Tan Yuefei, CEO de Fairyproof Tech: Los inversores de DeFi deben leer el informe de auditoría del proyecto

El informe en vivo de Jinse Finance, el 10 de abril, organizado por Jinse Finance, TRON como título general, HBTC, SumSwap, la empresa socia principal de SubGame "2021 Together Innovation Conference" se llevó a cabo en Shanghái. Con el tema "Innovación y avance de DeFi", la conferencia reunió a cientos de destacadas empresas de blockchain y muchos líderes de la industria para discutir los seis temas principales de la ecología de DeFi, Polkadot, NFT, cadena pública de intercambio, ETH 2.0 y Layer2. En la sesión temática "DeFi+NFT" de la tarde, Tan Yuefei, CEO de Fairyproof Tech, pronunció un discurso de apertura sobre "Cómo los usuarios novatos pueden entender el informe de auditoría de los contratos DeFi". Tan Yuefei señaló en su discurso que en 2020, las pérdidas de seguridad de DeFi superarán los 200 millones de dólares estadounidenses. La mayoría de estos incidentes de seguridad provienen de ataques a contratos inteligentes. Hay muchos incidentes de seguridad en contratos inteligentes. Hay tres razones: la primera es el contrato inteligente en sí, y el segundo es el área. Las características técnicas de la cadena de bloques, el tercero son los factores sociales. En primer lugar, una vez que se implementa un contrato inteligente, no se puede retirar. En segundo lugar, la estructura de la cadena de bloques hace imposible que la parte del proyecto conozca la identidad social del atacante y la transacción es irreversible. Finalmente, existe una falta de restricciones sociales sobre la aplicación de contratos inteligentes, como la falta de protección de los activos digitales y la falta de restricciones y normas para las aplicaciones de blockchain. Los detalles del discurso son los siguientes: Tan Yuefei: El tema que compartiré con ustedes hoy es cómo leer el informe de auditoría del contrato DeFi. Cuando hablamos de informes de auditoría, en realidad estamos hablando de la seguridad de DeFi. Cuando hablamos de seguridad, a menudo sentimos que este concepto es relativamente abstracto, por lo que les mostraré algunos datos. Todo el gran pastel es la pérdida causada por todos los accidentes de seguridad de blockchain en todo el año 2020. Preste atención a todas las pérdidas. Entre ellos, el área roja a la izquierda de DeFi es la pérdida de DeFi, que es de 238 millones de dólares estadounidenses. dólares, lo que representa toda la cadena de bloques.La pérdida causada por la seguridad fue del 40,9%, casi la mitad. Antes de 2020, los accidentes de seguridad de DeFi eran mucho menos exagerados, pero la aparición de DeFi provocó accidentes de seguridad tan graves. Todavía no es tan intuitivo, veamos algunos ejemplos más específicos, veámoslo desde abajo, los fondos en el fondo común se transfirieron el 26 de diciembre de 2020, se atacaron el 21 de diciembre de 2020 y el sushi fue atacado en enero de 2021 , WFI fue atacado nuevamente en febrero. Los datos que enumeré no son para señalar cómo son estos proyectos en sí. Quiero que todos presten atención al momento en que estos proyectos fueron atacados. ¿Ha encontrado que desde octubre de 2020 hasta marzo de 2021, cada mes, se proporciona un proyecto DeFi relativamente conocido, lo que es suficiente para ilustrar la frecuencia y la frecuencia de los incidentes de seguridad en el campo DeFi. Datos: Los depósitos de intercambio de USDC alcanzaron un mínimo de 16 meses: noticias del 20 de agosto, según datos de Glassnode, los depósitos de intercambio de USDC actuales (7dMA) son 160.339, alcanzando un mínimo de casi 16 meses. [2022/8/20 12:37:25] La frecuente ocurrencia de accidentes de seguridad no solo afecta la reputación de la parte del proyecto, sino que también afecta directamente los intereses de los inversores. A continuación, compartiré con ustedes por qué hay tantos contrato accidentes de seguridad Determinado por factores especiales, nuestro equipo de Fairyproof Tech cree que hay tres razones principales para los incidentes de seguridad, la primera es el mecanismo del contrato inteligente en sí, la segunda son las características de la tecnología blockchain y la tercera es la naturaleza social de aplicaciones de contratos inteligentes. Veamos primero el mecanismo operativo del primer contrato inteligente en sí. Los contratos inteligentes tienen una característica muy importante, y ¿qué tipo de característica importante tiene con nuestras aplicaciones de TI tradicionales? Cuando usamos aplicaciones más tradicionales, usamos un juego o es una APLICACIÓN. Durante nuestro uso, un día, la parte del proyecto nos dijo que la APLICACIÓN emitió un anuncio y que había un problema con la APLICACIÓN. En este caso, la parte del proyecto eliminó la APLICACIÓN de la tienda de APLICACIONES y pidió a todos que usaran la versión anterior. Eliminaron la versión problemática y la modificaron para usar la nueva aplicación. Sin embargo, en el campo de blockchain y Ethereum, una vez que el contrato inteligente se entiende como una aplicación y se implementa en Ethereum, no se puede retirar. , Esto no se puede retirado como la aplicación en TI tradicional. Una vez que el contrato inteligente comienza a ejecutarse, es irreversible, o podemos entender que encontramos que el contrato inteligente problemático se implementó en Ethereum, y los piratas informáticos descubrieron la vulnerabilidad. Cuando los piratas informáticos explotaron las lagunas para atacarlo, vimos que los fondos en el fondo común fueron robados y no pudimos hacer nada. Cerramos el servidor en el campo tradicional, pero en Ethereum, tal cosa no puede suceder, y es imposible para nosotros Ethereum apaga. No sé si todos notaron que cuando se promocionó Ethereum, muchas personas no entendían qué es Ethereum. Usó una oración simple, Ethereum es una computadora mundial que nunca se detiene, nunca se detiene, y una vez que se ejecuta, no puede ser interrumpido. El segundo punto está relacionado con la tecnología blockchain en sí. Cuando hablamos de la tecnología blockchain, primero nos fijamos en la primera aplicación de la tecnología blockchain, que es Bitcoin. Pensar en la primera característica es el anonimato, por supuesto, desde un punto de vista puramente técnico. vista, esto es pseudo-anonimato. En el caso de cuasi-anonimato, la información personal real se oculta bajo ciertas circunstancias. ¿Qué significa el anonimato? Cuando realizamos cada transacción en la cadena de bloques, solo podemos ver las direcciones que iniciaron la transacción. o participó en la transacción en toda la información disponible públicamente, pero no tenemos forma de comparar esta dirección con La identidad real de la persona que tiene la dirección que ejecuta la transacción está vinculada en la vida social. No sabemos quién es el titular detrás de esta dirección, cuál es su nombre, cuál es su número de identificación y en qué país se encuentra, por lo que es anónimo, lo que nos lleva a, en la cadena de bloques, Once a incidente de seguridad ocurre en un contrato inteligente, sabemos que hay un ataque de piratas informáticos y solo vemos la dirección del ataque. No sabemos quién es el titular detrás de la dirección, y no sabemos cuál es la red social real del pirata informático. la identidad es. La asociación de juegos en cadena YGG responde a la comunidad Merit Circle: el acuerdo SAFT no menciona otros servicios de valor agregado, excepto la inversión de capital: el 26 de mayo, la asociación de juegos en cadena Yield Guild Games (YGG) propuso revocar públicamente la propuesta iniciada por un miembro de la comunidad de Merit Circle La propuesta de gobernanza de la asignación de tokens de la ronda inicial de YGG indicó que en septiembre de 2021, YGG firmó un SAFT (Acuerdo simple para tokens futuros) con Merit Circle para participar en la inversión de la ronda inicial de este último. No hay condiciones relacionadas con el valor. servicios añadidos en el acuerdo SAFT Solo se requiere inversión de capital. El 20 de mayo, un miembro de la comunidad de Merit Circle inició una propuesta comunitaria diciendo que Yield Guild Games (YGG) no ha podido proporcionar valor a la DAO desde que se convirtió en inversor inicial y planea cancelar el SAFT (Simple Future Token Agreement) de YGG y devolver su inversión inicial y retirar sus tokens semilla MC. [2022/5/26 3:43:09] Las características técnicas del propio contrato inteligente que acabo de mencionar, así como las características técnicas de la cadena de bloques, conducen a características muy especiales de los accidentes de seguridad. Desde un punto de vista técnico, hay otro punto de vista que solemos mencionar rara vez varios lugares públicos, pero en opinión de nuestro equipo, es precisamente el lugar más complicado y difícil de controlar, que son las restricciones sociales. Voy a enumerar dos cosas aquí. Las leyes y regulaciones existentes carecen de la protección de los activos digitales. Cuando hablé sobre este tema, algunos amigos dijeron que en nuestro país, la información que ha prestado atención a las leyes de moneda digital en los últimos uno o dos años. diré que nuestro país El Código Civil introduce medidas específicas para proteger los activos digitales, pero tenga en cuenta que algunas de estas disposiciones y el Código Civil, ya sean las leyes de nuestro país o las leyes de otros países del mundo, compare con ellos en términos de solidez y amplitud de la protección de los activos tradicionales es incomparable, por lo que la protección de los activos digitales en países de todo el mundo no está estandarizada, es imperfecta e incompleta en la ley. El segundo punto es que las leyes existentes carecen de la aplicación y supervisión de blockchain. Las leyes existentes se aplican a todas las aplicaciones tradicionales, aplicaciones de Internet, tiene un enlace, hay una especificación, pero tal ley sobre la especificación de contratos inteligentes, casi no hay nadie en ningún país del mundo, recientemente en los Estados Unidos , Algunos estados de los Estados Unidos se han convertido en ciertos efectos legales de los contratos inteligentes, pero esto es solo comer cangrejos, solo un intento, y cualquier problema en la implementación real o futura generará nuevos problemas o nuevos métodos, no lo sabemos. todavía, y hay un espacio en blanco en este sentido. LINK es el token más negociado entre las ballenas de Ethereum en las últimas 24 horas: Jinse Finance informó que, según los datos de WhaleStats, Chainlink (LINK) se convirtió en la criptomoneda más negociada entre las 1000 billeteras más grandes de Ethereum. El monto total del token es de aproximadamente $ 2 millones. En las últimas 24 horas, según la tabla de clasificación de tenencias, Chainlink se encontró todavía en el sexto lugar, con $ 380 millones en las billeteras más grandes de la red. (u.today) [2021/11/22 7:04:31] Por lo tanto, los problemas del contrato inteligente en sí, el problema de la tecnología blockchain en sí y la falta de citas sociales de la aplicación del contrato inteligente conducen a muy especial problemas de seguridad para el contrato inteligente El lugar, por lo tanto, ha causado tantos accidentes y causado tanto daño. Lo que acabo de compartir con ustedes es una particularidad de la seguridad. Permítanme compartir con ustedes que nuestro equipo actualmente divide todos los accidentes en el campo de la seguridad de contratos inteligentes en tres categorías. La primera categoría son riesgos conocidos y la segunda categoría son riesgos potenciales. la tercera categoría son los riesgos provocados por el hombre. ¿Qué son los riesgos conocidos?Riesgos conocidos Ahora estamos en el campo técnico equipo técnico o la industria han resumido algunas características de seguridad, características de algunos accidentes y algunas leyes resumidas en base a todos los accidentes de seguridad anteriores.Conocemos estos Conociendo las características y características de estos accidentes, podemos juzgarlos fácilmente, por lo que los llamamos riesgos conocidos. ¿Cuáles son los riesgos potenciales?Estos riesgos nunca han aparecido antes, tal vez en los contratos inteligentes que ejecutamos, pero no sabemos, o estos riesgos no se han desencadenado debido a condiciones inmaduras.Este es un riesgo potencial. El tercero es el riesgo humano. He enumerado los riesgos de 11. De hecho, no significa que solo existan estos riesgos de 11 en el campo de los contratos inteligentes. He enumerado estos riesgos de 11. Hay muchos análisis y explicaciones en la industria para cada riesgo, así que gané No entraré en detalles aquí. Damos algunos ejemplos más detallados para hablar sobre riesgos conocidos y riesgos potenciales y riesgos humanos. Echemos un vistazo a este riesgo. ¿Los amigos aquí ingresaron al círculo de divisas en la última ronda antes de abril de 2018 (sí). El mercado alcista en esa ronda fue una locura, en qué medida, no solo ingresaron muchos usuarios nuevos, sino también el tradicional Un pez gordo en la industria de TI En este campo, la cadena estadounidense tiene una relación muy profunda con cierta empresa de TI tradicional. ¿Qué hizo? Lanzó un contrato inteligente con una laguna de seguridad importante. ¿Qué laguna? Durante el proceso de cálculo de una línea de código, no se usó una biblioteca matemática segura, lo que resultó en un desbordamiento de cálculo, y los tokens causados ​​por el desbordamiento se emitieron en una gran cantidad, lo que provocó que el precio cayera en picado. Esto es 22 de abril de 2018. Anteriormente a este tipo de accidentes se les llamaba riesgos potenciales, ahora después de que ocurre este accidente, en la industria utilizamos la tecnología para analizar las causas de los accidentes de seguridad así como los posibles síntomas y características, ahora los llamamos riesgos conocidos, que son riesgos conocidos. riesgo típico. En el segundo caso, el 12 de marzo de 2020, se informó que tanto Bitcoin como Ethereum eran de hierro, Bitcoin cayó por debajo de $ 4000 y Ethereum cayó a $ 100. Después de que Bitcoin y Ethereum cayeron en picado, MakerDAO tuvo un mecanismo de ejecución loco y, finalmente, Discovery es un Cuestión de diseño del mecanismo. Luego, Sweet Potato fue atacado. En junio de 2020, YAM fue atacado. Sweet Potato es un proyecto muy famoso. Después de que este proyecto fuera atacado, su fundador tuiteó un párrafo, lo siento, fallamos. La forma en que surgió es principalmente porque hay una falta del denominador en operaciones lógicas, así de simple. El tercer caso es que YFI funcionó sin problemas durante más de medio año durante toda la ronda del año pasado, pero hubo un problema en febrero de este año, este incidente ocurrió porque el precio de las monedas estables fue manipulado debido a la aparición de una aplicación. método de buenos préstamos. TSD también está siendo atacado. Cuando revisamos el código del contrato, si no tenemos una comprensión particularmente profunda de la lógica, el algoritmo de división del ataque de la batata es incorrecto y es casi difícil de averiguar. Los otros tres son más difícil. Hay un problema con el mecanismo de gobierno, no problemas de Código, este problema es más difícil de encontrar, para tales problemas lo atribuimos a problemas potenciales, los problemas potenciales han existido antes, hoy, y continuarán en el futuro, incluso incluyendo tantos contratos que operamos, aunque muchos de ellos han pasado mucho La auditoría de la empresa, pero todavía nos preocupa que todavía haya muchos peligros ocultos potenciales en ella, pero estos peligros ocultos no se han desencadenado debido a condiciones inmaduras. Los problemas potenciales son el mayor desafío para toda la industria de la seguridad y toda la industria de la cadena de bloques, y también es donde más nos enfocamos. También hay un riesgo humano, porque el tiempo es limitado, hablaré del contenido más adelante, la negligencia humana tiene menos que ver con el código, casi por problemas en la gestión humana, hablé sobre la particularidad de la seguridad y la importancia de la seguridad. Que problemas, déjenme decirles un tema muy importante, es decir, como empresa auditora de contratos inteligentes, lo más importante que hacemos es auditar el código del contrato inteligente del proyecto para ver si hay algún incidente de seguridad en es. Cuando estaba en el stand hace un momento, muchos amigos vinieron a nosotros y nos preguntaron qué efecto tuvieron estos informes que escribiste en nosotros, los inversores ordinarios Xiaobai. Estoy aquí para decir que el efecto es muy, muy grande. Muchos usuarios novatos han visto el informe que escribimos. Este es un documento técnico. Aunque es un documento técnico, parte del contenido es muy fácil de entender y está estrechamente relacionado con sus intereses.

Tags：

Huobi App