查看原文
其他

2020世界区块链大会·武汉圆桌会议 | CertiK中国区总裁探讨:DeFi之盾--狂欢背后,审计是安全的护城河吗?

CertiK CertiK 2021-02-05
2020年12月5日,“相信未来——2020世界区块链大会武汉”在武汉国际会展中心正式开幕。本届峰会由巴比特主办,并得到了武汉市政府、江汉区政府、武汉市经信局、中国信通院等部门单位的大力支持。

CertiK中国区总裁William Chen受邀参加12月6日“开放式金融的矛与盾”分论坛举行的主题为“DeFi之盾--狂欢背后,审计是安全的护城河吗?”圆桌论坛。

本次论坛对2020年火爆的DeFi领域闪电贷、中心化交易所与去中心化交易所之争、DeFi安全审计、如何避免踩坑等话题作了深入浅出的探讨。


CertiK分享DeFi安全建议

当DeFi在市场上逐渐变得火爆时,不可预测的攻击事件连绵不绝。

尤其是今年,闪电贷攻击成为了外界关注的热点。如果找一个词语来形容这些攻击的话,可以说是「一本万利」。

不需要任何本金,黑客贷到资产后,利用链上协议的漏洞进行一系列操作,不仅可以还清贷款,更是从项目中提走价值数十上百万美元的代币。也无需太长时间,短短的一瞬间内,项目方便遭受巨额损失。

尽管上半年,各安全机构对于DeFi项目上的安全提供了足够多的反应和建议。下半年,闪电贷攻击事件依旧屡禁不止。

那么从闪电贷本身的作用和局限性上出发,是否有可以避免此类攻击的方式呢?

CertiK中国区总裁William Chen给出了如下建议:

1. 完善智能合约。单一的静态审计并不能防范所有合约问题,当合约代码出现变动,项目方必须及时进行审计的更新。根据安全审计公司或安全技术团队给予的建议,及时对智能合约代码进行修正。

2. 完善价格预言机。价格预言机以一种符合区块链共识机制的方式,把链下世界的市场公允价格数据在链上生成出来。价格预言机将价格数据上链,供链上的智能合约调用。而这些数据不能仅仅从某一个地方获取,而应该随时绑定历史数据。

3. 除静态审计之外,动态的安全防护更能够防范攻击事件。CertiK动态安全服务及安全保障:快速扫描——安全预言机——CertiKShield,从预警到实时评测到保险计划,可以全方位为你的项目提供安全保障。

除去闪电贷攻击带来的大量安全事故,中心化交易所的安全状况近年来同样备受质疑。

资产第三方集中式托管容易招致巨大的黑客攻击风险。近几年来,这样的案例比比皆是。

资产被盗或是直接的做空套现是中心化交易所的主要恶劣现象

在这样的情况下,去中心化交易所通过智能合约托管用户资产及清算,交易结果都上链,为用户的内心注入了一股强有力的安慰剂。

CertiK中国区总裁William Chen认为:

加密行业黑天鹅事件频发,在2020年及未来几年内,越来越多的黑客将加入交易所及网络平台的攻击大军,同样会挖掘出更多的攻击方式。

从某种角度上来讲,数字货币交易所面世时间并不长,不管是风控还是技术积累都需要一个成长过程。

去中心化交易所的发展与成熟不可能一蹴而就,利用成熟的技术方案解决安全与信任问题是最核心的任务。


安全事故如何处理和防范?

在安全事故爆发,市场动荡的2020年,投资者和项目方更加需要将安全视为重中之重。

投资者应该先评估自身风险承受能力。切勿因项目火热而在短时间内忽略自己对风险偏好的判断以及对风险承受能力的评估。 

目前,安全审计已成为了高质量DeFi项目的标配。对未经审计的项目投资需格外慎重。

然而审计也并不能确保100%的安全。

安全审计不是结束,而是开始在瞬息万变的区块链生态系统中,哪怕已做过完备的审计,然而一旦智能合约上线到了真实的生产环境中,未授权的软件程序和未审核的合约随时随刻与之产生交互。隐藏在技术栈中的任何漏洞都对恶意攻击敞开了大门,从前安全的代码也将变得不再安全。安全漏洞和风险永远不会自动消失。作为业内领先的区块链安全公司,CertiK开发的一系列安全工具及完备的安全服务将为项目方和投资者提供安全保障,一旦加密资产出现意外失窃情况,损失将因此降至最低。

往期回顾

手机多久没碎屏必买保险?审计过的项目有多大概率依然让你赔光?| 区块链安全概率解谜 下篇

飞机颠簸总怕下一秒空难?我们每天遇到有漏洞的DeFi合约概率是多少?| 区块链安全概率解谜 上篇

Multiplier Finance加入去中心化链上资金保险池CertiKShield

【重磅福利】神荼游戏积分兑换CTK通道即将开启!

你的呼神护卫,CertiKShield保险计划正式上线!击退区块链森林中的摄魂怪!

Pickle Finance损失近2000万美元攻击事件分析

Keep3r项目中心化风险漏洞分析

Kava加入去中心化链上资金保险池CertiKShield

【重磅来袭】币安已上线CTKUSDT永续合约

DeFi项目Walletreum内部操作攻击事件分析


请点击“阅读原文”访问CertiK官方网站

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存