DEFI:靈蹤安全CEO譚粵飛：DeFi投資者一定要看項目審計報告

金色財經現場報道，4月10日，由金色財經主辦，波場TRON總冠名，HBTC、SumSwap、SubGame首席合作企業的“2021共為·創新大會”在上海舉辦。大會以“DeFi的創新進階”為主題，匯聚百家優秀區塊鏈企業和眾多行業大咖，共同探討Defi生態、波卡、NFT、交易所公鏈、ETH2.0、Layer2六大賽道話題。

在下午的“DeFiNFT”主題專場，靈蹤安全CEO譚粵飛做了《小白用戶如何讀懂DeFi合約的審計報告》的主題演講。譚粵飛在演講中指出，2020年DeFi安全損失超過2億美金，這些安全事故大多來自對智能合約的攻擊，智能合約的安全事故較多，原因有三：第一個是智能合約本身，第二是區塊鏈技術特點，第三是社會因素。首先智能合約一旦部署，不能被撤回。其次區塊鏈結構使項目方無法知曉攻擊者的社會身份以及交易不可逆。最后是智能合約應用的社會約束比較缺乏，例如缺乏對數字資產的保護，缺乏對區塊鏈應用的約束和規范。

以下為演講詳情：

譚粵飛：今天我和大家分享的主題是如何閱讀DeFi合約的審計報告。當我們說到審計報告的時候，事實上我們談的是DeFi的安全，我們談安全的時候，很多時候覺得這個概念比較抽象，所以，我給大家展示一些數據。

整個大餅是2020年整個一年所有和區塊鏈安全事故所引起的損失，所有的損失，請大家注意看，其中光DeFi左邊紅色區域是DeFi損失，2.38億萬美元，占整個區塊鏈安全所引發的損失40.9%，幾乎接近一半。在2020年之前，DeFi安全的事故遠遠沒有這么夸張，但是DeFi的出現導致安全的事故如此嚴重。

靈蹤安全：Sushi Miso被攻擊的漏洞是一名Sushi雇傭的匿名開發者提交的:9月17日消息，Sushi的Miso項目遭到Supply Chain攻擊，一名Sushi 的匿名前端開發承包商使用GH handle AristoK3將惡意代碼注入Miso前端github倉庫，攻擊者在拍賣創建時插入自己的錢包地址以替換拍賣的錢包地址。

靈蹤安全建議： 開發者應檢查自己的前端應用是否有漏洞，并對前端代碼進行安全審計。[2021/9/17 23:32:08]

還不是這么直觀，我們再看一些更具體的事例，我們從底下看起，2020年12月26日資金池的資金被轉移，2020年12月21日被攻擊，2021年1月份壽司被攻擊，2月份WFI又被攻擊，我羅列的數據不是指出這些項目本身怎么樣，我是想要讓大家注意，這些項目被攻擊的時間點，大家有沒有發現從2020年10月到2021年3月，每個月都有一個比較知名的DeFi項目受到供給，足以說明安全事故在DeFi領域發生的頻率和頻次多么高。

安全事故的頻發不僅僅項目方的聲譽，直接影響投資者的利益，接下來，我和大家分享一下為什么智能合約安全事故這么多，他是由特殊的因素所確定，我們靈蹤安全團隊認為，出現安全事故的原因主要有三個因素，第一個智能合約本身運行的機制，第二個區塊鏈技術的特點，第三個智能合約應用的社會約束。

靈蹤安全已審計平行鏈項目SubGame Network:據官方消息，靈蹤安全近期審計了基于Polkadot的平行鏈項目SubGame Network。項目為用Rust語言開發的平行鏈，功能包括：游戲結算模塊與游戲大廳上線、多元可插拔式開發模塊、多元支付模型引擎、 建立雙向且多鏈跨鏈服務。詳細細節請參看靈蹤安全官網發布的審計報告。[2021/6/19 23:49:29]

我們首先來看第一個智能合約本身運行機制，智能合約有一個非常大的特點，和我們傳統的IT應用有一個什么樣大的特點，我們使用比較傳統的應用的時候，我們使用一個游戲或者是APP，我們使用過程當中突然有一天項目方告訴我們，這個APP發布一個公告，這個APP有問題，在這種情況下，項目方把APP從APP商店里面下架，讓大家使用舊的版本，他們把有問題的版本撤下去修改完善之后使用新的APP，但是在區塊鏈領域，以太坊領域，一旦智能合約理解成為是一種APP，部署到以太坊上面以后，他是沒有無法被撤退，這是不能像傳統的IT里面的應用被撤回，一旦智能合約開始執行的時候，這是不可逆的，或者我們可以理解，我們發現有問題的智能合約部署到以太坊上面，漏洞被黑客發現，黑客利用漏洞攻擊它的時候我們眼睜睜看到資金池里面的資金被盜走，我們無能為力，我們在傳統領域，把服務器關掉，但是在以太坊上面，這樣的事情是不能發生，我們不可能把以太坊關機。

靈蹤安全已審計YNC-Coin項目通證發行等合約:據官方消息，近期，靈蹤安全已審計YNC-Coin項目通證發行、LP質押挖礦和單通證質押挖礦的合約（合約的Github地址見原文鏈接，提交編號為5d645eb6478c11491c45ca36020714ed818239f1），所審計的合約僅為該項目的通證發行、LP質押挖礦和單通證質押挖礦功能。經靈蹤安全審計（細節請參看審計報告），此若干功能的合約暫未發現安全隱患。[2021/4/18 20:32:22]

我不知道大家注意到推廣以太坊的時候，很多人不理解以太坊是什么，他用簡單的一句話，以太坊是永遠不停歇的世界計算機，永遠不宕機，一旦運行無法停下來。

第二點跟區塊鏈技術本身相關，我們談到區塊鏈技術的時候，我們首先看看區塊鏈技術的第一個應用就是比特幣，我們最早說比特幣至今很多人比特幣的時候想到第一個特點是匿名，當然如果按照純技術的觀點來講，這是偽匿名，做到擬匿名的情況下，在某種情況下把個人真實的信息進行了隱藏，匿名是什么意思，我們在區塊鏈里面進行每一筆交易的時候，我們在所有的可公開查詢的資料里面，我們只能看到發起這筆交易或者是參與交易的這些地址，但是我們沒有辦法把這個地址和執行這筆交易的持有這個地址的人在社會生活當中的真實身份掛鉤。我們不知道這個地址背后的持有人是誰，他叫什么名字，它的身份證號是多少，他在哪個國家，所以因為這個原因他是匿名的，這樣導致了我們在區塊鏈里面，在智能合約里面一旦發生安全事故，我們知道有黑客攻擊我們只是看到攻擊的地址，我們不知道地址后面的持有人是誰，我們不知道黑客真實的社會身份是什么。

靈蹤安全：AAB項目智能合約安全審計暫未發現安全風險:據官方消息，靈蹤安全近期已完成對AAB項目智能合約的安全審計，審計的合約功能為該項目的通證發行和質押挖礦。經過靈蹤安全審計，該項目當前智能合約暫未發現安全風險。項目的通證發行合約已經開源并通過Heco瀏覽器驗證。詳細審計報告鏈接見原文鏈接。[2021/4/3 19:43:46]

剛剛我講的智能合約本身的技術特點，還有區塊鏈技術特點，導致安全事故非常特殊的特點，從技術角度考慮，還有一個角度我們平時各個公共場合大家提到比較少，但是在我們團隊看來恰恰也是目前最復雜最難掌控的地方，這就是社會約束。

我在這里羅列兩條，現有的法律法規缺乏對數字資產的保護，當我說這個問題的時候有朋友說，在我們國家關注到最近一兩年關注數字貨幣法律的信息會說，我們國家在民法典出臺具體的措施，保護數字資產，但是請大家注意，這樣的一些條款和民法典里面，不管是我們國家的法律以及世界各國的法律，對傳統資產的保護力度和廣度跟他們相比是無法相比的，所以現在全世界各國對數字資產的保護，在法律上面都是不規范，不完善，不完備。

第二點現有的法律缺乏對區塊鏈的應用和監管。現有的法律對所有的傳統應用，互聯網應用也好，他有一個約束性，有一個規范，但是這樣的法律對智能合約的規范，目前在全世界任何一個國家幾乎一個都沒有，最近在美國，美國的某些州已經成人智能合約的某些法律效應，但是這是吃螃蟹而已，只是嘗試而已，真正在具體落地或者是未來實現過程當中存在什么問題會產生新的問題或者是新的方式，我們目前都不得而知，在這方面也是一片空白。

靈蹤安全：DODO資金池被攻擊事件中，攻擊者跳過余額檢查，竊取V2交易對的資產:據靈蹤安全報道，近日，DODO交易所發生資金池被攻擊事件，靈蹤安全對本次事件的分析如下：

在本次攻擊中，用戶通過DODOV2交易對中的閃電貸借出資產，然后在回調函數中調用無權限限制的init函數，重置交易對合約的相關代幣地址，從而跳過余額檢查，竊取V2交易對的資產。

本次漏洞的關鍵是DODO交易對init函數未設定權限并且可以多次設置，這樣所有的V2版交易對都存在被攻擊的風險。[2021/3/9 18:28:52]

所以，智能合約本身的問題，區塊鏈技術本身的問題，以及智能合約應用缺乏的社會約會導致智能合約的安全有非常特殊的地方，所以，造成的事故這么頻繁，造成的危害這么大。

剛剛我跟大家分享的是安全的一些特殊性，下面我和大家分享一下我們團隊目前對所有在智能合約安全領域發生的事故我們一般分成三類，第一類是已知風險，第二類是潛在風險，第三類是人為風險。

什么是已知風險，已知風險我們現在在技術領域技術團隊或者是業界根據以往所有發生的安全事故所總結出來的一些安全的特點，一些事故的特點，總結出來的一些規律，我們知道了這些規律，知道了這些事故的特點和特性我們很容易判斷，所以我們稱之為是已知的風險。

潛在的風險是什么，這些風險從來沒有出現過，或許在我們運行的智能合約里面，但是我們不知道，或者說這些風險暫時因為條件不成熟，還沒有被觸發，這是潛在風險。

第三個是人為風險。我羅列了11個風險，實際上，并不是說在智能合約領域只有這11個風險，我羅列這11個風險，這是目前出現比較頻繁的風險，而且我們見到比較多的風險，具體到每個風險，在業界有很多的分析和講解，在這里我不和大家細說。

我們舉一些更詳細的例子講講已知風險和潛在風險和人為風險。我們看看這個風險，在座的朋友們有沒有在2018年4月份之前上一輪進入幣圈，那一輪的牛市瘋狂，瘋狂到什么地步，不僅很多小白用戶進來，而且傳統的IT界的大佬在這個領域，美鏈跟某一位傳統的IT公司有非常深的關系，他做了什么事情，他發布一個智能合約出現一個重大的安全漏洞，什么漏洞？在一行代碼計算過程當中沒有使用安全的數學庫，導致計算溢出，溢出導致的代幣被巨量增發，導致價格暴跌。這是2018年4月22日。

在此之前可能這樣的事故叫做潛在風險，現在這個事故發生以后，在業界我們用技術分析出來出現安全事故的原因以及可能出現的征兆和特點，我們現在稱之為已知風險，這是已知風險的典型。

第二個案例，2020年312，比特幣和以太坊全部報鐵，比特幣跌到4000美元以下，以太坊跌到100美元，在比特幣和以太坊暴跌以后，MakerDAO出現瘋狂擠兌的機制，最后發現是機制設計的問題。

接著紅薯被攻擊，20206年6月份，YAM被攻擊，紅薯這個項目非常有名，這個項目被攻擊以后，它的創始人在推特上面發了一段話，對不起，我們失敗了，這么大的事故是怎么產生的，主要是因為邏輯運算中缺乏分母，就是這么簡單。

第三個案例，是YFI是去年一整輪過程當中，運行大半年沒有出現問題，今年二月份出現問題，這個事件的出現是因為出現了一個應用方式善待貸導致穩定幣的價格被操控。還有TSD被攻擊，我們審查合約代碼的時候，如果不是對邏輯理解特別深刻，紅薯被攻擊的除法算法不對，幾乎很難被發現，另外三個更加困難，是治理機制出現了問題，而不是代碼的問題，這個問題更難發現，對于這樣的問題我們歸結為潛在問題，潛在的問題以前有，今天有，未來還有，甚至包括我們所有運營的這么多合約上面，雖然很多都通過了很多公司的審計，但是我們依然擔心里面還存在著很多潛在的大量的隱患，只不過這些隱患由于條件不成熟，沒有被觸發而已。潛在問題是對整個安全行業以及整個區塊鏈行業最大的挑戰，也是我們著力最重的地方。

還有一個是人為風險，因為時間有限，后面的內容我講快一點，人為的疏忽跟代碼的關系更少，幾乎是因為人為的管理方面出現問題，我前面講了安全的特殊性以及安全有哪些問題，下面我和大家講一個非常重要的事項，也就是說，我們作為智能合約的審計公司，我們最重要的事情是做什么，就是為項目審計智能合約代碼，看里面有沒有安全事故，我剛剛在展臺的時候有很多朋友過來問我們，你們寫的這些報告對我們普通投資者小白來說到底有什么作用，我在這里講，作用非常非常大。很多小白用戶看到我們寫的報告，這是技術文檔，雖然是技術文檔，但是里面有一部分內容非常通俗易懂，并且跟你的利益密切相關的。

在我們的報告里面這部分關鍵的內容就是我們整個審計報告里面的第一章，在我們審計報告當中的第一章，我們會開宗明義寫這個項目是做什么的？這個項目的合約有什么功能？以及在我們審查過程當中，我們發現這個項目的風險沒有？所以，對于任何用戶而言，當你看一個項目的時候，如果這個項目有我們的審計報告，我個人建議處于你對自己投資利益的保護和自己利益的關心，無論如何你要看一看審計報告，當你拿到這份審計報告的時候，你可以不堪其他的章節，但是一定要看第一章，看完第一章，基本上不用花5分鐘的時間你就能夠明白這份合約安全不安全或者說這個項目通過我們公司審計的時候發現存在的問題，項目方是怎么處理這些問題，起碼可以看到項目方對于處理問題的態度，對于你投資項目而言是參考的作用。

所以我強調審計報告一定要看，如果各位拿到是我們公司出的審計報告，關于技術部分不用看，但是一定要看第一章，第一章報告是我們對整個審計過程的精華和總結，看完第一章不需要5分鐘，5分鐘時間內大致理解這個項目做什么，合約是干什么的，安不安全，以及在審計過程當中出現什么問題。

Tags：區塊鏈DEFIEFIDEF區塊鏈域名還有市場前景嗎Rio DeFiCEFIDefiDollar DAO

幣贏