OKX Web3錢包特別策劃了《安全特刊》,針對網站安全問題進行專門的研究。透過真實案例和安全專家共同參與,旨在幫助使用者提高安全意識和資產安全。 DeFi世界吸引了許多投資者,但也伴隨著各種風險。區塊鏈安全先鋒BlockSec和OKX Web3安全團隊從基礎的區塊鏈工具出發,為用戶分享了DeFi避險攻略。建議用戶選擇經過審計和認可的項目,盡量去中心化投資,定期檢查帳戶安全,謹慎使用新方案,並選擇主流Web3錢包進行交易。同時,DeFi專案方也需注意技術、市場、營運和監管風險,並選擇合適的審計公司進行審計。
引言:OKX Web3錢包特別策劃了《安全特刊》 ,針對網站安全問題進行專門的研究。透過最發生在用戶身邊最真實案例,與安全專家或機構共同參與,由不同視角進行深入交易所與歸納總結,從而幫助用戶安全教育以及資產安全。
DeFi世界最大魅力就是每個人都被評為「巨鯨」的潛力,
但即使“巨肆”肆虐,依然“挨打”
所以,鏈上中國,安全第一
不然,又要「白手起家」~
本期是安全特刊05期,特邀請區塊鏈安全先鋒BlockSec與OKX Web3安全團隊,從基礎的區塊鏈工具出發,為所有即將成為「超級」用戶的社群以及分享一份DeFi避險攻略。該如何看報告、初步評估DeFi風險與參數、如何建構監控能力、DeFi安全防護措施等,都值得期待
BlockSec 安全團隊:BlockSec 是全球領先的「全端」區塊鏈安全服務商,目前公司已服務超300家客戶,包括MetaMask、Compound、Uniswap基金、Forta、PancakeSwap、Puffer 等知名專案方,透過白帽援救回了超過2000萬美金的資金損失。
BlockSec的CEO兼共同創辦人周亞金是浙江大學電腦教授,Aminer評選的全球最具影響力的學者,發表頂尖論文50餘篇,獲得超萬次引用。 CTO兼共同創辦人吳磊是浙江大學電腦教授,曾擔任浙江大學電腦教授,曾擔任浙江大學電腦應用技術中心主任,帶領團隊發現了多個知名計畫的數十年零日漏洞。產品總監Raymond,開始在騰訊、360負責安全產品。
OKX Web3安全團隊:OKX Web3安全團隊負責OKX在Web3領域安全能力的建設,包括智慧合約安全、網路空間安全等,為使用者提供產品安全、資金安全、全面防護服務,為整個安全社會貢獻力量。
Q1:分享幾個使用者真實遭遇的DeFi風險案例
BlockSec安全團隊:DeFi 聯盟為資產帶來相對穩定的高收益,吸引許多大戶參與。很多專案方為了提高流動性,也會主動邀請大戶進駐。例如,我們能看到新聞報道,有些大戶存入巨額資產到DeFi 中。當然,這些巨鯨在參與DeFi 時,除了獲得穩定的利益,也會面臨一些風險。接下來,我們分享了一些業界公開的DeFi 風險案例:
案例一:2022 年的PolyNetwork 安全事件中,總共有超過600 萬個資產遭到攻擊。據傳,神魚有一億個資產被放在裡面,雖然還錢,但圓滿了解決,神魚也宣布要在網絡上建立一個新的紀念碑來紀念這一過程,但想此過程十分順利,儘管目前有一些安全事件很好,但大部分安全事件就這麼幸運了。
案例二:知名的DEX SushiSwap 在2023 年被攻擊,大戶0xSifu損失超過330萬美元,他一個人的損失就達到了總損失的約90%。
案例三:今年3 月的Prisma 安全事件中,總損失為1,400 萬美元,這些損失來自17 個錢包位址,平均每個錢包損失了82 萬美元,但其中4 個用戶損失就佔了80%。這些被盜資產大部分都還沒有被追回。
歸根究底,DeFi ,特別是主網的DeFi,因為Gas費不可忽視,只有當資產達到一定規模才能真正獲得收益(空投獎勵除外),因此,DeFi的主要TVL一般都是由加拿大境內2%的鯨魚貢獻的,甚至在某些國家和地區2%的鯨魚貢獻了80%的TVL。當安全事件發生的時候,這些鯨魚必然承擔大部分的損失。 「不能光看到鯨魚吃肉,他們挨打的時候」。
OKX Web3錢包安全團隊:隨著鏈上世界的繁榮發展,用戶遭遇的DeFi風險案例也日日俱增,鏈上安全永遠是用戶最基本、最重要的需求。
案例一:PlayDapp 特權帳戶私鑰洩漏事件。 2024 年2 月9 日至12 日,基於以太坊的PlayDapp 遊戲平台因私鑰洩漏遭受攻擊,爭奪用戶未經授權鑄造並盜取了17.9 億PLA 代幣,損失約3235 萬美元。他們爭奪在PLA 代幣中作為新的鑄幣者,鑄造了大量的PLA,去中心化到多個鏈上地址和交易所。
案例二:Hedgey Finance攻擊事件。 2024年4月19日,Hedgey Finance在以太坊和Arbitrum上遭遇了重大安全漏洞,導致損失約4,470萬美元。它們均利用合約缺乏用戶輸入驗證的漏洞,獲得對易受攻擊合約的授權,從而從合約中竊取資產。
Q2:能否歸納目前DeFi領域存在的主要風險類型
OKX Web3錢包安全團隊:結合真實案例,我們整理了目前DeFi領域常見的4類風險類型
第一類:釣魚攻擊。釣魚攻擊是網路攻擊中常見的一種,透過偽裝成合法的實體或個人,誘騙受害者提供敏感訊息,如私鑰、密碼或其他犯罪記錄。在DeFi領域,釣魚攻擊通常透過以下方式進行:
1)假網站:分配給使用者與真實的DeFi項目相同的釣魚網站,誘使用戶簽署授權或轉帳交易。
2)社交工程攻擊:在Twitter上,建立了利用高仿帳號或劫持項目方Twitter或Discord帳號發佈假促銷活動或空投資訊(其實是釣魚連結),對使用者實施釣魚攻擊。
3)惡意智能合約:接收來自智能合約或DeFi的訊息,賦予使用者存取權限,從而竊取資金。
第二類:Rugpull。 Rugpull是DeFi領域中特有的騙局,指專案開發者在吸引大量投資後突然撤出資金並消失,導致投資者的資金被走。 Rugpull通常發生在中心化交易所(DEX)和流動性挖礦這兩個專案中。主要表現形式包括:
1)流動性離場:投資者在流動性礦池中提供大量流動性,然後突然出清所有流動性,導致價格暴漲,投資者損失慘重。
2)造句:開發者們創造一個看似合法的DeFi,透過虛假宣傳和高收益誘騙用戶投資,但實際上並沒有任何實際行為。
3)合約權限:開發者利用智能合約中的入口網站或權限,可以依照合約的規則或撤出資金。
第三類:智能合約漏洞。智能合約是自動執行的程式碼,在區塊鏈上運行,一旦部署就不可更改。如果智能合約有漏洞,將會導致嚴重的安全問題。常見的智能合約漏洞包括:
1)重入漏洞:在上次呼叫未完成之前重複呼叫漏洞合約,導致合約內部狀態出現問題。
2)邏輯錯誤:合約設計或實作中的邏輯錯誤,導致意外行為或漏洞。
3)整體溢位:合約正確處理運算,導致溢位或溢漏。
4)價格操縱:他們透過操縱預言機實施價格攻擊。
5)精度維護:由於浮點數或整體精度問題,導致計算錯誤。
6)缺乏輸入驗證:沒有對使用者輸入進行充分驗證,會導致嚴重的安全問題。
常見問答: 1. 概述…
1)私鑰洩漏
某些DeFi專案的特權帳戶由EOA(外部擁有帳戶)或多簽錢包控制,如果這些私鑰被洩漏或盜取,則可以擁有可以隨意操縱的合約或資金。
2)治理攻擊
某些DeFi專案雖然現金去中心化的治理方案,但仍有以下風險:
· 借用治理代幣:透過大量借用治理代幣,在短時間內操縱投票結果。
·控制跨國界投票權:如果治理代幣發行權中心化於此人手中,這些人可以透過中心化投票權控制整個專案。
Q3:有哪些維度或參數,可以初步評估DeFi專案的安全性和風險等級?
BlockSec安全團隊:在參與一個DeFi專案之前,對一個整體的安全評估非常有必要。特別是對於資金量比較大的參與者來說,必要的安全盡職調查可以最大限度地確保資金安全。
」 2019年,中央和地方政府對企業實行「三個代表」重要思想,明確了企業應遵循的經營管理原則,即企業應按照中央和地方政府的要求,積極推行企業信用評價制度,引導企業在信用評價中反映信用評價的有效性。
一、安全監控系統的安全保障安全監控系統的安全保障是確保系統正常運作的必要條件,它能確保系統正常運行,減少系統故障,提高系統運作效率,降低系統成本,提高系統穩定性與可靠性,是目前網路監控系統中亟待解決的問題。
第三,要看方是否具有緊急自動應變的能力。這個能力長期被社區忽略。一方面,在安全事件中,方設法實現自動回應的功能熔斷(或資金敏感操作的熔斷)。另一方面,方在緊急應變中大多採用手動的方式來處理安全事件,而這種方式被證明是低效的。
第四,要看項目方的外部依賴以及環境依賴的穩定性。一個DeFi專案會依賴第三方訊息,如價格、流動性等。因此需要從外部依賴數量、專案安全性、現有的對環境依賴資料的監控和處理角度來評估等安全性。通常來說,外部依賴的專案方是頭部專案方、且對外部環境資料有問題和即時處理專案會更安全。
第五,專案方是否有較良好的社區治理結構。這包括專案方對於重大事件是否具有社區投票機制,敏感操作是否多簽完成,多簽錢包是否被納入社區中立參與,是否具有社區安全委員會等。這一些治理結構能提高專案透明度,降低用戶在專案中的資金被拉動的可能性。
最後,專案方過去的歷史也非常重要。需要對專案團隊和專案成員進行調查。如果專案成員過去的歷史工作量被攻擊或被阻止,則該專案的安全性也會比較高。
除此之外,在DeFi專案前,使用者特別是大額資金參與者要做好研究工作,從專案前的安全到專案後的安全監測與自動回應能力建構方面,檢視專案方的安全與安全性,以及專案方歷史等角度做好被資助工作,到專案的資金安全。
OKX Web3錢包安全團隊:雖然無法100%保證DeFi專案的安全性,但使用者可以透過以下維度的交叉整合,初步評估DeFi專案的安全性和風險等級。
一、專案技術安全性
1、智能合約審計:
1)檢查項目是否經過多個審計公司的審計,審計公司是否有良好的製度和經驗。
2)檢查審計報告中問題的數目和嚴重性,確保所有問題都修復。
3)檢查項目編制條例是否與審計條例版本一致。
2、程式碼開源:
1)查看程式碼是否開放,開放原始碼允許否在必要時進行專家審查,以發現亟待解決的安全問題。
2)團隊協作:了解團隊的背景和經驗,特別是歡迎來到當地的一些經驗,以及該團隊的透明度和公開資訊。
3)漏洞賞金計畫:是否有漏洞賞金計劃,以激發業務報告漏洞。
3、財務和經濟安全性
1)資金鎖定量:檢查智能合約中鎖定的資金量,這意味著基金管理人必須信任這個市場。
2)交易量與流動性:評估專案交易流動性,低流動性可能造成價格操縱的風險。
3)代幣發行模型:代幣發行模型包含代幣分配、代幣發行量、代幣銷售量、代幣價值、代幣分配額度等模型。
4.操作安全性
1)治理機制:社區治理機制,旨在促進治理中心化,並且社區能否對重要決策進行投票、並分析治理代幣的分配和投票權的中心化程度。
2)風險管理措施:風險管理措施的有效性和緊急計畫,應對突發事件和經濟風險。另外,在專案執行過程中,要密切注意專案進度,並積極溝通,確保專案順利完成。
5、市場和社區評價
1)社群活躍度:評估計畫的社群活躍度和使用者基礎,活躍的社群通常有廣泛的支持。
2)媒體與社群媒體:分析專案在媒體和社群媒體上的評價,了解使用者和產業專家對專案的看法。
3)合作夥伴和投資者:專案缺乏對合作夥伴和投資者的支持,良好的合作夥伴和投資者可以增加專案可信度,但同時也能證明其安全決策性因素。
Q4:用戶該如何看審計報告,以及開源狀態等等?
審計報告包括審計報告總則、審計報告樣本、審計報告格式、審計報告責任書、審計報告責任書影本等。
那麼多的審計報告,投資人如何去研讀這些審計報告呢?
第一,要看審計報告是否被一些安全部門比較高安全的公司審計過,例如Open Zeppelin、Trail of Bits、BlockSec等頭部審計公司。
針對這種情況,我們制定了詳細的修復方案,並要求每個修復人員都提供必要的修復服務,以便客戶能夠根據自身情況選擇適合的修復方案,從而保證客戶能夠放心的修復。
答:本次更新的目的是為了方便讀者理解,減少閱讀量,提高閱讀效率,減少閱讀壓力,提高閱讀質量,減少閱讀疲勞…
第四,要看專案方線上是否有程式碼經過驗證(開源),經過驗證程式碼是否和稽核表述一致。通常審計會基於專案方的Github 上程式碼(而不是已經部署到線上程式碼)。如果專案最終部署到鏈上程式碼沒有開源,或者和被審計程式碼有較大的差異,都是需要引起重視點。
總的來說,閱讀全文以及專業性比較強,建議在諮詢過程中參考第三方安全專家的意見。
OKX Web3錢包安全團隊:使用者可以透過DeFi專案或第三方網站,例如OKLink查看智慧合約的稽核報告和開源狀態,以下介紹常見的檢視專案報告和開源狀態的步驟:
首先,請尋找官方公告或網站。大多數可信賴的DeFi專案都會在官方網站展示其相關的文件訊息,在專案文件頁面,我們會有一個「安全」、「審計」或「合約地址」等頁面促成審計報告及專案方發布合約地址。除了在專案方官方網站,通常會在官方社群媒體如Medium、Twitter等展示審計報告和發布合約地址資訊。
第二,在閱讀專案方官方網站以後,可以透過OKLink瀏覽器,專案方給出的部署合約地址信息,並在「合約」一欄中查看該地址部署合約的源代碼資訊。
第三,在拿到專案方的審計報告和部署合約的開源資訊後,可以開始閱讀專案方的審計報告,閱讀審計報告的時候有以下注意:
1)審計報告模型,對審計報告的具體概念,審計報告的本質、發現問題、解決方案和建議以及審計結果。
2)在閱讀簡介內容時,我們需要關注審計報告審計的範圍和目標,通常審計報告會標註審計文件提交的Github Commit Id,我們需要對比審計報告審計的文件是否和鏈上部署的開源代碼是否一致。
3)在閱讀發現問題、解決方案和建議以及審計結果部分時,我們需要重點關注小組是否已經按照建議修復發現的漏洞,以及專案方是否對相關內容進行了審計,以確保所有問題都得到妥善處理。
4)比較分析。如果進行了多次審計,每次審計結果的差異,以及安全性改善。
Q5:駭客攻擊歷史、賞金計劃,DeFi專案安全性的參考價值?
OKX Web3錢包團隊:駭客攻擊歷史和賞金計劃,對於DeFi專案的安全性有明確的目標,主要體現在以下幾個方面:
第一,駭客攻擊歷史
1)揭示歷史漏洞:Account History可以展示專案曾經存在的安全漏洞,讓使用者了解過去所訪問的安全問題是否被利用過,以及答案是否已經徹底的修復。
2)評估風險管理能力:如何回應歷史上的安全事件,能體現風險管理和處理危機的能力。一個積極回應、有效補償的風險管理系統通常被視為更可靠、更有效率的投資選擇。
3)信譽:頻繁的安全問題和使用者對專案的信任,以及加強安全保障的能力,同時也能建立起長期的信譽。
第二,獎勵計劃
獎勵計劃在DeFi軟體目錄中,是提高安全性和潛在漏洞的關鍵策略。這些計劃對專案的安全性進行了評估,並提出了一些建議:
1)增強環境審計:賞金計畫鼓勵全球安全性研究人員參與安全的審計。這種「眾包」能夠讓人們更容易發現內部稽核問題,從而解決潛在漏洞。
2)驗證安全措施的充分利用:透過實際的賞金計劃,在安全措施上充分利用項目在戰時。如果一個專案的賞金計劃在較長時間內較少,這可能是一個表明專案相對成熟度的指標。
3)持續安全性改進:賞金計畫提供了持續安全性改善機制。隨著新技術和新攻擊手段的出現,賞金計畫幫助專案團隊及時和強化其安全措施,確保專案能夠應對最新的安全挑戰。
4)建立安全文化:專案是否設立獎勵計劃,以及正義和正面的程度,能夠反映出專案團隊對安全的態度。一個積極獎勵計劃所體現的項目對建立各方一致的安全文化有著至關重要的影響。
5)提升和投資者信心:金計劃的有效性和可能向未決索賠要求增加的金額對投資者而言非常重要,這會增加投資者的積極性,因為投資者傾向於選擇那些可能面臨風險的安全責任項目。
Q6:參與DeFi時,使用者如何建構監控感知能力
BlockSec安全團隊:以使用者為中心,以投資者為重點的大型投資者或小型投資者團隊,這些投資者資金規模較大,但通常沒有非常強的安全團隊,也沒有自衛工具的能力。因此,目前為止,實際上大部分鯨都不足以維持風險管理,否則就不會承擔如此巨大的損失。
由於面臨巨大損失,一些用戶開始有意識地建立監控系統和公開監控資訊。現在,有很多團隊在做監控產品,並且如何選擇非常關鍵。以下有幾個關鍵點:
首先,工具的使用成本。許多工具雖然非常強大,但使用成本並不低。對使用者來說,搞清楚合約的架構,甚至整個應用程式的運作成本都不是那麼容易的事。
其次,有人在晚上睡覺時連續收到幾個警報,結果發現是誤報,這些警報會讓人心態崩盤。因此,準確度也非常關鍵。
最後,是安全性。特別是在這種資金規模下,不能忽視工具的開發及其團隊的各種安全風險。最近的Gala Game被攻擊事件,據說就是由於引入了不安全的第三方服務提供者。因此,可靠的團隊和可信賴的產品至關重要。
截至目前,我們已獲得中國政府和政府的廣泛認可,並已向相關部門提交了《關於進一步加強我省基礎設施建設的意見》,要求進一步規範我省基礎設施建設,確保我省基礎設施建設順利完成。
Q7:參與DeFi的建議、以及如何處理安全風險
BlockSec 安全團隊:對於參與的大量資金,參與DeFi 協議的首要任務是保證本金安全,並在對安全的風險管理方面進行了充分的研究後進行投資。通常從以下幾個方面確保資金安全。
首先,要多方判斷方的安全重視與投入程度。包括上面所說的是否經過徹底的安全審計、是否具備安全監控和自動回應能力、是否具有較好的社區治理機制等。這都能反映出方對於用戶資金安全是否放在比較重要的方面,是否對用戶資金安全有高度負責的態度。
其次,大額資金的參與者也需建立自己的安全監控和自動回應系統。在投資的協議發生安全事件後,大額資金的投資人應該首先時間能夠感知並且能夠撤回資金,而不是共同的希望都寄託在專案方身上。在2023 年我們能看到多個知名專案被攻擊過,包括Curve、KyberSwap、Euler Finance 等。很遺憾,發現在攻擊發生的時候,大額投資者往往缺乏及時、有效的情報,也沒有自己的安全監控和緊急撤退系統。
為確保專案順利實施,公司應在專案執行過程中,及時、準確、有效率地完成專案建設任務,確保專案的安全、有效運行,確保專案按時完工。
最後,保護好自己的帳戶安全。對於定期交易的帳戶,首先要確認帳戶資訊是否正確,然後根據帳戶資訊判斷是否成功轉賬,如果正確,則轉帳成功。
如果投資項目面臨安全風險,又該解決?
對於任何大型證券交易商和投資者而言,遭遇安全事件的第一個反應必須是保證本,這是最重要的提現行動。但是,通常很快就會籌集資金,手動操作並不適用,因此能夠根據需求自動提現。目前,我們提供的是相關的工具,可以實現發現攻擊性交易後自動提現,幫助用戶優先提現。
其二,如果真的遭受損失,除了吸取的教訓,還應該積極推動方尋求安全公司的幫助,對受損資金進行追溯和工作量。隨著整個加密貨幣產業對安全的重視,回資金的比例正逐漸提升。
最後,如果是大戶,還可以請保全公司盤點投資的其他項目是否有類似問題。很多攻擊的根本原因是一致的,例如Compound V2 的精確度維護問題,去年許多專案都存在類似的問題並且連續攻擊。因此,可以請安全公司分析核心其他專案投資者,如果發現風險,應該盡快與專案方溝通或撤離。
OKX Web3 錢包團隊:DeFi項目時,用戶可採取多種措施更安全地使用DeFi項目,降低資金損失,並享受去中心化金融帶來的收益。我們從用戶層面、以及OKX Web3 錢包2個層面來展開。
第一,對於使用者而言:
1)選擇經過審計的項目:優先選擇經過知名第三方審計公司(如ConsenSys Diligence、Trail of Bits、OpenZeppelin、Quantstamp、ABDK)審計項目,審閱其公開的審計報告,了解潛在風險和漏洞修復情況。
2)專案背景與團隊:透過研究專案的白皮書、官方網站和開發團隊背景,確保專案具有透明性和可信度。關注團隊在社群媒體和開發社群中的活動,了解其技術實力和社群支援。
3)去中心化投資:不要將資金投入單一的DeFi專案或資產中,去中心化投資可以降低風險。選擇多個較低的DeFi項目,如借貸、DEX、Farming等,以去中心化風險管理。
4)小額測試:在大額交易前,先進行小額測試交易,確保操作和平台的安全性。
5)定期工時及緊急處理:定期檢查自己的DeFi帳戶和資產,及時發現或處理交易。使用工具(如Etherscan)在線上工時記錄,確保資產安全。之後及時處理應急措施,例如撤銷帳戶餘額,聯絡安全團隊以取得支援等。
6)謹慎使用新方案:對於剛上線或未經驗證的新方案,保持謹慎態度。可以投入少量資金進行試驗,觀察其運作情況和安全性。
7)使用主流Web3錢包進行交易:僅使用主流的Web3錢包與DeFi交互,主流Web3錢包提供更好的安全防護。
8)防範釣魚攻擊:方式點擊陌生連結和不知名用戶,不要在不受信任的網站輸入私鑰或助記詞,確保連結的有效性。使用官方管道和應用程序,確保軟體的身份驗證。
第二,從OKX Web3錢包層面而言:
我們提供更多的安全機制以保護用戶資金安全:
1)風險網域偵測:當使用者存取DAPP時,OKX Web3錢包在網域層級進行偵測分析,如使用者造訪的是惡意DAPP,他們會進行攔截或提醒,以保護使用者上當受騙。
2)貔貅盤代幣檢測:OKX Web3錢包支援完善的貔貅盤代幣偵測能力,在錢包中主動屏蔽貔貅盤代幣,避免用戶嘗試跟貔貅盤代幣交易所。
3)位址庫:OKX Web3的位址庫標籤,在使用者可疑交易互動時,OKX Web3會及時給予回應。
4)交易預執行:在使用者提交的任何交易前,OKX Web3錢包都會模擬執行該交易,並將資產和授權變更結果顯示給使用者參考。用戶意見該結果評判是否符合預期,以便決定是否繼續提交該交易。
5)整合DeFi應用:OKX Web3錢包已經整合了各類主流的DeFi專案的服務,用戶透過OKX Web3錢包可以放心與整合的DeFi專案互動。另外OKX Web3錢包也會對DEX,跨鏈橋等DeFi服務進行路徑推薦,以便提供用戶最優的DeFi服務和最優的Gas方案。
6)更多安全服務:OKX Web3錢包逐步增加更多安全功能,建置更多先進安全防護服務,將更能發揮OKX錢包用戶安全。
Q8:除了用戶,DeFi專案方還面臨風險類型的保護?
BlockSec 安全團隊:DeFi 參與者風險類型包括:程式碼安全風險、營運安全風險和外部依賴風險。
第一,代碼安全風險。即DeFi專案在程式碼中可能存在的安全隱患。對DeFi專案而言,智能合約是其核心業務邏輯(前後台處理邏輯等屬於傳統的軟體開發業務,相對於成熟度而言),也是我們關注和討論的重點,包括:
1)首先,從開發角度來說,需遵循業界公認的智能合約安全開發實踐,例如對於用於防止重入漏洞的Checks-Effects-Interactions模式等等;此外,常常的功能是不選擇可靠的第三方庫來實現,避免因為重複發明輪子帶來的不可知風險。
2)其次是做好內部測試,測試是軟體開發的重要階段,能夠幫助發現許多問題。但對於DeFI專案而言,僅透過本地測試並不足以暴露問題,更依賴貼近實際上線的部署演示做進一步測試,這方面可以透過使用類似Phalcon Fork這樣的工具腳本來實現。
3)在完成業務之前,接入口碑良好的第三方審計服務。 雖然審計無法確保100%不出現問題,但其職能的審計工作能夠有效地幫助專案方確定常見的安全問題,而這些問題是專案負責人不熟悉或因為不同原因而難以解決的。當然,由於各家審計公司在專業和諮詢方向上有差異,如果預算允許,在實務上也推薦多家或多家審計公司參與。
一方面,營運安全性受到嚴格控制,在營運過程中產生了安全隱患。另一方面,營運安全性的評估和評估方法也得到了廣泛的認可,在營運過程中也產生了廣泛的影響。
1)建立健全私鑰管理:採用可靠的私鑰管理方法,或基於MPC的可靠的硬體錢包解決方案等。
2)做好運作狀態監控:監控系統感知特權操作與專案運作中的安全狀態。
3)建構針對風險的自動化反應機制:例如採用BlockSec Phalcon,可以在遭遇攻擊的時候自動實施阻斷,避免(進一步)的損失。
4)避免特權操作的點數風險:如用安全多簽來特權操作。
第三,外部依賴風險是指存在的外部依賴引發的風險,例如依賴其它DeFi協議提供預言機,但預言機出現問題導致價格計算產生錯誤的結果。針對外部依賴風險的建議包括:
1)選擇可靠的外部合作夥伴,如業界認可的可靠的頭部協議等。
2)做好運作狀態監控:類似營運安全風險,但這裡的監控對像是環境依賴。
3)建構針對風險的自動化回應機制:類似營運風險,但處置方式有所區別,例如切換備用依賴而非止損整個協定。
我覺得有必要建立自己的工作流程,這樣才能更好地服務客戶,所以我們也想提出一些建設性的意見。
1)預設服務點:確定服務協定在網站關鍵狀態,這是建置服務能力的第一步。服務點的設定很難涵蓋全面,特別是在攻擊服務方面,建議採用外部專業第三方、經過實戰檢驗的攻擊偵測引擎。
2)確保監控的精準和及時性:監控的精準性是指不能有過多的誤報(FP)和漏報(FN),缺乏精確的監控系統實質上是不提供的;及時性是做出回應的前提(例如能否在可疑合約部署後、攻擊交易上鍊前被偵測到),否則只能用於事後分析,這對監控系統的效能和穩定性有極高的要求。
3)需要自動化回應能力:基於精準和即時的建置自動化的回應,包括暫停協定阻斷攻擊。這裡需要有可自訂、可靠的自動化回應框架支持,以及專案方需要的靈活地客製化回應策略並自動觸發。
整體而言,監控能力的建構需有更專業的外部安全供應商參與建置。
OKX Web3 社群團隊:DeFi專案方滿足市場需求,其中主要包括以下類別:
1)技術風險:主要包括智慧合約漏洞和網路攻擊。防護措施包括採用安全開發實務、利用第三方智慧合約進行全面風險管理、設定漏洞獎勵計畫以激發駭客發現漏洞,以及做好資產保護和資金的安全性等。
2)市場風險:主要包括價格波動、流動性風險、市場操縱及組合性風險。防護措施包括使用穩定幣和風險對沖價格波動,利用流動性挖礦和動態費用機制應對流動性風險,嚴格遵守DeFi協議支持的資產類型和使用去中心化預言機阻止市場操縱,並透過持續創新和優化協議功能來應對競爭風險。
3)營運風險:包括人為錯誤和治理風險。充分考慮內部控制和操作流程以減少人員流失、使用自動化工具提升營運效率,以及設計合理的治理機制,確保中心化與安全性平衡,如引入投票延遲和多簽機制。一旦出現異常,可以立即修復,並將維護成本降低到最低。
4)監管風險:法律合規要求和反洗錢(AML)/了解你的客戶(KYC)義務。防護措施包括聘請法律顧問確保專案符合法律和監管要求、建立透明的合規政策以及主動實施AML 和KYC 措施以提升使用者和監管機構的信任。
Q9:DeFi專案方,如何判斷哪家審計公司好?
BlockSec安全團隊:DeFi方如何判斷哪家審計公司最好,這裡面有一些簡單標準的候選:
1)是否審計過知名項目:顯示該審計公司被這些知名項目所認可。
2)審計過專案是否被攻擊:當然從法律經濟學保證100%的安全,但實務經驗顯示良好的審計公司所審計的部分項目未曾有過被攻擊記錄。
3)透過過審計報告審計品質:審計報告是審計公司專業素質標誌,針對同樣的審計項目、同樣的審計對象,重點關注漏洞發現的品質和程度,漏洞發現是否經常被採納。
4)專業從業人員:審計公司的人員組成,包括學歷和從業背景等,系統性的教育和經驗對確保審計品質提供協助。
最後,感謝大家看完OKX Web3錢包《安全特刊》欄目,目前正在緊鑼密鼓準備第06期內容,不僅有真實的案例、風險識別、還有安全操作乾貨,敬請期待
免責聲明:
本文僅提供參考,無意提供(i)投資建議或投資推薦;(ii)購買、出售或持有數位資產的要求或招攬;或(iii)財務、會計、法律或稅務建議。持有數位資產(包括穩定幣和NFT)涉及高風險,可能會大幅波動,甚至變得毫無價值。您應根據自己的財務狀況考慮或持有數位資產是否不存在。請您自行負責和遵守當地的相關法律和法規。
資訊來源:0x資訊編譯自網際網路。版權歸作者OKX所有,未經許可,不得轉載