DEF:杨民道：从Euler黑客事件，漫谈DeFi的安全审计和安全_Filecoin币价格

借着Euler黑客事件，聊聊DeFi的安全审计和安全。

大的DeFi协议基本上都经过多轮审计，我们前前后后5次审计费用百万刀级别大的协议常规审计每年都百万刀，但蓝筹DeFi没哪个没被黑过这里原因很简单，简单的数学问题从攻防来看，所有静态审计的输入和输出（发现bug)都是有限的。

除了常规审计，Euler还用了Certora做形式化验证，这个我们之前也用过，形式化验证能帮助穷尽“已知”路径的覆盖范围，但是无法穷尽“未知的未知”。DeFi是一个开放系统，对于黑客来说，它的输入是无限的，输出也是无限的。假设把安全攻防看成挖矿，你守方用三五台机器算哈希挖矿。

?Binance Labs 启动第 4 季孵化计划，FilSwan、Grindery、NuLink 等 14 个项目入围:5月4日消息，?Binance Labs 宣布将于 5 月 5 日启动第 4 季孵化计划，共 14 个项目从超 500 个项目中入围，包括 FilSwan、Grindery、NuLink、Starton、CODA Ventures、OpenLeverage、AlterVerse、ChapterX、CoralApp、Gamic Guild、Qwestive、Reveel、Playbux、Ambrosia 等。[2022/5/4 2:50:08]

攻方无数机器时刻在算哈希，只要算对一次就赢了；这个输赢面对比是明显的。静态的安全审计，由于输入输出固定，无法覆盖已知的未知，更无法覆盖未知之未知。所以出现另一种审计，叫开发式竞争型审计，如Code4rena，审计奖金池固定，但是输入在一定时间内是弹性的，所有人都可以参加，谁发现bug。

Filecoin网络目前总质押量约为6088万枚FIL:据IPFS100.com报道，Filfox浏览器数据显示，Filecoin网络当前区块高度为669255，全网有效算力为4.207EiB，总质押量约为6088万枚FIL，活跃矿工数为1855个，每区块奖励为26.3056FIL，近24小时产出量为363795FIL，24小时平均挖矿收益为0.0832FIL/TiB，目前FIL流通量为115087570FIL。目前有效算力排名前三的分别为：f0127595（时空云）以111.38PiB暂居第一，f0135467（RRM-雅典娜）以101.88PiB位居第二，f01248（智合云(ZH)）以75.77PiB位居第三。注：减产倒计时1天。[2021/4/14 20:18:37]

按照严重程度，分奖金，这个方式是让审计师/白帽去卷，可以扩大覆盖面，但总体输入依然固定，远远不够。最后是完全开放的模式，那就是赏金网络，DeFi里最出名的Immunefy，云集最多DeFi白帽高手的平台，我建议每个DeFi在上面发bounty，亲测效果十分明显。Immunefy的奖金项目方会给非常高。

现场丨时空云合伙人&市场总监梁宁：Filecoin是一座千亿级的金矿:金色财经现场报道，11月27日，由金色财经主办，金色算力云联合主办，IPFS100，ZMQ，脉冲科技，时代区块链协办的金色沙龙第58期在深圳举办，时空云合伙人&市场总监梁宁表示，Filecoin是一座千亿级的金矿。Filecoin的总发行量是20亿，其总市值就是4千亿，能有如此高价值的原因是由于Filecoin搭建了一个自由交易存储空间的市场化平台，它能够解决数据存储需求、安全、高效的问题。

总所周知，我们正处于互联网时代，每个人每天都在创造新的数据，就像大海中的水珠一样多，但是目前做数据存储和保护的方式，还是像20年前一样是基于中心化存储的，但现在我们有了去中心化存储，Filecoin。

如今国家也在大力的推动7大新基建的建设，例如5G、大数据、人工智能，他们都离不开一个主题和赛道，存储行业和互联网。

关于数据存储行业的蛋糕太大了，我们不一定认为去中心化存储会完全干掉中心化的存储，但是我们也坚信它一定会成为传统存储市场中一个不可或缺的部分。[2020/11/27 22:20:18]

比如最高已支付的是Warmhole的千万美金。这次出事的Euler也曾放出100w刀赏金，但依旧没发现这次的漏洞。赏金模式在输入输出上也是开放式的，这个类似于黑客的攻击模式。

但两者激励模式很大区别。假如把两者当成是抽奖，同样1000w奖金池，赏金模式奖金一般都会在10w-30w刀封顶黑客模式是100%奖金全拿走这两种模式，同等投入，同样中奖概率，假设没有犯罪成本，毫无疑问黑客池输入/输出会跑赢。赏金模式就算加到10%，也跑不赢黑客池，除非把犯罪成本加入等式。

有人建议把赏金比例和TVL挂钩，比如10%，是否会激励更多黑客转白帽？首先，没哪个defi协议能支付10%TVL的赏金，其次，遇到真黑客，他大概率还是愿意一黑到底而不会止步要10%。DeFi的安全更复杂问题在于除了代码层面，还有可组合风险。

攻击面上，DeFi本身随着整合增加，攻击面是四维增长的，定期静态安全审计加长期赏金，也无法覆盖不断扩大的攻击面DeFi安全是无限游戏，唯一靠谱的是在协议上减少外部依赖，最小化攻击面，尽量待在“自己的舒适区”，不乱做扩展对开放系统来说，安全代价就是自由的代价。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。