我们每天遇到有漏洞的DeFi合约概率是多少?一起来看看
发表于2020-12-08 21:24:10
摘要: 原标题:我们每天遇到有漏洞的DeFi合约概率是多少?一起来看看 身在新冠日增确诊10万例美国的小编,因为硬核原因不得不搭乘飞机出门。出行前一直担心

  原标题:我们每天遇到有漏洞的DeFi合约概率是多少?一起来看看

  身在新冠日增确诊10万例美国的小编,因为硬核原因不得不搭乘飞机出门。出行前一直担心是否会被感染,途中却被飞机遇到猛烈气流的颠簸唬住了。

  虽然心里默默安慰自己飞机空难发生的概率非常低,感染新冠肺炎的概率也没那么高,但还是想起来了四个字:“墨菲定律”。

  身为二十世纪西方文化三大发现之一,墨菲定律本质上来自于民众对生活不幸发自内心的总结和共识。

  在《超新约全书》中,对于这个定律,更是刻画的极其生动:

  「脱光要泡澡时,电话一定会响起」

  「土司落地,必定是有果酱的那面着地」

  「排队结账,永远隔壁的队伍会前进的比较快」..........

  有意思的是:关于第二条定律,曾经有位美国科学家——罗伯特马修斯,还真就做过这样的实验。因为这项实验,他获得了搞笑诺贝尔奖。

  他选取了来自于英国各地学校的超过1,000名在校学生参与了实验。在共9,821次掉落中,有6,101次是涂着黄油的一面着地,比率为62%。

  如果——就像许多科学家所声称的——吐司掉落的时候,黄油的一面向上和向下的结果是随机并且概率相同,那么所预期的概率应该是50%,而实验的结果比预期的结果高出了12个百分点。

  这个实验结果使得罗伯特马修斯发现了一个令人吃惊的结论:

  “给出人类最大高度的公式似乎包含三个所谓的‘宇宙基本常数’。第一个——电磁结构常数——决定了头骨中化学键的力量,而第二个——重力结构常数——决定了重力的力量。最后,所谓的‘波尔半径’决定了组成身体的原子大小。这三个基本常数的 数值都是在宇宙大爆炸之后,就设定在整个宇宙之中。

  换句话说,从早餐桌上掉下的吐司会以黄油的一面着地,因为这是宇宙中必然会发生的。”

  虽然看不懂,但是大抵不外是——“墨菲定律”=“祸不单行定律”=“宇宙公认定律”

  黄油面的吐司着地尽管令人懊恼,毕竟不算什么大事。

  但是小概率事件中,还有许多会造成相当严重后果的事件。

  比如,空难。

  不知道看官们是否和小编一样,坐飞机的时候,经过颠簸气流总有“被迫害妄想”,想象飞机下一秒就要出事。

  目前空难发生的几率是五百万分之一(0.00002%),不发生则已,一发生基本无人生还。相信每个人面对这样的小概率事件,都曾或多或少有过担忧。相信这样的恐惧不仅仅来源于身处高空的不安全感,更是来自于一个个令人悲痛的失事事故,以及小概率事件发生的必然性——当样本容量足够大时,也许再小的概率事件也必然会发生。

  这些灾难,无一不是以巨大的代价来给予世人警示。

  在现代科技发展的大潮流下,锁定在区块链领域里的资产愈发庞大。隐藏在计算机背后的危机也随着区块链的发展日益展露狰狞的面目。

  计算机领域中,平均每1000行代码中,会有1-25个bug。也就是说,这个概率的区间是千分之一(0.1%)至百分之二点五(2.5%)。

  相比之下,代码产生漏洞的概率是空难的整整12.5万倍!

  如果在飞机颠簸的时候,你害怕飞机失事,那么不妨用超出10万倍的担心,去审视因代码问题而产生的智能合约漏洞。

  智能合约当中,任何一个小bug,都可能会给项目或者投资者造成无法挽回的损失。如果智能合约一旦部署以后,也可以用下图中的操作修复bug就好了,但很明显——人类无法在车辆运行中下车修复铁轨。‍‍

  受此警示之下,CertiK安全团队利用CertiK天网系统 (Skynet),对自北京时间2020年12月4日0时至24时之间,新加入Uniswap的代币智能合约进行了监控分析。

  在本次分析的时间段内,一共产生了29个智能合约代币项目。

  经过CertiK的Skynet分析,总计发现16个智能合约存在漏洞或者缺陷!

  大概有55%的智能合约项目或多或少存在漏洞或者缺陷,其中大约有10%存在严重漏洞,45%存在项目拥有者权限过大,权限中心化过高的缺陷。

  想必这个比随手抛硬币某一面朝上的概率都大的数字,就不用小编过多解释了。

  本次分析的智能合约项目名称和合约地址如下:

  分析结果如下:

  虽然难以通过一天的情况来预估所有时间范围内的智能合约安全情况,但窥一斑而知全豹。

  如果换做小编来进行项目投资,并且告诉小编投资的项目有着一半以上的概率会把钱赔光,那小编宁肯死死守住写公众号文章所赚的那点儿”血汗钱“。

  大家都知道2020年最知名的一个例子——DeFi项目Yam于北京时间8月12日3:00启动后,尽管该项目的博客文章警告称尚未对其合约进行任何审计,但疯狂的Yield farmers在不到一小时内向该项目存入了7600万美元。

  后期不出意料,Yam在短短36小时内,数亿美元因为一个小小的漏洞,消失于无形。

  Chainlink联合创始人Sergey Nazarov表示,黑客将继续以DeFi协议为攻击目标,除非他们改变获取价格信息的方式。

  无视事物本身的性质,违背事物发展的本质规律,企图事物会根据自己的喜好或者意愿来发展,觉得那些出事的项目自己都“碰”不到,就是典型的侥幸心理。

  人一旦无法摆脱自己对侥幸心理的依赖,则灾难性的事件必然会再某一天发生。无论在任何领域,侥幸心理均不可取(墨菲定律已经很深刻的表明了这一点)。

  安全审计现在已经是高质量DeFi项目的标配。当前DeFi项目热潮持续不减,很多项目为了抓住热点与机遇,在未经严格测试和审计的情况下便匆忙上线。

  这些项目中,大部分的漏洞是无法通过常见的测试方法和工具来发现的。只有寻找专业的审计专家进行严谨的数学模型证明,才可以发现该漏洞。形式化验证是当前 被证明可以产生可信数学证明的软件验证方法。因此,采用基于形式化验证方法的区块链检测工具来验证项目中的安全漏洞,应成为每一个项目在上链前的必经步骤。

  既然审计如此重要

  那么为什么还有那么多审计过后依旧爆出漏洞的项目呢?

  那么审计后的项目,依旧受到攻击的概率究竟是多少呢?

  类似于手机碎屏这样的事件,就算你没有亲身经历,是否身边的朋友也或多或少经历过呢?

  这些概率和数字到底有什么关联?

投稿:lukejiwang@163.com
Copyright © 2002-2024 鹿财经网