湖北比特币挖矿公司|DeFi 安全事故又一起!Hegic 的争吵提醒对安全审计的误解有多深?

链闻速递/2020-11-02/ 分类:DeFi/阅读:
Trail of Bits CEO 称,应该避免将安全性的评论等同于为安全认证,这应该是区块链行业的共识。智能合约审计是并不是 DeFi 应用的灵丹妙药。撰文: ...

Trail of Bits CEO 称,应该避免将安全性的评论等同于为安全认证,这应该是区块链行业的共识。智能合约审计是并不是 DeFi 应用的灵丹妙药。

撰文:LeftOfCenter

Lendf.me 黑客事件发生不到一周,本周末又来一起,这次中招的是链上期权协议同时也是风险对冲工具 Hegic。

4 月 25 日,链上期权协议 Hegic 发布推文称代码中出现错误(typo),无法为新创建期权合约解锁过期期权合约中的流动性,呼吁用户立即行使所有的活跃期权合约。

其中,有 152.2ETH (约合 28537 美元)被永久锁定在未行使的看跌 / 看涨期权的合约池中。19 份合约中,有 16 份是看跌期权(DAI 被锁定),3 份是看涨期权(ETH 被锁定)。Hegic 称将为所有相关用户办理 100% 的退款。

此次事故虽然没有引发重大的财产损失,但在加密货币圈内引发的波澜仍然不可小觑,毕竟盘子本来就不大的开放金融安全事故一桩接一桩,而且这个号称匿名项目的 Hegic 才刚刚宣称已经通过 Trail of Bits 安全审计,并且本身就是做的与风险对冲业务,而如今事实证明自己也并不安全。

TYPO 还是 BUG?

话虽如此,但 Hegic 宣称这并不是一起安全问题,而是由代码中一个函数命名错误导致的,原话是 typo。

此话一出,更是举界哗然。

以太坊基金会社群经理 Hudson Jameson 公然喊话 称,「我想大声说这不是 TYPO,而是 BUG。如果说是 TYPO,那就太低估它的严重性了。如果你的合同存在缺陷,会导致其他人无法访问自己的金钱,那绝对不仅仅是 TYPO。」

可是, V1 版本 Hegic 协议不是刚刚通过 Trail of Bits 的安全审计吗?它还例举了审核合约的具体细节,包括 HegicOptions、HegicCallOptions、HegicPutOptions、ETHPool 和 ERCPool。

这是不是说明安全审计并不靠谱?

Trail of Bits 进行的是代码评审,而非「审计」

Trail of Bits CEO Dan Guido 表示不背这个锅,他透露,Hegic 根本就没有通过 Trail of Bits 的代码审计,仅仅是进行了为期短短 3 天的代码评审(code review),在代码评审过程中发现了 HegicOptions 中至少存在 10 个可能会伤害用户的关键缺陷,Trail of Bits 向 Hegic 团队给出的建议是「推迟部署」

DeFi 安全事故又一起!Hegic 的争吵提醒对安全审计的误解有多深?
然而,Hegic 团队接下来是怎么做的呢?

Hegic 团队修复了其中几个 bug,除此之外没有进行任何更改就进行了部署,而且还将 3 天的代码审查(code review)错误地表述为「审计」

Dan Guido 表示,在对 Hegic 团队进行代码评审时发现其代码缺少文档、没有 README 文件,甚至没有进行单独的测试,此外 3 天的代码审查时间非常的仓促。因此,在报告结论中 Trail of Bits 特意提出了警告称,「该协议还存在更多的错误」。

改进建议

Trail of Bits 提醒 DeFi 用户,一定要注意安全。对此,他提出了以下几个建议:

  1. 千万不要将 Trail of Bits 的背书作为 HegicOptions 永远不会被黑客入侵的证明,更慎重的举动是自己阅读报告或进行进一步调查。
  2. 应该要确保 DeFi 项目所需的整体安全性,智能合约审计是并不是 DeFi 应用的灵丹妙药。此前,Dan Guido 曾经多次公开发表相关的 声明 和 客户指南 强调这一点。
  3. 不要相信仅仅将代码审查作为安全证明的任何项目,不仅如此,3 天的代码审查是一个相当短的时间,应该避免将安全性的评论等同于为安全认证,这应该是区块链行业的共识。
  4. 区块链行业的共识意味着,这不仅仅限于安全行业,对于普通用户,也要清楚的明白这一点,即审计不可能捕获所有可能的错误。

事已至此,Dan Guido 提出了 3 点改进建议:

  1. Trail of Bits 将终止和 Hegic 团队的合作,认为 Hegic 团队的行为是极其不负责任的,不仅无视 Trail of Bits 给出的建议,而且将用户的资金置于风险之中,这伤害了整个 DeFi 社区。
  2. Trail of Bits 将为那些财力有限的团队提供服务。安全援助对于较小的项目至关重要,Trail of Bits 将为那些较小规模的项目提供帮助。
  3. Trail of Bits 未来将在摘要报告中添加结构,以帮助读者在保持客观的同时更好地评估项目的当前状态和成熟度。因为很少有人阅读报告之外的东西,因此,Trail of Bits 决定在代码中提供统计信息和代码信息。

这给整个 DeFi 行业敲响了警钟。

作为 Hegic 的竞争对手,另一家去中心化金融风险管理平台 Opyn 马上发布推文表示将安全作为自己的首要任务。Opyn 称期权是复杂的工具,如果正确理解,可以作为强大的对冲工具,并提醒用户在对创新保持乐观的同时,应对资金投入保持谨慎。

Opyn 还表示会投入更多资源帮助用户了解自己对安全的看法,同时发布了自己的安全审计报告。

然而,Maker DAO 中国区负责人潘超则认为,链上保险是个死胡同

热门文章

HOT NEWS
  • 周榜
  • 月榜
长按图片转发给朋友
世链财经_区块链_比特币BTC_IPFS矿机挖矿_交易所平台
  • 商务合作微信:juu3644
  • 世链粉丝群微信:qia3867
  • 新闻爆料微信:zefmk896
  • 微信二维码
    Copyright 2018-2020       版权所有       粤ICP备20059285号
    二维码
    意见反馈 二维码