区块链:首发 | 遇到有漏洞的DeFi合约概率是多少？审计后又有多大概率被攻击？

身在新冠日增确诊10万例美国的小编，因为硬核原因不得不搭乘飞机出门。出行前一直担心是否会被感染，途中却被飞机遇到猛烈气流的颠簸唬住了。

虽然心里默默安慰自己飞机空难发生的概率非常低，感染新冠肺炎的概率也没那么高，但还是想起来了四个字：“墨菲定律”

在现代科技发展的大潮流下，锁定在区块链领域里的资产愈发庞大。隐藏在计算机背后的危机也随着区块链的发展日益展露狰狞的面目。

智能合约当中，任何一个小bug，都可能会给项目或者投资者造成无法挽回的损失。

受此警示之下，CertiK安全团队利用CertiK天网系统 （Skynet），对自北京时间2020年12月4日0时至24时之间，新加入Uniswap的代币智能合约进行了监控分析。

在本次分析的时间段内，一共产生了29个智能合约代币项目。

经过CertiK的Skynet分析，总计发现16个智能合约存在漏洞或者缺陷！

大概有55%的智能合约项目或多或少存在漏洞或者缺陷，其中大约有10%存在严重漏洞，45%存在项目拥有者权限过大，权限中心化过高的缺陷。

百度Apollo首发 “Apollo 001”系列纪念数字藏品:金色财经报道，据百度Apollo智能驾驶官方公众号，百度Apollo全网首发首款 “Apollo 001”系列纪念数字藏品，以百度汽车机器人为主体形象，每款对应一个百度Apollo自动驾驶重要里程碑事件。据悉，该数字藏品将于2022年7月8日 09:55发布汽车机器人家族全家福空投款。[2022/7/7 1:58:19]

本次分析的智能合约项目名称和合约地址如下：

分析结果如下： 

虽然难以通过一天的情况来预估所有时间范围内的智能合约安全情况，但窥一斑而知全豹。

下面主要针对三个相对重要的漏洞进行分析：

LBank蓝贝壳于4月9日16:50首发 BOSON:据官方公告，4月9日16:50，LBank蓝贝壳首发BOSON(Boson Protocol)，开放USDT交易，4月9日16:00开放充值，4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。

LBank蓝贝壳于4月9日16:50开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ，可按净充值量获得等值1%的BOSON的USDT空投奖励；交易赛将根据用户的BOSON交易量进行排名，前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/9 20:02:26]

图1: burnFrom()函数

图1中burnFrom函数受到ownerOnly修饰词限制，只允许项目管理者执行该函数。该函数内部逻辑实现允许通过设置account, balance和subtractValue的值，间接对_totalSupply和给定账户的_balances值进行任意修改。

首发 | 区块链技术及软件安全实战基地正式成立:金色财经报道，今日，中软协区块链分会、人民大学、菏泽市局相关部门联合共建的区块链技术及软件安全实战基地正式成立。同时聘任中软协区块链分会副秘书长宋爱陆为区块链技术及软件安全实战基地特别专家。

区块链技术及软件安全实战基地主要涉及领域为：非法数字货币交易与、区块链与电信、网络、四方支付、冒用商标注册等，联合社会治理、城市安全、前沿技术领域的行业专家，进行警协合作。

据公开报道，近期菏泽市下属机关刚破获一起特大电信网络案，打掉多个涉嫌以网贷和投资“比特币”为名的团伙，抓获犯罪嫌疑人83名，扣押冻结涉案资金2700万元。[2020/7/21]

图2: powerpoolttl合约中回退函数

图2中为powerpoolttl合约的回退函数。当外部用户对该智能合约进行调用，如果该调用中没有调用合约中的任何一个函数，或者仅仅转移了代币到该合约中，则回退函数会被调用。70行的逻辑显示，当回退函数被调用时，调用中被转移到合同中的代币会被直接转移到teamAddress的地址中。

首发 | 刘尧：百度区块链推出天链平台赋能链上业务:12月20日，由CSDN主办的“2019中国区块链开发者大会”12月20日在北京举行。百度智能云区块链产品负责人刘尧以《企业区块链赋能产业创新落地》为主题进行了演讲，他指出：2020年将是区块链企业落地的元年，为了支持中国区块链的产业落地，百度将区块链进行平台化战略升级，依托百度智能云推出天链平台，就是要赋能360行的链上业务创新落地。[2019/12/20]

该项目中可以通过执行transferFrom()函数进行对代币转移，根据图3中transferFrom()函数定义，211行需要执行getFee函数决定每次代币转移需要扣除的费用。从图3中getFee()函数的定义可以看到，决定费用高低的逻辑是取决与241行调用的Management.getFee()函数的定义。当前Management.getFee()函数的逻辑定义是根据manager变量中存储的地址值的不同而进行改变。当前manager变量中存储的地址值如图6所示。

然而manager变量中存储的地址值所指向的智能合约并未在etherscan上被认证，因此无法得知该智能合约的源代码，继而无从得知Management.getFee()函数的定义。

首发 | 蚂蚁矿机S17性能曝光 采用全新散热技术及全局优化定制方案:金色财经讯，日前，比特大陆即将发布的蚂蚁矿机S17性能曝光。据蚂蚁矿机S17产品经理朋友圈称，新品将采用新一代散热技术及全局优化定制方案。据了解，该散热技术可能是指芯片的封装技术，也有可能是机器的散热结构设计。至于S17产品“全局优化定制”方案未有细节透露。有声音评价，这或许是为决战丰水期做出的准备。[2019/3/22]

由于Management.getFee()函数背后的逻辑无法得知，因此项目拥有者有可能通过操作Management.getFee()函数返回值的方式，调整每次代币转移的费用，进行恶意操作等。

图3：transferFrom()函数

图4：StandardToken合约中的getFee()函数 

图5：Management智能合约接口与getFee函数接口

图6：当前manager变量存储的地址值

图7：当前manager变量存储的地址值指向的智能合约

大家都知道2020年最知名的一个例子——DeFi项目Yam于北京时间8月12日3:00启动后，尽管该项目的博客文章警告称尚未对其合约进行任何审计，但疯狂的Yield farmers在不到一小时内向该项目存入了7600万美元。

后期不出意料，Yam在短短36小时内，数亿美元因为一个小小的漏洞，消失于无形。

安全审计现在已经是高质量DeFi项目的标配。当前DeFi项目热潮持续不减，很多项目为了抓住热点与机遇，在未经严格测试和审计的情况下便匆忙上线。

这些项目中，大部分的漏洞是无法通过常见的测试方法和工具来发现的。只有寻找专业的审计专家进行严谨的数学模型证明，才可以发现该漏洞。形式化验证是当前唯一被证明可以产生可信数学证明的软件验证方法。

因此，采用基于形式化验证方法的区块链检测工具来验证项目中的安全漏洞，应成为每一个项目在上链前的必经步骤。

每一个项目受到攻击或是损失资产的原因，都是因为一个非常小的代码漏洞。

计算机领域中，平均每1000行代码中，会有1-25个bug。也就是说，这个概率的区间是千分之一（0.1%）至百分之二点五（2.5%）。

那么那些已经接受安全审计并通过的项目呢？

CertiK选取了三家公开审计信息的安全公司进行了数据统计。

此次统计了这三家公司的共计377个被审计的项目（包括重复审计项目）。

其中有8个项目在至少被审计过一次的情况下，仍旧遭受到了黑客攻击。

这8个已审计却被攻击的项目，整整损失了6900万美元。

根据此三家审计公司的数据来计算审计后被黑客攻击的比例是：8/377 = 2.12%

代码产生bug的几率和项目已通过审计但仍旧被攻击的概率大抵都约等于2%，在这里举个简单的例子：

根据SquareTrade数据统计显示——在美国，短短一小时内就有5761个手机屏幕壮烈牺牲。假设，美国人均一部手机，并且没有重复摔同一部手机的癖好。那么50天内，一位美国小伙儿有2%的几率把手机屏幕摔碎。

但是一部手机的使用寿命肯定不止50天，如果用一年呢？这个概率骤增为15%！使用超过三年半，概率就超过了50%！

这就印证了上文中的墨菲定律——小概率事件的必然性：时间基数够长的情况下，坏事总会轮到你的。

而空难发生的几率是五百万分之一（0.00002%）。

相比之下，代码产生漏洞的概率以及项目已通过审计但仍旧被攻击的概率是空难的整整12.5万倍！

如果在飞机颠簸的时候，你害怕飞机失事，那么不妨用超出10万倍的担心，去保护你的项目。

这么对比过后，你还觉得项目不需要额外的保障吗？

为之于未有，制治于未乱。

除静态审计之外，动态的安全防护更能够防范攻击事件。CertiK开发的动态安全工具：快速扫描——安全预言机——CertiKShield，从预警到实时评测到保险计划，可以全方位为项目方提供安全保障。

标签：区块链MANAMANETF区块链dapp开发教程mana币价格最新价今日Stick Manmetfi币价格

SOL热门资讯