為什麼通過安全審計的項目還是會被攻擊?
BlockBeats 律動財經 2023-04-26 16:30
本文首發於 2022 年 10 月,今日 zkSync 生態 DEX Merlin 流動性耗盡,駭客盜取 182 萬美元資金。隨後有讀者發現,這個 Merlin 在上線前剛剛完成由 CertiK 進行的審計,雖然 CertiK 在報告中指出 Merlin 項目存在中心化問題,但仍沒能避免安全問題發生,最終資金損失。
那麼為什麼通過審計的項目還會被攻擊、Rug或者存在各種漏洞?區塊鏈安全領域從業者 Haotian(
@tmel0211)在本文針對一些審計相關問題進行解答。
年底安全事件一個個接踵而至,駭客估計是怕市場熊的沒錢了,以億為單位先把年終獎領了。有人要問了,Rabby、TempleDAO、Mango 這些被攻擊的項目,都是被安全審計過的,為何還被攻擊了?有人甚至藉此非議安全審計沒意義,作為多年區塊鏈安全行業的從業者,簡單說兩句:
1、各位看官得先調整預期,安全審計不可或缺,但審計完了也絕不可能一勞永逸。攻擊和防禦工事完全不是一個量級。我們看安全公司的 audit report 會發現,幾乎每一個項目都能找出 1 個嚴重漏洞,2-4 個高風險漏洞,還有若干中等以及低級別的漏洞。你能說,這些漏洞發現沒意義嗎?有,但更多是降低安全風險!
2、有人會在東窗事發後說,漏洞這麼簡單,為何沒被發現?這個問題很複雜,安全審計基於已有的工具,已有的經驗進行邏輯審查,掃除代碼缺陷,排查諸如溢出、重放、驗簽等常規漏洞。但 defi 等協議難的並非代碼,而是複雜的金融業務邏輯,比如流程管控,外部組合嵌套,市場操縱等,超出安全公司的業務範疇。
3、區塊鏈生態存在形形色色的組合,開源+非開源,已審計項目+非審計項目,鏈下 validator+鏈上執行等等,很多項目給安全公司的審計也都只是模塊化展開,比如審計開源的部分,那未開源的部分呢?因鏈下流程影響到鏈上執行呢,因市場交易深度問題導致市場被操縱呢?出了事,不可能全部讓安全公司背鍋。
4、可怕的是很多項目方,找安全審計的目的並不純,只是希望拿到一份所謂的「安全背書」,抱有這樣的心態做項目,其在自身安全防備上的投入可想而知。出了問題又一副我找 xx 頭部安全公司審計過的無辜嘴臉,試問,項目本身在安全防禦+加固+應急響應上的投入有多少呢?我想這才是安全事件屢見不鮮的根本原因;
5、其實,行業生態大的威脅並不全是駭客攻擊,更多是安全意識薄弱造成的「人禍」,比如某些項目一旦遭攻擊就會傳出 rug 消息,我們司空見慣的網路釣魚受詐騙等等,這些壓根就沒法統計,如果把人為 rug、網路釣魚、網路勒索、資金盤詐騙等等一系列安全損失都統計起來呢?其安全威脅絲毫也不遜色於駭客;
6、在我看來,加密行業安全問題路漫漫其修遠兮,我們預期的生態是,項目自身安全防護+第三方安全審計預防協助+用戶人人皆有安全意識,行業從根本上變得更「安全」。但事實上,安全公司壓根不是 security 建設者身份,安全公司能作為修理工,橋塌修橋,路斷補路就不錯了。安全生態需要每一個參與者共同守護。
暢行幣圈交易全攻略,專家駐群實戰交流
▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群)
不管是新手發問,還是老手交流,只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!
- 從零開始學合約系列講座熱烈報名中
- 掌握全球財經資訊點我下載APP
文章標籤
上一篇
下一篇