撰文:MyCrypto
翻译:Perry Wang
来源:链闻
对那些懒得打开 PDF 文档的读者,这里给大家概括一下「审计报告」。
对那些根本一点不懂的小白来说:
1.1 一位熟悉系统底层架构和理念的专家面对总量很小、非常简单、语言非常漂亮的代码库,也许能做到这一点(Hegic 的情况可不是这样)。
此外,他们没有时间考虑代码的经济影响。
1.2 只进行了小型审计,可能是由于 Hegic 财力所限,我对此表示赞赏。但是,审计的目的是要避免发生坏事,不要将审计作为一种促销手段,出了问题不能说「不是我们的错,只能怪安全审计机构 @trailofbits!」
1.3 要改善审计的投资回报率,更简单的方式是让审计人员的工作变得更简单
值得注意的提示:
(审计报告图片中译)
2.1 稍后将详细介绍算法方面,但接下来看看(加密行业教育家、顾问、DeFi 观察者)@ChrisBlec 所谓的「管理员漏洞」,比特币至上主义者会以此为例证发表所谓中心化目前优于 DeFi 的胡言乱语。
他们说的都没有错。你可能不喜欢这个事实,但只能接受它。
(审计报告图文中译)有多个问题可能导致恶意合约所有者伤害 Hegic 用户,包括:
2.2 < 这里插入有关去中心化的渐进论证 >
无论如何,你应该注意到这种可能性以及知道审计人员在上面花了时间。 在一个全新的金融体系中发现所有的漏洞攻击方法,这 16 个小时中有多少时间被用于验证有效的、(甚至可能)已知的攻击方法?
2.2 只有 16 个小时找到所有攻击方法
16 个小时不可能搞清楚这一切。绝无可能。
2.3 审计机构永远不会说:「这些代码烂的像臭狗屎」。
扪心自问,为什么他们指出蛛丝马迹。不要指望他们彻底告诉你想要的东西或他们自己的反应。这就是事情被忽略的完美例证,因为它没有成为 Twitter 热门话题: (图中文字中译) 另外我们还发现,当资金池增加或减少资产时会出现账簿记录错误,没有体现出期权合约中的相关资产,因此攻击者可能窃取资金池中资产。
2.3 我来帮你。
Hegic 内的合约并不清楚合约中的资产被谁以何种方式偷走。
我实在不明白如果都不清楚这些情况,资金池还怎么运转。老人看手机脸。
另外请注意:记账簿。
在实际的审计报告中,会向 Hegic 指出需要解决的大量代码、 漏洞及事情。但这篇摘要是供外部人了解所用的。是给我们普通人的。
(图中文字中译)由于发现的算法问题较多以及时间限制,无法进行深入的算法验证,(审计机构) Trait of Bits 推荐使用符号执行和 fuzzing 测试合约的变量。代码库中可能存在更多问题。
另外 Trait of Bits 作出以下推荐:
3.1 一定做更多来确保安全!!!
3.2 我们真的没有时间展开深入讲,基本的数学问题已经占用了大部分时间,我们连数学问题都没搞懂,更别说更大范围的问题了。
3.3 我们当然知道有更多问题,你现在知道了。
3.4 你付钱给我们找一些自己本可以用更便宜的方式找到的基本问题,然后付钱给我们找到了另一个错误。
3.5 你们的项目文档记录匮乏实在令人厌恶,我们在五点建议中用三条的篇幅去描述这个问题,因为这是你们发现问题、并为安全人员 / 白帽黑客提供挽救用户资产的最佳机会。
3.6评估合约所有者的特权:我们的工作不到位。
验证你们的算法:小心打补丁。重新查验一切因为你们的算法真的太烂了。
验证套利交易:我们都还没开始考虑这个问题。
也许你们在写文档的时候就会发现问题了。
3.7 我真的不知道怎么收尾。
通常在完整审核中,你会发现带有代码片段的内容。事实是这一行代码有分量。
3.8 或者是他们选择让读者注意到最后一句特别重要,或者他们也意识到「我们真的检查了所有东西 / 所有功能了吗」?在概要最后扔下一句。
不管是哪种情况,依据这份审计报告,这是致命硬伤的所在地。
2 代码库没有提供「最佳状态」。
3 没有文档纪录。
4 要构建金融系统,必须要有出色的数学 / 记账簿 / 会计能力。
Hegic 有太多问题,让 @trailofbits 的审计工作更麻烦。但更重要的是,这里存在根本性问题。这一解决方案「更重视数学,在数学方面也更出色」,但「在审计方面很糟糕」。
5 Hegic 无权 利用这份审计报告宣称自己是个安全的系统,或者像当前这样转嫁责任「甚至 trailofbits 都没有发现问题!」
6 Hegic 将审计当作敷衍他人的挡箭牌,而不是为了切实保护用户或者了解及确保系统的安全。这种态度显示团队对用户利益的漠视,可能是一种性质恶劣的文化,对我而言总是拉响警报。
7 Hegic 项目目前不该推出。如果他们是被枪指着头被迫发布产品,他们也应该宣称自己是未经审计的、受限的 Pre-alpha 项目。
8 @trailofbits 没有提到测试。不确定他们为什么在其他审计中有测试。也许是因为在测试前的基本文档就有问题?
有点像如果我的院子里长满了 6 英尺高的野草,我就去考虑修剪更高的灌木问题。
9 作为社区一个整体,我们需要注意,即使是名头最响亮机构所做的审计报告,也不意味着是安全的。也许还更不安全。
来源链接:twitter.com
声明:本内容为作者独立观点,不代表 CoinVoice 立场,且不构成投资建议,请谨慎对待,如需报道或加入交流群,请联系微信:VOICE-V。
简介:前沿金融科技精英读物
评论0条