如何控制元宇宙项目未经第三方代码审计后的风险?
代码审计是什么?
源代码审计(Code Review)安全服务人员对系统源代码和软件架构的安全性和可靠性进行全面的安全检查,并对安全编码原理和应用安全有深刻的了解。
源代码审计服务的目的是充分挖掘当前代码中的安全缺陷和标准缺陷,使开发人员了解其开发的应用系统可能面临的威胁,并指导开发人员正确修复程序缺陷
最近,随着YFI的推出,去中心化金融(DeFI)有一种趋势,即发布未经代码审计的项目供用户访问。但就像我们来自Yam一样 正如Finance在事件中所看到的,在项目智能合同中发现的bug会对未经审计的项目用户和投资者造成经济损害。
虽然审计并不意味着项目的完全安全,但正如Hegicbug所示,智能合同审计师继续在生态系统中发挥重要作用。通过让第三方审计师仔细检查代码并采取行动修复漏洞,项目向用户发出信号,表明他们认真对待资金的安全。
在这份报告中,The Block研究了加密货币审计公司的数据,并特别关注了Defi项目,因为在当前环境下,大多数用户资金都流向了那里。我们还研究了Defi项目设立的bug赏金计划。我们的数据集由68个Defi项目组成,已经处理和管理了数十亿美元的加密货币。
Defi审计机构
根据我们的研究,至少有29家网络安全公司为加密货币项目提供审计服务,并扩展到Defi项目。根据审计项目的数量,领先的Defi审计机构是OpenZepelin、TraiofBits和ConsenSys Diligence。certik.
这三家审计公司共审计了我们数据集中的一半以上的项目。在我们的数据集中,每家公司分别审计了近五分之一的项目。
Defi项目雇佣了大约两名审计师。下图显示了雇佣三名或更多的审计师来检查其项目的项目。Gnosis领先于最多样化的审计师团队。拥有一套多样化的审计师可以使该项目获得不同审计师独特的更广泛的技能组合
但这背后有两个问题:项目方想直接逃跑吗?你赚的钱是谁?项目方的运行与代码有关,这与18年的交易和采矿有本质区别。只要代码在那里,稳定的货币系统就会正常流通,货币就在那里。
许多人不怕项目方逃跑,但害怕项目方“做事”。一旦新版本推出,旧版本的货币就会贬值。只要代码安全性合格,保证分散机制,项目方就不能拿这些货币。当然,最害怕的是代码不合格,最后所有的货币都让黑客终端离开,比如YAM在深夜的漏洞,但仍在调整。
YFV基于以太坊的一个DEFi项目被勒索。利用staking的合同漏洞,攻击者可以随意重置用户锁定的YFV。并表示,这一事件可能与不久前的“pool0”事件有关,勒索者很可能是“愤怒的农民”,在“pool0”事件中没有收回资金。成都链安分析说,合同中有一个stakeonbehalf函数,使攻击者能够抵押任何用户。 lastStakeTimes[stakeFor] = block.timestamp; 语句将更新用户地址映射的lasestaketimese[user]。用户取出抵押使用的函数中存在验证,要求用户取出时间必须大于laststaketimese[account] 72小时。
这一事件的根本原因在于,在上线前没有做好代码审计工作。这一事件实际上属于业务层面的漏洞。根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时没有提供完整的项目相关信息,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。在此提醒各项目方:安全是发展的基石,代码审计是上线的前提。可想而知,在项目上线前做好代码审计工作有多重要!
针对这一事件,根本原因是上线前没有做好代码审计。这一事件实际上是业务层面的漏洞。
代码审计通常以代码的行数计费~
代码审计是从安全的角度对代码进行安全测试和评估,全面了解代码的内部逻辑结构,测试所有逻辑路径,充分挖掘当前代码中的安全缺陷和规范缺陷,分析当前应用系统的源代码。
| 正加财富网内容推荐 | ||
| OK交易所下载 | USDT钱包下载 | 比特币平台下载 |
| 新手交易教程 | 平台提币指南 | 挖矿方法讲解 |
