转眼间已经陪伴CertiK走入了第五个年头,然而随着阅尽千篇审计报告,却一直有一个问题,让譬如小编这样的技术门外汉倍感疑惑。有的时候,我们辨别一个项目的代码是否优质,就是查看它的审计报告。而后根据审计报告中的风险等级和数目来判断这个项目代码的安全性是否达到标准。
但是近一年中,很多项目的代码相对足够完善和安全,却不约而同地存在着一个主要风险——中心化风险。
那么具备这一风险的项目,假如它的代码在其他方面表现得很良好,我们如何判断它的代码质量优质亦或不优质?
这样的项目在以往的审计记录中,占据了很大的比例——在CertiK统计的2021年1737份审计报告中,具备中心化风险的项目竟有286个之多,占据比例近17%。
去中心化交易平台 PuddingSwap将于5月4日登陆虎符智能链HSC:据消息报道,虎符智能链HSC首个去中心化交易平台 PuddingSwap将于2021年5月4日20点上线虎符智能链HSC,并开启流动性挖矿。
PuddingSwap 是基于 AMM 的去中心化交易所,支持虎符智能HSC上多个资产的实时便捷交易和兑换。PuddingSwap 支持多种主流币种流动性挖矿,用户提供主流币种资产组合流动性即可获取交易所代币PUD奖励。同时还支持PUD挖PUD,单币质押获取ePUD,ePUD再质押获取项目代币的三重挖矿机制。
更多详情见原文链接。[2021/5/3 21:20:49]
声音 | 谷燕西:未来的交易所模式一定是中心化撮合和分布式清算结算托管结合的模式:CBX研究院创始人和院长谷燕西认为,目前的交易所业务正面临着区块链和资产和货币数字化带来的巨大的挑战。未来的交易所模式一定是中心化撮合和分布式清算结算托管结合的模式;未来的交易服务会是一个基础设施服务,就如同现在的电信服务和支付服务一样;未来主导的交易所的组织形式一定是一个金融机构联合成立的模式;未来的交易所一定是全球范围内经营,不是现在的在各个监管辖区的范围内经营;DeFi会应用于交易相关的各项业务当中。[2019/11/26]
而在CertiK近期发布的中,更是指出:2021年造成黑客攻击最常见的原因是中心化风险,在因此产生的44起DeFi黑客攻击事件中,总资产损失高达13亿美元!
动态 | 非营利性公司Tide开发技术将私钥去中心化:一项新的提议希望通过将私有密钥本身去中心化来进一步实现去中心化。非营利性隐私倡导者Tide声称已经开发出一种分布式技术,将在区块链上产生一个去信任的机器人或委派自动受托人(DAT)。根据8月5日的公告,DAT可以充当加密密钥的保管人,管理对个人数据的访问,或者允许自动交易机器人在没有获得完整密钥的情况下访问资金。[2019/8/14]
复制链接至浏览器即可下载安全报告:
https://certik-2.hubspotpagebuilder.com/the-state-of-defi-security-2021-chinese
什么是中心化风险?
大家应该都清楚:区块链的意义在于去中心化、匿名性和透明性。
声音 | 北大经济学院原院长晏智杰:区块链和市场经济的本质都是去中心化:北京大学经济学院原院长晏智杰今日表示,区块链和市场经济的本质是完全一致的。比特币和区块链的本质在于去中心化,市场经济的本质在于去政府的中心化。[2018/8/22]
其中去中心化更是DeFi、DAO乃至整个加密世界最独一无二的核心本质。
从定义上讲——百度百科搜索的结果如下:在一个分布有众多节点的系统中,每个节点都具有高度自治的特征。节点之间彼此可以自由连接,形成新的连接单元。任何一个节点都可能成为阶段性的中心,但不具备强制性的中心控制功能。这种开放式、扁平化、平等性的系统现象或结构,我们称之为去中心化。
而中心化风险仅在这一层面,就背离了加密领域创建的初衷。
中心化风险的核心是DeFi协议内的单一故障点——拥有中心化所有权的智能合约比拥有时间锁或多签名密钥所有权的合约风险更大。
一旦这一风险被恶意攻击者利用,那么无限铸币、RugPull以及其他各类型的攻击事件将接踵而来。
如果你的合约具备铸币漏洞,那么攻击者但凡能拿到合约私钥,即可转手铸造无数代币然后想给谁就给谁。
很明显,这种攻击方式对于项目的所有者来说简直就是印钞神器,当然也有些项目会成为其他黑客的ATM机。
另一种比较典型的攻击方式就是RugPull,CertiK刚刚发布分析的BabyMusk攻击事件就是一个典型的案例。
在这种攻击手法中,有些是项目所有者恶意抛售其所持有的全部代币以此消耗去中心化交易所的流动性。还有些是项目所有者直接从合约中窃取代币,如预售锁定合约类的项目。
在有些去中心化交易所中,具备RugPull风险的项目简直多如牛毛——因为上币并不需要通过审计。
典型案例
DeFi协议bZx因私钥管理不善于2021年11月被恶意攻击导致损失高达5500万美元。
该项目合约私钥未采取多签名,攻击者通过钓鱼邮件轻松获取了私钥的控制权。这一中心化风险使得攻击者可以完全控制该私钥管理的所有合约。
在这一案例中,一旦攻击者获取了合约的控制权即可将代币从Polygon和BSC的部署中转移出来。
如何减轻中心化风险?
怎样才能减轻中心化风险?
智能合约审计是识别中心化风险的第一步,也是必要的一步。
通过智能合约审计,可以及时鉴别项目代码中存在的中心化风险,但只有审计是不够的,随后的代码修改同样至关重要。
在很多情况中,安全专家发现的问题以及给予的修改建议会被项目所有者置之不理....
这些行为简直就是在赤裸裸的呼唤黑客:快来呀,我这有钱给你!
CertiK将审计中发现的风险分为5个等级:严重、主要、中等、次要以及信息性。
上文中我们已经提过中心化风险属于主要风险等级,这代表着在特定情况下,该风险可能导致资金和/或项目控制权的损失。它也许不会显著影响平台运作,但同样是必须要解决的高危风险之一。
目前,CertiK官网已添加社群预警功能。在官网上,大家可以随时看到与漏洞、黑客袭击以及Rugpull相关的各种社群预警信息。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了2500家企业客户的认可,保护了超过3110亿美元的数字资免受损失。
标签:ERTcertikCERTIKRobert F Kennedy Jrcertik币价soccer币是什么币Tiki Token
一、JunoNetwork介绍1.概览—为什么要有JunoJuno由社区推动开发,是由CosmosSDK打造的一条layer1公链,使用Tendermint共识模块,接入IBC协议.
1900/1/1 0:00:00Jan.2022,GeorgeDataSource:DecentralizedDomainNames2021年11月,去中心化域名项目ENS发行其项目Token并向社区空投.
1900/1/1 0:00:00一、前言北京时间2022年3月21日,知道创宇区块链安全实验室监测到BSC链和以太坊上的UmbNetwork奖励池遭到黑客攻击,损失约70万美元。实验室第一时间对本次事件进行跟踪并分析.
1900/1/1 0:00:00瑞士卢加诺,2022年3月3日–Tether是支持区块链技术的科技公司,驱动着市值最大的稳定币(USD?),今天宣布与充满活力的瑞士城市卢加诺合作.
1900/1/1 0:00:00据区块链浏览器TRONSCAN数据,过去二十二周,TRX连续处于通缩状态,通缩量达2.94亿枚TRX.
1900/1/1 0:00:00据官方消息,5月25日,2poolLP矿池正式登陆SUN.io,参与流动性挖矿可获取SUN和USDD奖励。当前,2poolLP矿池APY最高可达23%,质押价值已超过6100万美元.
1900/1/1 0:00:00