編者按:defi專案無論處於怎樣的市場環境,做好安全審計工作都十分重要。那麼,defi專案安全審計的主要內容,以及審計報告的作用究竟是什麼?同時,defi專案透過完全審計後,是否就能保證萬無一失?在安全審計之外,defi專案還存在哪些風險?希望本文能夠提供些許啟示。
在過去幾個月,defi(去中心化金融)專案層出不窮,創造了一波又一波的熱度,成為了網際網路金融科技的關注焦點。
從defi生態系統來看,流動性挖礦,去中心化交易所,信用借貸等協議(應用)產品市場反響強烈,其過山車式的價值波瀾牽引著無數投資者奔走入場。
作為質押資產,大量eth鎖定在了各類defi協議產品中。知名資料分析平臺defi pulse顯示,目前defi中鎖定的資產總價值已突破90億美元,距離百億大關近在咫尺。
就在7月初,這一資料僅為20億美元上下。短短兩個月,鎖倉總值上漲幅度到達了驚人的350%,投資者參與熱情之狂熱由此可見一斑。
defi江湖,風雲詭譎
然而,投資火爆的的背後,各種defi安全事件卻頻繁發生。伴隨駭客對合約各部分漏洞的瘋狂攻擊,多個defi專案平臺遭到了鉅額損失。
一般而言,defi專案的安全隱患中,最常見的是由程式碼邏輯錯誤引發的安全問題。8月,defi專案yam finance(yam)推文稱,其rebase函式出現漏洞。這導致代幣彈性供應失衡,yam巨量超發,正常治理無法進行。此外,defi 專案 yfvalue(yfv)也發表宣告稱,其yfv質押池中存在漏洞,yfv計時器可能被惡意重置。
其實,類似程式碼級別技術規範問題,如在專案上線前,能夠接受第三方安全審計,應該是可以將問題扼殺在搖籃之中。或許正是出於這樣的考慮,許多defi專案逐漸開始認識到安全審計的重要性,並選擇資質過硬的安全公司加以執行。
不論是對defi,還是其它區塊鏈數字資產專案,造成投資風險的因素多種多樣。如駭客攻擊類,包括公鏈漏洞攻擊、合約漏洞攻擊、錢包漏洞攻擊、專案方(交易所)系統攻擊等;規則鑽空取巧類,包括利用業務邏輯空隙套利、利用系統漏洞擾亂應用環境、操控預言機喂價機制等;病毒投放類,包括製造並定向釋放蠕蟲、木馬以及攻擊性病毒;欺詐類,包括專案方套利跑路等不一而足。
風險規避的利器:安全審計
從投資者的角度看,要選擇投資defi專案,如果候選專案自身加持“已審計”標籤,其受信程度自然會提高不少。畢竟,類似uniswap這樣的頭部defi專案也無法倖免駭客利用合約漏洞盜取資產的宿命。投資者單靠熱度進行投資判斷,其中泡沫不知深淺,很容易導致投資失敗。有投資者甚至表示,安全審計與否,是他對一個defi專案的可信度和風險評估最重要的參考指標。
誠然,要評估defi專案是否存在風險,從整體上講,是否接受過安全審計是判斷defi專案安全性的重要分水嶺。這是由於,智慧合約尚處於技術早期應用階段,各方面,各階段的技術漏洞難以避免。因此,作為前置風險規避措施,透過整體性安全審計是評價專案安全可信度的剛性指標。
作為全球領先的區塊鏈安全企業,成都鏈安根據完全自主研發的“beosin-vaas”智慧合約自動形式化驗證系統,並基於大量第三方合約安全審計經驗,能夠快速、準確地對合約程式碼規範性進行全域性檢查,從而排除溢位、重入等安全漏洞。透過形式化驗證,駭客攻擊類風險大大降低,同時,由於程式碼問題導致的規則鑽空取巧問題可以基本杜絕。
在審計報告中,受檢defi專案的業務邏輯和功能描述將根據核查的真實情況進行披露。投資者透過審計報告,能夠對專案方是否存在業務、功能等方面的虛假宣傳進行比對檢查。同時,專案概況、技術結構等方面也能被充分掌握和分析,並形成專案許可權描述。
此外,投資者還可根據審計報告考察專案方是否存在對合約資產進行“一鍵轉款”的高風險性操作許可權,以及是否存在背離去中心化思想的關鍵引數設定可能性,以此在最大程度上避免墜落人為操控投資者資金的風險情況。
其實,安全審計並非“法力無邊”
總體而言,整數溢位等漏洞導致被動增發;不同erc標準的程式碼融合產生結合性漏洞;管理者許可權admin key的配置不合理導致中心化操控痕跡明顯;平臺遷移、新增流動性挖礦池誘發代幣配置錯誤等問題,在安全審計和服務支援下能在最大範圍內實現規避。
然而,市場行情的變化導致資產損失、流動性受阻;專案團隊業務設計、運營邏輯不合理;發起者動機不良,不考慮專案長久發展,甚至捲款跑路;使用者私鑰管理不當,或是錯誤操作導致資產損失等諸多方面,僅靠安全審計顯然是無法做到前置規避和徹底防範的。
初心難守,慎心為上
技術信仰,價值共識,成就了defi專案空前火爆。面對來勢兇猛的資金流,無論是技術高深的程式設計師,還是心懷壯志的專案創業者,初心難守亦是無奈現實。
與此同時,對defi合約等專案的安全審計,即便恪盡職守、兢兢業業也無法預估結果,洞察人心異變。或許這本身就是技術永遠無法超越的真實。
從古到今,圍繞資產的博弈,從來就沒有停止,只要有人參與,就永遠不會停止。
成都鏈安鄭重提醒,defi專案的創業者,寧可技術落後不可人心腐敗,安全審計絕不可避。同時,作為參與投資者,請務必慎重選擇專案,時刻懷揣理性,數字資產高回報率的背後永遠是無法預見的高風險。
一轉念,網路駭客可能存在身份的“黑白”之分,但黑與白的界限豈限於黎明,而安全風險又豈止於審計。