第161期
【提问有奖】dForce“被黑”,敲响DeFi资产安全警钟

嘉宾 Lucas_pDV,成都链安创始人 杨霞,Dan_Guido

DeFi有史以来最大黑客事件:4月19日上午,由dForce团队开发的去中心化借贷协议Lendf.Me遭黑客攻击,价值2500万美金的锁仓资产被黑客洗劫一空,引起区块链行业人士的高度重视。 4月19日晚,黑客向Lendf.Me账户归还了12614枚PAX,并附言Better Future。4月20日,黑客再次陆续归还代币,最终悉数归还了全部被盗资产。据悉,此次事…

已结束 参与人数:124

DeFi有史以来最大黑客事件:

4月19日上午,由dForce团队开发的去中心化借贷协议Lendf.Me遭黑客攻击,价值2500万美金的锁仓资产被黑客洗劫一空,引起区块链行业人士的高度重视。 
4月19日晚,黑客向Lendf.Me账户归还了12614枚PAX,并附言Better Future。
4月20日,黑客再次陆续归还代币,最终悉数归还了全部被盗资产。

据悉,此次事件,以及不久前“被黑”的去中心化交易协议Uniswap,都是被黑客利用了ERC777代币标准中的多次迭代调用tokensToSend 方法函数来实现重入攻击。 
ERC777合约是对ERC20合约的一个改造和升级,不但实现了功能扩展,还有 ERC20 标准一样良好的兼容性。然而ERC777合约和DeFi平台的兼容性问题,给了黑客可趁之机:通过重入攻击,并以imBTC为抵押,完成资金盗窃。
所幸,这位黑客由于缺乏经验,在去中心化交易所 1inch 上泄漏了自己的 IP 地址。1inch 配合新加坡警方以及 dForce 团队向黑客施压,迫使其归还了赃款,没有给用户平台造成损失。

延伸阅读:《dForce团队公开还原黑客攻击事件真相》


由资金安全问题引发的思考:

虽然被盗资产失而复得,这期事件本身依旧值得大家思考。资产被盗,大家首先想到的是追责,目前几种说法主要聚焦在dForce及其安全合作方本身的风险自查未做到位;也有另一种声音则认为,imBTC 的资产发行方 Tokenlon 负有一定责任。 
imBTC 是与 BTC 1:1 锚定的 ERC-777 代币(兼容 ERC-20),由 Tokenlon 负责发行和监管,imBTC 采用 ERC-777 代币标准规范。
对于Tokenlon的指控主要在于,他们在前一晚 Uniswap 发生事故关停 imBTC 的合约转账后,又重新开通了 imBTC 的合约转账功能,给了黑客可乘之机。
对此Tokenlon表示,在 4 月 18 日 17:00 重启 imBTC 的转账功能之前,曾经与 Lendf.Me 及其他 imBTC 合作平台沟通,并得到 Lendf.Me 及其他合作平台确认安全风险评估没问题后,才重启了转账功能。

事情发展到现在,许多安全公司也都给出了技术分析,这几起DeFi安全事故,ERC777的代码本身没有漏洞,但当他与DeFi协议相结合的时候兼容性出现了问题,产生了系统性的安全风险。因此,很难说这究竟是谁的责任。 
DeFi毫无疑问是未来的创新,但如何协议组合风险任重道远。
希望DeFi从业者能够吸取教训,敬畏创新,脚踏实地,不要冒进,越来越好。

嘉宾简介:

Lucas,Tokenlon 业务负责人。 

杨霞,中国顶级区块链安全公司成都链安科技创始人&CEO,电子科技大学副教授,博士后,全球最早从事区块链形式化验证的专家。从事形式化验证、内核安全、移动设备安全、TEE等安全技术研究长达18年,并持续为航空航天、军事领域提供形式化验证和系统安全服务。


Dan Guido,Trail of Bits CEO以及联合创始人。
Dan在2012年创立了Trail of Bits公司,以尖端的研究来解决软件安全方面的挑战。在他担任首席执行官期间,负责DARPA(美国国防部高级研究计划局)网络安全项目Cyber Grand Challenge的工作,建立了行业领先的区块链安全实践,并在终端安全市场改进了开源工具。除了在Trail of Bits工作外,Dan还担任hack/secure(专注于种子轮网络安全公司的投资集团)的董事。Dan为RAND(兰德公司)、CNAS(国家安全中心)和哈佛的网络安全政策论文撰稿。他还是Empire Hacking的负责人,这是一个拥有1000名安全专家的组织,主要关注纽约地区的网络安全。在之前的工作中,Dan作为一名教员和专职黑客在纽约大学教授关于软件开发的课程,在iSEC合作伙伴(现在的NCC集团)提供咨询,并作为联邦储备系统的事件响应分析师。Dan拥有纽约大学坦顿分校的计算机科学学士学位。

AMA时间:

4月30日,周四,上午10:30

用户在选择DeFi产品时,是否默认已完全信任代码,并自愿承担风险? 
披露黑客IP是否违背去中心化的保护隐私的原则?
中国技术团队什么时候才能投入更多研发精力,不再过度依赖国外开源代码?

更多关于DeFi安全的问题,欢迎来聊!


提问有奖:

AMA结束后成都链安科技将选取最有价值的提问2名,每人给予50元人民币的链安红包
此外,还将随机抽取10名幸运提问者,每人给予10元人民币的链安红包

AMA结束后imToken将选取“最有价值提问奖”2名,每人给予马克杯1个+手账本1个+冰箱贴1份(60RMB等值); 
此外,嘉宾还将随机抽取“幸运提问奖”10名,每人给予手账本1个(20RMB等值)


如何参与AMA?

在本主题帖下直接回帖提问即可参与,嘉宾将在活动开始后上线回答, AMA升级增加了主持人:牛头大哥提问环节,欢迎大家围观讨论!

如何进群交流?

微信扫下方二维码添加链节点小助手燃燃(微信号:ljdwudi5520),回复“AMA”,小助手直接邀请进群,快进群跟小伙伴们一起交流探讨吧! 

特别鸣谢:
ChainNode首席合作媒体:巴比特、火星财经、星球日报、链闻、陀螺财经和Bitwires对本期AMA的支持!  
  • 最新
  • 最热
  • YEP!!! 船员 发表于2020-04-30 17:20:09

    【课代表】本期AMA内容精选:https://www.8btc.com/article/590450

  • 一枚小汤圆a 管理员 发表于2020-04-30 18:03:28

    【获奖名单】imToken AMA

    恭喜vincent_q3b、撸串青年 2名用户获得“最具价值”提问奖,奖励为马克杯1个+手账本1个+冰箱贴1份(60RMB等值)

    恭喜以下10名用户获得“幸运用户”奖,奖励为手账本1个(20RMB等值)

    1.pai守护者;2. 想喝drc;3. Frank1003;4.Wendy;5.rainRAID;6.我是警察都别动;7. 积币侠;8. Damesecrets;9.洒脱喜;10.gentledog。

    注:1.请以上12位获奖用户于2020年5月6日下午4点前添加 链节点小助手(VX:ljdwudi5520),添加时请备注链节点用户名+imToken AMA领奖,以便工作人员核查,加上后请提供姓名+电话+地址给小助手,过期未收到信息视为放弃奖励,谢谢配合!

    链节点小助手二维码

  • 一枚小汤圆a 管理员 发表于2020-04-30 18:16:06

    【获奖名单】成都链安 AMA

    恭喜烧鸡可乐 、送比特归零 2名用户获得“最具价值”提问奖,奖励为50元人民币的链安红包

    恭喜以下10名用户获得“幸运用户”奖,奖励为10元人民币的链安红包

    1.一颗橙子;2. 比特荣耀;3. bit行走 ;4.云船长;5.鬼吹灯;6.章北海要多想;7. cncoin;8. 手中无以太;9.小陈子;10.表哥找表妹天生是一对。

    注:1.请以上12位获奖用户于2020年5月6日下午4点前添加 成都链安助手(VX:cdlzkg),添加时请备注链节点用户名+成都链安AMA领奖,以便工作人员核查,加上后会收到对应奖励,过期未加视为放弃奖励,谢谢配合!
  • 牛头大哥 管理员 发表于2020-04-26 17:10:42

    欢迎各位嘉宾作客链节点AMA,与大家讨论最近的DeFi安全事件,下列问题,期待你们的回复!


    Q1. 你们是否认为,目前DeFi协议之间的可组合性使其复杂性超越了成熟度?V神也表示DeFi产品有越来越复杂的趋势,并呼吁大家做简单并且稳定运行的东西。对此你们怎么看?


    Q2. 由于DeFi是一个个协议和应用模块组成的“乐高”,希望嘉宾们可以从DeFi从业者和安全方两个角度,谈谈该如何抵御组合兼容性风险?


    Q3. 对于此次事件,大多数人都认可dForce团队在追回资产方面付出的努力,但部分西方开发者把Lendf.Me称为Chinese clone; DeFi领域的明星产品(如Compound, Uniswap)都是海外项目,中国开发团队目前进展如何?使用国外开源代码是否存在安全隐患?


    Q4. DeFi vs CeFi的辩论似乎从未停止。在这次事件中,有部分人认为根据DeFi“去中心化的宗旨”,向黑客发起追讨或者法律诉讼的应该是 DeFi 用户,而不是开发者;而 Lendf.Me 开发者团队在以公司主体的名义通过法律途径追回资产,说明这家公司在承担代理风险,这和CeFi没有区别。对此你们怎么看?MakerDAO创始人Christensen认为DeFi想要进一步发展需要CeFi的协助,且两者最终将合并,你们赞同这个想法吗?


    Q5: To杨总:能否用通俗的语言向大家科普一下什么是“重入攻击”,对此类攻击,安全团队什么相应对策?从安全角度,对于DeFi项目方有什么意见或建议(针对代码和系统风险)?


    Q6. To Lucas:作为DeFi从业者,能否说一下在经历了3.12以及多次黑客事件后DeFi生态目前的状况如何?你认为未来DeFi生态发展的重点会集中在安全风控这块吗?还是有其他的考量?

    Q7. To Dan: 前几天Hegic项目被爆出因代码漏洞导致用户资金被锁定,但其实Trail of Bits早就建议该项目推迟主网上线,然而对方拒绝了。在DeFi安全方面,除了代码审计的环节之外,我们还能做什么?

    欢迎大家继续提问!


    AMA官方翻译小助手 船员 回复Dan_Guido 发表于2020-04-30 13:34:10
    A7:Trail of Bits帮助Hegic审查了他们的代码,发现了许多问题,并与他们一起解决了这些问题。但是,仅解决这些特定问题不足以构建安全的DeFi应用,我们建议他们进行进一步的测试。他们没有,并且遇到了安全问题。这是有问题的,表明用户需要更深入地了解他们所投资的项目,并且仔细阅读审计报告,帮助我们找到可以帮助用户更好地了解DeFi项目成熟度的方式。
    我在另一个答案(吴超人会飞)描述了我如何建议非技术用户调查DeFi项目是否可以安全地投资。特别是,如果在项目部署前一到两周发现许多关键的安全问题,那么开发人员是否有时间真正解决这些安全问题的根本原因。 DeFi应用程序是复杂的金融工具,必须谨慎操作,并且在简短审核期间仅修复一些错误不足以确保其安全性。用户必须考虑安全审查周围的情况,以确定他们是否信任运营安全审查小组以保护其资金。
    此外,用户必须了解安全审查有助于改善和补充开发团队的做法。他们不能取代对安全性不感兴趣的团队或不关心产品安全性的团队。最终,用户必须信任开发人员来生产他们可以信任的产品,这些开发人员将听取专家的指导,并且所有者将在对其产品重要的所有安全领域进行适当的投资。
    AMA官方翻译小助手 船员 回复Dan_Guido 发表于2020-04-30 12:25:26
    A2: 你是正确的,这是DeFi应用程序的关键问题。通常,我们建议DeFi应用限制其与未知系统的互操作性,以帮助控制紧急行为的风险。但是,这不是一个完整的解决方案。如果您通过DAI抵押的保证金交易购买保险,则可能会有三个系统相交。在某些时候,可组合性是不可避免的。
    在这种环境下,每个人都有责任了解他们使用的合约和系统,包括可能与之交互的第三方合约。这可能很困难,并且使用DeFi应用程序的团队可能发现自己必须对在链上发现会造成不良影响的二进制合约进行逆向工程。我们知道一个案例,这个案例是DeFi项目使用Rattle来更深入地了解为滥用它们而进行的套利合约。
    当你意识到它是一个移动的目标时,这种情况将变得更加复杂。合约将进行升级,从而改变其行为。它们的新功能是否会使您的项目面临意外风险?你应该如何应对这些不断变化的情况?对于DeFi应用程序来说,可能有必要密切监视整个区块链,以发现可能影响其项目和用户安全的问题。
    AMA官方翻译小助手 船员 回复Dan_Guido 发表于2020-04-30 12:23:14
    A1:绝对的! DeFi应用程序的紧急行为很难建模,当今最好的解决方案是仅将你信任的内容列入白名单,以限制你接触未知的第三方合约。重要的是,项目应采取细微且经过仔细衡量的步骤来构建新技术。
    Dan_Guido 水手 回复牛头大哥 发表于2020-04-30 12:08:47 嘉宾

    A7: Trail of Bits helped Hegic review of their code, found many issues, and worked with them to address those issues. However, simply addressing those specific issues was not enough to build a secure DeFi app and we recommended they conduct further testing. They did not and suffered a security issue. This is problematic, highlights the need for users to more deeply understand the projects they invest in, demonstrates why users should closely read audit reports, and helped identify ways that we can help users better understand the maturity of DeFi projects.

    I described how I recommend that non-technical users investigate whether a DeFi project is safe for their investment in another answer. In particular, if many critical security issues are found only one or two weeks before the project is deployed, has the developer had time to truly address the root cause of those security issues? DeFi apps are complex financial instruments that must be operated with care and simply fixing a few bugs during a brief review is insufficient to assure their safety. Users must consider the context around the security review to determine whether they trust the team operating it to safeguard their funds.

    Furthermore, users must understand that security reviews help improve and complement the practices of the development team. They cannot replace a team that has no interest in security, or a team that does not care to secure their product. Ultimately, users must trust the developers to produce a product they can trust, that those developers will listen to expert guidance, and that the owners will appropriately invest in all areas of security important to their product.


    Dan_Guido 水手 回复牛头大哥 发表于2020-04-30 11:20:17 嘉宾

    A2: You are correct, and this is a key concern with DeFi apps. In general, we recommend that DeFi apps limit their interoperability with unknown systems to help control the risk of emergent behavior. However, this is not a complete solution. If you buy insurance on a margin trade that’s been collateralized with DAI, then there could be three systems that intersect. At some point, composability is unavoidable.

    In this environment, everyone is responsible for understanding the contracts and systems that they use, including the third-party contracts they may interact with. This may be difficult, and teams with DeFi apps may find themselves having to reverse engineer binary contracts they find on-chain that are causing undesirable effects. We’re aware of one case where Rattle was used by a DeFi project to more deeply understand an arbitrage contract deployed to abuse them.

    This situation becomes more complicated when you realize that it is a moving target. Contracts will have upgrades that change their behavior. Does their new functionality expose your project to unanticipated risks? How should you react to these changing circumstances? It may be worthwhile for DeFi apps to closely monitor the entire blockchain for issues that may affect the security of their project and users.


    Dan_Guido 水手 回复牛头大哥 发表于2020-04-30 11:10:44 嘉宾

    A1: Absolutely! Emergent behavior from DeFi apps is hard to model, and the best solution today is to limit your exposure to unknown third-party contracts by whitelisting only what you trust. It’s important that projects take small, carefully measured steps to carefully build new technology.

    Lucas_pDV 水手 回复牛头大哥 发表于2020-04-30 10:40:30 嘉宾
    A6 -
    目前其实行业内有开始集体反思和自查,但是大家依然是很乐观,包括很多的用户。这次的事件让大家看到了组合性带来的风险,但也看到了能量和潜力。以太坊作为价值网络,用户的资产安全风控必然是重中之重,相信通过这次,DeFi 从业者会更加重视组合和兼容性的安全审计,同时建立业务运营的监控和风控机制,比如熔断机制和异常交易监控。
    Lucas_pDV 水手 回复牛头大哥 发表于2020-04-30 10:39:16 嘉宾
    A4 -
    这里通过这个事件提到了「法律权责」问题,其实这仅是去中心化多个层面中的一个,除此之外还有开发,技术,治理,资金等等。而且去中心化对于 DeFi 产品和团队来说是一个渐进的过程,完全的去中心化是很难一步达成的,我更喜欢把去中心化当作是一个方向,目前很多的 DeFi 项目其实也还是在往这个方向迈进的过程中。

    项目在发展的过程中,不同阶段也会有不同的去中心化节奏。比如在产品技术上,早期往往是核心团队进行开发,快速试错寻找 product/market fit;增长期核心团队则会开始邀请社区开发者参与开发,后期核心团队则会逐步退出主导地位,完全交由社区进行迭代。治理上也是一样,比如最近 Compound 和 Kyber 都开始引入社区参与治理,但是他们在早期则是完全由核心团队进行决策。风投机构 A16Z 有一篇文章(https://a16z.com/2020/01/09/progressive-decentralization-crypto-product-management/)很好的表述了 DeFi 渐进式去中心化的过程。

    对于 CeFi 和 DeFi 的关系,我更倾向于说「合作」,而非「合并」,相信 CeFi 和 DeFi 会是行业中越来越互相依赖的组成部分。而且两者都有各自的优势和劣势,能够为市场提供差异化的服务。
    成都链安创始人 杨霞 水手 回复牛头大哥 发表于2020-04-30 10:37:58 嘉宾
    Q5: 重入:比如我在银行存了100块钱,银行的账本中记录我存了100块,现在我去取100块钱,如果这家银行有重入漏洞,他的取钱模式就是这样:银行就会先把钱打给我,然后在账本里面把我的余额记录减去取出的部分。但是在把钱打给我到修改账本的中间,我告诉银行,我还要取100块,这个时候银行看我账户还有100块,又给我转100块。相当于我一共取了200块,这就是重入漏洞。
    安全建议:
    1.开发者进行安全开发培训,掌握相关漏洞原理以及防护措施,避免产品中存在一些很明显的漏洞。
    2.在引入第三方项目时,做好安全调研,以及设置对应的安全防护措施。
    Lucas_pDV 水手 回复牛头大哥 发表于2020-04-30 10:37:58 嘉宾
    A3 -
    中国 DeFi 团队确实比较少,不过数量一直在增加,像是 DDEX、Loopring 等在海外社区的口碑其实很好,也都有各自的创新之处。 另外我们开发的去中心化交易所 Tokenlon 已经是 DEX 中的 top3,是 0x 上最大的 relayer。Tokenlon 基于 0x 的 RFQ 模式,imBTC 的持币生息,都是创新,也得到了西方开发者认可。

    关于使用开源代码,无论国内国外,建议都还是要再次审计,同时因为组合性带来的兼容性风险,审计也应该是一个持续的过程,从而才能够及时发现并应对潜在的漏洞。
  • 立即 副船长 发表于2020-04-27 12:52:15
    在发现uniswap的合约上的imbtc出现重入漏洞时tokenlon有没有联系成都链安公司进行代码漏洞的分析?成都链安公司以前是否审核过imbtc的代码,或有没有审核过这种两种不同合约同时交互而产生的漏洞?tokenlon在发现imbtc和合约交互时出现漏洞关闭转账后又开启转账致使产生lendf.me产生更大的损失是不是说明tokenlon对于安全评估没有足够的能力?成都链安对于imbtc在与其他合约的交互上会出现重入攻击之前是否有过警示?成都链安公司分析区块链安全一般从哪些方面入手,对于不同合约协议交互产生的漏洞是否能有能力审核出来?
    成都链安创始人 杨霞 水手 回复立即 发表于2020-04-30 10:39:22 嘉宾
    tokenlon这次是没有找到我们做代码审计。我们对于区块链安全,一般是分析对应的技术文档、源码。如果产生了安全事件,先定位到对应的交易,分析交易的执行过程,复盘攻击手法,找到漏洞点,然后给出相关的安全建议。
  • pai守护者 船员 发表于2020-04-27 16:38:25
    Tokenlon为什么选择ERC777协议?未来在DeFi方面有什么发展规划?
    Lucas_pDV 水手 回复pai守护者 发表于2020-04-30 10:55:56 嘉宾
    我们认为 ERC-777 具有很大的潜力,它向后兼容,能够为特定交易降费提速,支持发送数据等。imBTC 的使命是通过友好的用户体验,将 BTC 的流动性引入到以太坊的 DeFi 生态中,imBTC 具有的附加功能,可以满足很多未来需求,基于这个考量,Tokenlon 选择了 ERC-777 协议来发行 imBTC。
  • 带大王 船员 发表于2020-04-27 22:02:14
    此次事件后是否有打算成立一个DeFi开发者联盟,以探讨解决DeFi智能合约的兼容性问题和安全漏洞?
    AMA官方翻译小助手 船员 回复Dan_Guido 发表于2020-04-30 12:26:02
    我认为这样的组织可能是一个好主意,但是,为DeFi社区创建一个组织存在障碍。适当建立这样的机构将需要制定限制谁可以参加DeFi的规则,以及不符合最低标准的人的强制执行机制。 DeFi社区的价值观似乎与该解决方案背道而驰:允许新进入者和实验项目参与会有好处。我认为,在尝试使用这些系统之前,用户需要这些系统的安全性和可靠性。
    Dan_Guido 水手 回复vincent_q3b 发表于2020-04-30 11:33:02 嘉宾
    I think that such an organization could be a good idea, however, there are barriers to creating one for the DeFi community. Properly creating such an institution would require rules that limit who can participate in DeFi and an enforcement mechanism for people who do not meet minimum standards. The values of the DeFi community appear opposed to this solution: there are benefits to allowing new entrants and experimental projects to participate. I think that it will be up to users to demand security and reliability of these systems before attempting to use them.
    Lucas_pDV 水手 回复vincent_q3b 发表于2020-04-30 10:59:01 嘉宾
    目前我们还没有这个计划,不过如果行业内有人发起的话,我们很乐意参与。
    成都链安创始人 杨霞 水手 回复vincent_q3b 发表于2020-04-30 10:41:26 嘉宾
    作为安全公司,我们是希望能成立安全链盟,无论是项目方还是开发者,都能拧紧一股绳,共同护航区块链安全。
  • aNq67MgG 副船长 发表于2020-04-27 22:30:07
    脚踏实地,不要冒进,越来越好!
  • Damesecrets 副船长 发表于2020-04-27 22:33:24
    听说Uniswap中的流动池是IMtoken提供,这次IMtoken的损失没有被找回那么这部分损失是由谁承担呢,IMtoekn会不会因为这次损失破产?现在IMbtc还是erc777是不是会因为安全问题停止IMbtc与所有其他合约结合?链安对于IMbtc有什么样的建议,怎么样才能最小的代价来纠正这样的漏洞?链安对Uniswap有什么样的建议?这次损失找回了还算万幸,如果没有找回这次那么这次损失怎么办?链安可以进行漏洞审核那么有没有能力或业务追踪黑客?链安是如何审核漏洞的,用户部署的合约直接发给你们吗?
    成都链安创始人 杨霞 水手 回复Damesecrets 发表于2020-04-30 10:42:31 嘉宾
    Defi项目正在快速发展壮大,据我们统计截止2020年,锁定在以太坊Defi应用中的资产已达到了10亿美元。Defi项目的火爆主要来源它的高收益。Defi又被称为『去中心化金融』,开放式金融的基础,则是高达8%-10%的收益率必然会伴随着巨大的风险。

    这是一个快速迭代的领域,因此各方Defi团队开发自己的合约产品也是自由发挥;但并没有一个统一的、标准的安全方案去遵守,或者说是必须通过严格的安全审计,这就导致了各种合约漏洞与相关安全问题层出不穷,Lendf.Me事件项目方就应该进行重入防护:比如使用OpenZeppelin 的 ReentrancyGuard,另一方面先修改本合约状态变量,再进行外部调用。

    成都链安在此建议:任何Defi项目方在开发合约时应重视合约安全问题,以应对各种突发情况和各种非正常使用合约情况,从而避免造成损失;同时建议做好相关安全审计工作,借助专业的区块链安全公司的力量,避免潜在的安全隐患。
  • 以太坊教父 副船长 发表于2020-04-27 22:44:09
    tokenlon肯定是负有责任,你发行imbtc,就要考虑erc777格式在各种特定情况下的风险,并且进行说明。这件事虽然看似皆大欢喜的结束了,但是对于imbtc,erc777是否安全产生很大的负面作用。虽然tokenlon无需进行赔偿,但是我绝对不会选择imbtc,我觉得imbtc还可能遇到新的问题。
  • 请问嘉宾: 1.成都链安会不会发生dForce“被黑”这样的资产安全事件呢? 2.成都链安在技术上是如何保障用户的资产全,防止黑客侵入事件发生呢?
    成都链安创始人 杨霞 水手 回复表哥找表妹天生是一对 发表于2020-04-30 10:44:05 嘉宾
    成都链安不是项目方,不会发生这样的安全事件。成都链安从创立开始就非常注重技术创新,研发了“四大核心安全”产品,依靠“八大明星安全服务”包括:区块链系统安全审计、虚拟资产追溯与AML反洗钱、安全防护、威胁情报、安全咨询和应急等全方位的安全服务与支持,护航区块链安全。
  • 币圈大灰狼 水手 发表于2020-04-28 10:31:12
    想问一下杨总,除了这次提到的重入攻击,还有哪些常见的针对DeFi的攻击?现在安全公司是不是已经有了防御的方法?
    成都链安创始人 杨霞 水手 回复币圈大灰狼 发表于2020-04-30 10:44:20 嘉宾
    币价汇率控制是比较常见的。
  • 想喝drc 水手 发表于2020-04-28 10:49:15
    imBTC还上了哪些DeFi平台?未来会不会有类似安全隐患?
    Lucas_pDV 水手 回复想喝drc 发表于2020-04-30 11:09:45 嘉宾
    ERC777 标准本身没有任何问题,并且 imBTC 也接受过安全公司的安全审计。热门 DeFi 项目 PieDAO 就在最近推出了可以防止重入攻击的 BTC 流动池。如果平台做了重入保护或其它兼容性保护措施,就可以避免类似安全事件。
    成都链安创始人 杨霞 水手 回复想喝drc 发表于2020-04-30 10:46:12 嘉宾
    任何一个平台未来都有安全隐患。
  • 两个逗号 副船长 发表于2020-04-28 11:32:40
    来学习了,
  • gentledog 海盗王 发表于2020-04-28 11:34:00
    1、请问链安在分析协议安全性方面有哪些专业的分析工具?这是否是一个高度依赖从业者的经验和专业技能的工作?
    2、对不同的抵押资产分仓操作,作风险隔离,是不是一个好的想法?
    3、dForce在应对抵押资产价格暴跌引发的暴仓问题方面有什么好的对策?
    成都链安创始人 杨霞 水手 回复gentledog 发表于2020-04-30 12:11:20 嘉宾
    在安全工具方面,我们有智能合约自动形式化验证系统Beosin-VaaS,为智能合约提供“军事级”的安全检测和验证,检测准确率高达97%以上;反洗钱合规和调查取证系统Beosin-AML,协助执法部门调查取证虚拟资产犯罪案件的证据链,快速定位资产流向;安全态势感知系统Beosin-Eagle Eye,实时监测链上资产的交易行为,对安全攻击和交易风险实时预警、报警和处置;威胁情报系统Beosin-OSINT,为区块链行业提供威胁事件实时咨询服务,精准推送与用户高度相关的威胁情报。投资需谨慎,建议大家把鸡蛋放在多个篮子里,分散风险。
  • Frank1003 副船长 发表于2020-04-28 14:55:07
    tokenlon和imtoken是什么样的关系,这次损失会给imtoken用户带来什么样的影响?
    imbtc的合约是否已经适配别的合约,imbtc以后会更改合约不?
    tokenlon还会发行除btc其它链上的资产嘛?
    链安对用户有什么样的建议怎么样才能选择出最安全的defi?
    链安对于tokenlon的这次事件看法如何?
    链安对于defi的合约编写有什么样的建议,如何避免发生盗币事件?
    链安有没有推荐的区块链合约的开发sdk?
    Lucas_pDV 水手 回复Frank1003 发表于2020-04-30 11:17:48 嘉宾
    tokenlon和imtoken是什么样的关系,这次损失会给imtoken用户带来什么样的影响?
    Tokenlon 是 imToken 孵化的项目,是两家独立的公司。并不影响 imToken 用户。而且目前 Tokenlon 目前和已知的流动性提供方已经达成了解决方案,Lendf.me 也几乎完成了对用户的补偿措施。

    imbtc的合约是否已经适配别的合约,imbtc以后会更改合约不?
    ERC777 是一个代币标准,平台需要引入相关的重入保护。imBTC 并不需要升级合约。其实不仅仅 imBTC 采用了 ERC-777 标准,pBTC,Augur v2 的代币都是采用 ERC-777。Uniswap v2 和 Compound v2 也支持了 ERC-777 代币。

    tokenlon还会发行除btc其它链上的资产嘛?
    目前没有这个计划。
    成都链安创始人 杨霞 水手 回复Frank1003 发表于2020-04-30 10:47:48 嘉宾
    Defi项目正在快速发展壮大,据我们统计截止2020年,锁定在以太坊Defi应用中的资产已达到了10亿美元。Defi项目的火爆主要来源它的高收益。Defi又被称为『去中心化金融』,开放式金融的基础,则是高达8%-10%的收益率必然会伴随着巨大的风险。

    这是一个快速迭代的领域,因此各方Defi团队开发自己的合约产品也是自由发挥;但并没有一个统一的、标准的安全方案去遵守,或者说是必须通过严格的安全审计,这就导致了各种合约漏洞与相关安全问题层出不穷,此次事件项目方就应该进行重入防护:比如使用OpenZeppelin 的 ReentrancyGuard,另一方面先修改本合约状态变量,再进行外部调用。

    成都链安在此建议:任何Defi项目方在开发合约时应重视合约安全问题,以应对各种突发情况和各种非正常使用合约情况,从而避免造成损失;同时建议做好相关安全审计工作,借助专业的区块链安全公司的力量,避免潜在的安全隐患。
  • 百科全书 水手 发表于2020-04-28 17:27:25
    各位怎么看待DeFi靠着中心化的力量追回资产?保护隐私和保护用户如何做到平衡?
    AMA官方翻译小助手 船员 回复Dan_Guido 发表于2020-04-30 12:27:06
    实际上,如今真正去中心化的DeFi项目很少,我认为这是一件好事。 DeFi应用程序使用不成熟的工具构建在未经验证的新技术上,因此他们必须计划应对一路上遇到问题。这种中心化使他们能够响应事件并在应用程序出现故障或被黑客入侵时对其进行纠正。
    项目所有者有责任正确保护自己对DeFi应用程序的访问权限,并向用户披露他们拥有的访问级别。如果源代码可用,则Slither之类的工具可以验证它们可以执行哪些操作。
    所有者应发布有关如何保护密钥的高级概述。例如,请参阅有关中心化交易所Gemini如何保护其私钥的讨论:https://gemini.com/security
    创建更强大的去中心化系统的研究将继续进行,DeFi项目应在可用并经过验证的情况下采用这些新技术。这需要时间。
    Dan_Guido 水手 回复百科全书 发表于2020-04-30 11:11:54 嘉宾
    In reality, very few DeFi projects are truly decentralized today and I think this is a good thing. DeFi apps are building on new, unproven technologies with immature tools and they must plan to encounter issues along the way. This centralization allows them to respond to incidents and correct the app when it malfunctions or is hacked.
    It is incumbent upon project owners to properly secure their own access to DeFi apps and to disclose to users what level of access they have. If source code is available, then tools like Slither can verify what actions they can perform.
    The owner should publish a high level overview of how they protect their keys. For example, see the discussion of how the centralized Gemini exchange protects their private keys: https://gemini.com/security
    Research to create more robust decentralized systems will continue, and DeFi projects should adopt those new techniques as they become available and proven. This will take time.
  • Wendy@8btc 版主 发表于2020-04-28 18:31:06
    To Dan:1. 如何选择靠谱的代码审计团队?2. 请问是否接触过中国的DeFi项目?如何看待DeFi在中国的发展?中国和海外的DeFi生态发展有什么差异?
    AMA官方翻译小助手 船员 回复Dan_Guido 发表于2020-04-30 12:28:26
    A1: 以下是一些评估一个安全团队是否靠谱的建议:
    1. 他们是否有相关的安全经验?作为一名安全工程师,成长需要几年的时间。要找一个具有强大安全基础的团队。
    2. 他们在你的领域发表过原创研究吗?区块链安全是一个新的领域,有很多未被发现的陷阱。仅仅运用当前的最佳实践经验是不够的。
    3. 他们会和你分享他们的工具吗?如果你要在他们的进步上再接再厉,那么共享的工具还确保结果有重复性,并可由其他人验证。
    4. 你将得到什么样的结果?任何人都可以提供漏铜列表。他们会有背景吗?架构和流程建议是?自定义工具是?
    5. 他们能否解决与被调查产品相邻区域的风险?智能合约通常依赖于先进的加密技术、链外预言等。
    一旦你找到一个好的安全团队,坚持他们!与一个合格的安全团队进行一次大型审查比两次小型审查更有价值。你将获得更具战略性的结果,更好地集成自动化测试和验证工具,并有机会发现只有拥有专业领域知识的团队才能发现的更严重的错误漏洞。

    A2: Trail of Bits还没有与中国的公司合作过。然而,我们在美国、加拿大、阿根廷、英国以及欧洲和东南亚的许多地区都有客户。
    我认为每个人都想建立一个安全、可靠、设计正确的产品。主要的文化差异来自每个团队过去与安全工程师合作的经验,而不是他们的原籍国。与具有此经验的团队合作很容易,而与首次尝试保护复杂应用程序的团队合作则更困难。
    Dan_Guido 水手 回复Wendy@8btc 发表于2020-04-30 11:13:24 嘉宾

    1. Here are a few recommendations for evaluating a security vendor:

    • Do they have relevant experience in security? It takes years to grow as a security engineer. Find a team with a strong foundation of security fundamentals.

    • Have they published original research in your field? Blockchain security is a new field with undiscovered pitfalls. It’s not enough to only use current best practices.

    • Will they share their tools with you? You’ll want to build on their progress. Shared tools also ensure that the results are repeatable and verifiable by others.

    • What are the outcomes you’ll receive? Anyone can provide a list of bugs. Will they have context? Architectural and process recommendations? Custom tools?

    • Can they address risk in areas adjacent to the surveyed product? Smart contracts typically depend on advanced cryptography, off-chain oracles, and much more.

    Once you find a good security vendor, stick with them! One large review with a qualified security vendor is worth more than two small ones. You’ll get more strategic results, better integration of automated testing and verification tools, and a chance to find higher severity bugs that only come with domain knowledge.


    2. Trail of Bits has not worked with firms in China yet. However, we do have clients in the US, Canada, Argentina, the UK, and many parts of Europe and South East Asia.

    I think that everyone wants to build a secure, trustworthy, and correctly engineered product. The main cultural differences come from the experience of each team working with security engineers in the past, not their country of origin. It is easy to work with teams that have had that experience, and more difficult to work with teams where this is their first time trying to secure a complex application.

  • 1
  • 2
  • 3
  • 4
登录 账号发表你的看法,还没有账号?立即免费 注册
嘉宾介绍
Lucas_pDV

Tokenlon 业务负责人

Tokenlon 业务负责人
成都链安创始人 杨霞

成都链安科技创始人&CEO

成都链安科技创始人&CEO
Dan_Guido

Trail of Bits CEO

Trail of Bits CEO以及联合创始人
神回复