基于以太坊的新期权交易协议刚刚上线,但是其代码已经遇到了重大问题。
就在4月23日Hegic推出智能合约的数小时后,其代码中的一个漏洞导致该平台的智能合约锁定了价值2.8万美元的用户资金。这些资金大部分都是稳定币DAI,其余的是ETH。
Hegic团队承诺用他们自己的资金补偿所有受影响的用户,而被锁定的资金将永远放在智能合约中。
Boba Network将于10月31日起关闭BobaAvax,用户需将资金转移至Avalanche主网:8月29日消息,以太坊二层扩容解决方案Boba Network将于10月31日起关闭BobaAvax,用户需要在10月31日之前将所有资金转移到Avalanche主网,否则将面临永久失去对BobaAvax上任何资产的访问权限的风险。
据悉,BobaAvax是Boba Network在Avalanche上的二层扩展解决方案。[2023/8/29 13:03:09]
但是让社区不满的是,团队最初说这个漏洞只是打错了字。社区和审查其代码的独立团队都表示,该漏洞是由一个本可以轻松避免的bug造成的。
去中心化借贷协议Ajna上线以太坊主网:金色财经报道,去中心化借贷协议Ajna宣布上线以太坊主网,该协议无需依赖价格预言机和治理机制,由贷方和借方资金池组成,还引入了额外的功能,包括永续贷款、清算债券和无需许可的货币对创建。Ajna表示,该协议已由Sherlock、Trail of Bits、Quantstamp、Prototech Labs和Code4arena进行了六次安全审计,计划在未来几个月扩展对Layer2解决方案的支持。[2023/7/13 10:53:36]
Prysmatic Labs:昨日以太坊主网超50%的区块提议消失 已确定解决方案:据以太坊2.0客户端执行团队Prysmatic Labs官方推特,昨日,Prysm Beacon节点无法在18个epoch(约2小时)的时间内产生块,且从区块32302开始,超过50%的区块提议(block proposal)突然消失了,怀疑问题出在Prysm。刚刚,Prysmatic Labs发布事件更新,称这是一个极其罕见的边缘案例,已确定潜在的解决方案。一些初步数据显示,此次事故的总损失影响约为15枚ETH。由于没有足够的区块容量,验证者平均丢失122950 gwei,相当于0.03美元。一些关键事实:1.没有大幅削减验证者;2.对信标链最终确定没有影响;3.参与率仍然很高(最低84.8%);4.大多数验证者错过了2或3个验证,而与客户端类型无关;5.这不太可能是恶意或有目的的攻击。主网是稳定的,在这个时候没有必要或建议Prysm运营商采取行动。请在接下来的几个小时内等待修复程序的发布。[2021/4/25 20:54:59]
审查Hegic代码的软件审计公司TrailofBits说,该交易所无视相关漏洞和缺陷的警告;相反,Hegic单纯地给这些问题贴上了“创可贴”,并迅速推出了自己不成熟的代码。
波卡隐私计算平行链Phala正在准备预备主网开发计划:12月13日,波卡上的隐私计算平行链PhalaNetwork发布最新周报,内容显示团队已准备预备主网开发计划。当前全网算力值超过270,000,相当于3857个CPU核心在为Phala提供隐私算力。[2020/12/14 15:07:11]
TrailofBits首席执行官DanGuido说:
“这显然是一个错误,如果他们做过单元测试,这个错误就很容易被发现。”
Hegic在官方回应中称:
“我们曾说这是打字错误,但不是一个bug或安全问题,为此向每个Hegic用户道歉。”
在一条更早的推文中,Hegic解释了这个问题,称代码中的一个“打字错误”导致交易者无法从到期的期权合约中收回资金。
在期权交易中,交易者购买一种合约,这种合约赋予他们在到期日以特定价格买卖某种资产的选择权;Hegic的“打字错误”让用户无法获取这些合约到期后锁定的资金。
但是审查Hegic代码的安全审计公司TrailofBits称它是一个bug,而不是Hegic最初声称的打字错误。TrailofBits的首席执行官声称,Hegic在提交一份安全评估报告时,并没有如实反映该交易所的安全性。
之后,Guido在推特上说,Hegic忽略了许多TrailofBits的建议,对产品的上线太草率了。他表示,他的公司在4月初审查Hegic代码时,发现了“10个重要漏洞”。
TrailofBits建议Hegic推迟主网上线。但是Guido说,该公司拒绝了,并且“简单修补了我们发现的一些bug,没有做进一步的修改,将我们3天的代码审查错误地描述为‘审计’,然后立即着手上线。”
Guido说,这给了用户一个错误的印象,即Hegic是安全的,尽管该项目没有公开文档,也没有已发布的或可验证的软件测试。
Guido说恶意或信息闭塞的团队对安全审计的错误陈述对整个以太坊和DeFi领域都是有害的。
以太坊以前也有过这样的问题。正如区块链平台MyCrypto在推特上指出的那样,2017年Parity钱包漏洞——ParityDAO中价值2.8亿美元的钱包库被一名匿名开发者删除——表面上也是一场意外。但这个漏洞仍然被利用了,不管是不是偶然,Parity以一次有争议的硬分叉来解决这件事,它将以太坊分裂成两条链来恢复丢失的币。
这次可能不会有分叉,但是情况还是一样——不管你多少次试图称它为一个拼写错误。
近段时间,因Uniswap和Dforce的先后被攻击再次引发了对DeFi安全问题的讨论。作为一种全新的事物,DeFi仍需经历大量的考验。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。