从HarvestFinance闪电套事件看安全审计：让黑客无孔可入

在过去几个月，DeFi 项目层出不穷，创造了一波又一波的热度，成为了互联网金融科技的关注焦点。从DeFi生态系统来看，流动性挖矿，去中心化交易所，信用借贷等协议（应用）产品市场反响强烈，牵引着无数投资者奔走入场。然而，投资火爆的的背后，各种DeFi安全事件却频繁发生。伴随黑客对合约各部分漏洞的疯狂攻击，多个DeFi项目平台遭到了巨额损失。

DeFi江湖，风云诡谲

Harvest Finance闪电套事件：就在2020年10月26日，Harvest Finance曝出遭到黑客攻击，黑客利用存在的漏洞使得该平台的原生代币FARM 在不到一个小时的时间内暴跌了65% ，造成了约2400万美元的损失。此次攻击中，黑客利用了Harvest Finance 的fToken（fUSDC、fUSDT...)在铸币时采用的是Curve y池中的报价（即使用Curve作为喂价来源）这一漏洞，通过巨额兑换操控预言机的价格来控制Harvest Finance中fToken的铸币数量，从而盗取大量资金。

51%攻击：2018年5月，比特币黄金开发团队公告显示攻击者掌控了BTG网络的大比例算力，从而针对交易所发动了“51%双花攻击”。攻击者从交易所窃取超过388200个BTG,价值高达1860万美元。“51%攻击”的原理在于数字货币采用分布式记账机制，以比特币为例，比特币网络是一个去中心化的分布式账本，每记一笔账都需要“全民投票”确认。当攻击者掌握全网算力超过50%时，攻击者就拥有了对比特币网络操纵和篡改的权利。一旦攻击者操纵成功，就可以修改自己的交易记录，进行双重支付。

The DAO事件：The DAO是区块链公司Slock.it 发起的一个众筹项目，2017年6月17日，黑客利用The DAO编写的智能合约中一个splitDAO函数的漏洞，不断从The DAO项?的资产池中分离出The DAO资产并转到黑客自己建立的子DAO，从而盗取360万以太币。受此事件影响，以太币价格第二天暴跌约30%。

风险规避的利器：安全审计

层出不穷的DeFi安全事件敲响了区块链项目安全问题的警钟。随着BTC、ETH、EOS等区块链项目的迅速发展，区块链项目已经进入了智能合约时代，但是智能合约自身的正确性和安全性却面临着巨大的问题。智能合约解决了可以公开代码并保障其安全的问题，但是代码的公开性使得黑客容易掌握代码的缺陷，进一步利用代码缺陷触发条件改变智能合约执行结果，使得区块链项目存在巨大的经济隐患，因此源代码的绝对可靠是确保任何一个项目安全的必要条件。

但区块链是建立在代码之上，代码是由人编写的，那么区块链不可避免的会存在一些问题——代码漏洞，如果区块链存在代码漏洞，一旦被黑客发现，就会产生严重后果。对所有的程序员来说，写一个没有bug的代码实在是太难了，即使采取了所有可能的预防措施，在复杂的软件中也总会出现没有预料到的执行路径或可能的漏洞。

因此，作为前置风险规避措施，整体性安全审计是保障项目安全的刚性指标。安全审计运用自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。通过代码审计及时对代码层缺陷进行修复，从而大幅度提升系统整体安全性，避免巨额经济损失。

aelf让安全走在区块链最前端

区块链本身就是一项十分负责的系统工程，涉及智能合约、节点程序、通讯协议、共识算法，任何一方面出现问题都可能影响巨大。作为一个开源项目，aelf始终让网络安全走在区块链最前端，为保证aelf公开测试网代码的安全性，为主网顺利启动保驾护航，“aelf公开测试网代码审计报告全球悬赏计划”于2020年10月22日正式启动，邀请全球安全研究团队及开发者共同参与区块链底层安全的建设和维护。

此次安全审计，一方面为提升代码的安全性，毕竟攻防是一个系统化的整体，必须为接下来的主网上线提供强大的安全保障；另一方面有利于提升团队的技术实力，不断完善和迭代才能为大家提供更好的大数据解决方案。值得一提的是，aelf将进行长期的安全投入，并加强开发人员和内部其他人员的安全教育及规范，确保aelf代码的安全性和功能的有效性。

目前，aelf Enterprise 1.0.0 RC 1 版已正式发布，实现了主网启动所需的全部功能，且运行十分稳定，当代码审计完成并修复漏洞后，会择期使用该版本正式启动主网，为用户提供一个安全、高效、可靠的区块链网络。

区块链正在逐渐成为互联网未来的发展趋势，它的本质是推进社会发展的，但其开源特性必然会带来很多安全挑战，不能让这成为区块链技术开发过程中的障碍和挡路石。aelf作为区块链生态的重要参与者，未来会通过不断提升技术，在确保代码安全的前提下，为用户提供安全、可信赖的区块链基础设施。

—-

编译者/作者：?lf

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。