[慢雾安全工程师:安全审计是目前保护DeFi项目安全最高性价比的方式]12月30日,在慢雾科技主办的Hacking Time区块链安全攻防峰会上,慢雾科技高级安全工程师yudan和Kong根据bZx最早期的两次闪电贷攻击案例,介绍了闪电贷基本的攻击形式——代币价格操纵,详细讲述了基于价格操纵的闪电贷的防御方案以及在其价格无法被操纵的情况下,如何利用闪电贷另辟蹊径,通过操纵 LP Token的单价来进行获利。并通过慢雾被黑档案库与大家一起回顾了2020 DeFi被黑事件。
yudan和Kong认为,DeFi安全形势严峻,安全审计是目前保护项目安全最高性价比的方式。在当下DeFi黑暗森林里我们在临渊而行,需如履薄冰。
相关快讯:
Bingbon与慢雾科技达成安全战略合作:据官方消息,数字资产衍生品交易平台Bingbon 与慢雾科技达成安全战略合作,双方将针对数字货币行业中的底层公链安全研究、链上数据分析、威胁情报同步等多个环节保持密切合作,进一步保障Bingbon平台及区块链生态安全。Bingbon现已入驻慢雾区,并发布“安全漏洞与威胁情报赏金计划”。Bingbon 一直重视平台安全,关于安全风控,以超高标准投入,旨在打造一个业内安全稳定、公平公正、便捷高效的交易服务平台。
始于2018 年,Bingbon 是一家全球性的数字资产衍生品交易服务平台,用户覆盖亚洲、欧洲、北美洲和大洋洲等 37 个国家和地区,Bingbon 为用户提供简单、易用、专业的数字资产衍生品交易产品与服务。[2020/7/15]
分析 | 慢雾分析 MimbleWimble攻击思路:本质上是一种中间人攻击思路:慢雾关于Dragonfly Capital研究员披露MimbleWimble隐私缺陷的一些补充观点:
1. 攻击思路本质上也是一种中间人攻击思路:通过需要付出一些成本的“嗅探节点”技术监听MimbleWimble的聚合前的交易流量,以此分析发现from/to两个关键隐私因子的值,虽然不知道 value(金额),但有能力知道许多交易的来源与去向,但不是完全;
2. 这种“嗅探”思路类似美国等国家针对暗网Tor网络的溯源思路,通过部署或控制的足够多的节点来抓取Tor网络里的IP连接。但针对MimbleWimble网络,由于节点P2P通信特点,倒是不需要部署或控制许多节点;
3. MimbleWimble协议需要进化以应对这种“嗅探”技术,但我们都知道 Grin、Beam 不仅 MimbleWimble 协议,隐私策略在上层也有加强空间;
4. 隐私币在链上本质要解决的核心问题是:from/to/value 的隐私问题,但隐私不仅是链上的,还有链下部分,比如IP等隐私,这是所有隐私币都需要面对的问题。虽然MimbleWimble 这个纯链上的隐私技术不完美,这是必然的,完美是不存在的,不仅是MimbleWimble;
5. 隐私是一个工程级问题,Dragonfly Capital研究员的对抗思路也是工程级的,在工程级对抗上,不存在完美的隐私币;
5. 期待隐私币的一系列进化,在超级对抗中能进化的都是好隐私币。[2019/11/19]
声音 | 慢雾:采用链上随机数方案的 DApp 需紧急暂停:根据近期针对EOS DApp遭遇“交易排挤攻击”的持续性威胁情报监测:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陆续被攻破,该攻击团伙(floatingsnow等)的攻击行为还在持续。在EOS主网从根本上解决这类缺陷之前,慢雾建议所有采用链上随机数方案的DAPP紧急暂停并做好风控机制升级。为了安全起见,强烈建议所有竞技类DAPP采用EOS官方很早就推荐的链下随机种子的随机数生成方案[2019/1/16]
郑重声明: 慢雾安全工程师:安全审计是目前保护DeFi项目安全最高性价比的方式版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。