有关去中心化的渐进论证>无论如何,你应该注意到这种可能性以及知道审计人员在上面花了时间。在一个全新的金融体系中发现所有的漏洞攻击方法,这16个小时中有多少时间被用于验证有效的、已知的攻击方法?
2.2只有16个小时找到所有攻击方法数学/密码学中的Bug比如重入攻击金融/经济方面的影响内部作恶者外部恶意攻击者意外错误/意外结果资金损失等等等等。16个小时不可能搞清楚这一切。绝无可能。
2.3审计机构永远不会说:「这些代码烂的像臭狗屎」。扪心自问,为什么他们指出蛛丝马迹。不要指望他们彻底告诉你想要的东西或他们自己的反应。这就是事情被忽略的完美例证,因为它没有成为Twitter热门话题:另外我们还发现,当资金池增加或减少资产时会出现账簿记录错误,没有体现出期权合约中的相关资产,因此攻击者可能窃取资金池中资产。
BitMEX在衍生品交易之外新增支持14种Token交易:10月13日消息,BitMEX 自 9 月以来在衍生品交易之外增加了 14 种 Token,分别是 USDC、TRON、SOL、DAI、FTM、BUSD、AAVE、SHIB、WTC、CRO、MANA、FTT、SAND 和 OKB。BitMEX 首席执行官 Alex H?ptner 表示,平台正专注于「超越衍生品」的转型战略,其中包括一系列新产品和更新。
此前报道,BitMEX 首席执行官 Alexander Hoeptner 在新加坡举行的 Token2049 会议上接受采访时表示,计划在今年年底推出其交易平台 Token BMEX。(The Block)[2022/10/13 14:26:38]
2.3我来帮你。Hegic内的合约并不清楚合约中的资产被谁以何种方式偷走。我实在不明白如果都不清楚这些情况,资金池还怎么运转。老人看手机脸。另外请注意:记账簿。
第三部分:推荐
这一直是最重要的部分,因为这里是审计机构字斟句酌的部分。在实际的审计报告中,会向Hegic指出需要解决的大量代码、漏洞及事情。但这篇摘要是供外部人了解所用的。是给我们普通人的。
由于发现的算法问题较多以及时间限制,无法进行深入的算法验证,(审计机构)TraitofBits推荐使用符号执行和fuzzing测试合约的变量。代码库中可能存在更多问题。另外TraitofBits作出以下推荐:未来开发利用crytic.io。采用该平台发现两个问题。评估和记录合约所有者特权验证和记录不同合约之间的资产记账评估和记录系统的套利机会推荐用户在保障资产的前提下使用提供资产和撤资功能
借贷平台Celsius:CEL代币面临“监管风险”:金色财经报道,借贷平台Celsius Network本月首次警告客户,加密货币CEL容易受到监管风险的影响。这家加密货币借贷公司最近几天加强了其风险披露信息,为高收益的Celsius Earn Program划出一节,说它 \"可能被认为是一项风险投资\",并在CEL的风险中强调了 \"监管\"。
自10月以来,该条款一直是这样写的:与其他数字资产一样,CEL容易受到各种风险的影响,包括盗币者、丢失的私钥、不可逆转的交易和失败的链上交易。此次更新也将 \"监管风险 \"放在了上面。
该公司上周在美国限制了新的 \"Earn \"计划的注册,只允许认可的投资者参与。(Coindesk)[2022/4/23 14:42:40]
3.1一定做更多来确保安全!!!
3.2我们真的没有时间展开深入讲,基本的数学问题已经占用了大部分时间,我们连数学问题都没搞懂,更别说更大范围的问题了。
3.3我们当然知道有更多问题,你现在知道了。
3.4你付钱给我们找一些自己本可以用更便宜的方式找到的基本问题,然后付钱给我们找到了另一个错误。
3.5你们的项目文档记录匮乏实在令人厌恶,我们在五点建议中用三条的篇幅去描述这个问题,因为这是你们发现问题、并为安全人员/白帽黑客提供挽救用户资产的最佳机会。
3.6评估合约所有者的特权:我们的工作不到位。验证你们的算法:小心打补丁。重新查验一切因为你们的算法真的太烂了。验证套利交易:我们都还没开始考虑这个问题。也许你们在写文档的时候就会发现问题了。
3.7我真的不知道怎么收尾。通常在完整审核中,你会发现带有代码片段的内容。事实是这一行代码有分量。
3.8或者是他们选择让读者注意到最后一句特别重要,或者他们也意识到「我们真的检查了所有东西/所有功能了吗」?在概要最后扔下一句。不管是哪种情况,依据这份审计报告,这是致命硬伤的所在地。
总体心得
1/img/20230509080143374314/26.jpg "/>
4要构建金融系统,必须要有出色的数学/记账簿/会计能力。Hegic有太多问题,让/img/20230509080143374314/27.jpg "/>
5Hegic无权利用这份审计报告宣称自己是个安全的系统,或者像当前这样转嫁责任「甚至trailofbits都没有发现问题!」
6Hegic将审计当作敷衍他人的挡箭牌,而不是为了切实保护用户或者了解及确保系统的安全。这种态度显示团队对用户利益的漠视,可能是一种性质恶劣的文化,对我而言总是拉响警报。
7Hegic项目目前不该推出。如果他们是被指着头被迫发布产品,他们也应该宣称自己是未经审计的、受限的Pre-alpha项目。
8/img/20230509080143374314/31.jpg "/>
9作为社区一个整体,我们需要注意,即使是名头最响亮机构所做的审计报告,也不意味着是安全的。也许还更不安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。