时代安全：DeFi下半场如何预防DeFi再次成为高危地带？

刚刚过去的2020年，是DeFi年，在加密资产市场陷入低谷的时期，DeFi这支异军突起重新点燃了加密市场，在经历过火爆的市场情绪，人们对其寄予厚望的同时，DeFi项目又面临新的困境：Compound动辄千万美金资产清算事件的爆出，让从前备受推崇的预言机成为众矢之的。

而且闪电贷攻击系列事件给外界塑造了一种愈演愈烈的恶性示范，从一系列事件上来看，基于可重入性的漏洞利用在过去几年中有所下降，而基于预言机价格操纵的漏洞利用率现在正在上升，预言机成了一个高危地带，很多DeFi项目的故事难以为继。

但随着牛市的来临，人们又重新DeFi项目燃起希望，认为DeFi也在酝酿着下半场的机会。

那么，DeFi还有下半场吗？如果有，DeFi下半场何时到来？

笔者认为，DeFi项目的重新燃起只是时间问题，待到万事俱备之时，DeFi这股东风自然会重新袭来。

众所周知，比特币最初的目的就是为了进行支付。但是因为加密资产价格波动巨大，在现实中进行支付难度非常高，所以直到现在尚未普及。

但是目前已经出现了一些项目，集成DeFi聚合，打通中心化与去中心化之间的可信认证通路，成功解决了加密资产支付的难题。这些项目的主要优势在于，通过其支付时，商家收到的是法币，而扣除的则是已经经过换算的不同数字资产。这样的性能在实际应用中的便利性较强，发展前景可观，在很大程度上助推了加密资产支付的进一步发展。

哪里有痛点，哪里就有商机，当加密资产支付趋于完善的时候，DeFi市场中的支付也可能会迎来它的高光时刻。

但是，自从DeFi火爆以来，相关的安全事件层出不穷。未来随着DeFi项目越来越多样化，功能越来越复杂，隐藏的安全问题也只会越来越多，这些安全问题或将成为DeFi下半场最大的阻力。

然而，以上这些问题基本都是来自于预言机的漏洞，尤其遭受诸多惨痛代价后，将预言机这个“短板”暴露无遗。

面对这些安全问题，首先应该就是在数据源供应方的选择上，预言机本身必须要做到，通过符合区块链共识机制的去中心化方式将价格数据在链上生成出来。

除此以外，预言机应该寻求更多的防护罩，依托更安全的第三方机构进行智能合约安全审计，进一步降低危机漏洞发生的可能性。从另一个层面来看，安全审计将是预防DeFi项目暴雷的最有效预防手段。

那么，智能合约安全审计是如何保证DeFi项目安全的呢？

以太坊智能合约的安全问题主要是因为其「过于灵活」引起的，灵活性和安全性如同天平的两端，如同一把双刃剑，既能一剑贯穿千军万马，又容易遭到反噬。

相比于比特币而言，以太坊更易发生安全事故。这主要是因为以太坊虚拟机是图灵完备的，以太坊可实现函数间相互调用、嵌套调用，智能合约间相互调用等各种复杂逻辑。

所以，智能合约的安全审计，将从根源诊断这些复杂的逻辑问题。（由于字数限制，笔者只列举以下3种方法）

1、防范重入漏洞

所谓「重入」就是一个方法被多次循环调用。而这通常是合约开发者所意想不到的。

如上图，在这段简单的取款合约中，攻击者只需要在原有的函数基础上，重入“提取ETH”的函数，在开发者未发现的情况下，攻击者就可以源源不断地取走 ETH。

然而，要修复这个问题也非常容易，如下图，只需要将两行代码调换顺序即可。

2、GAS优化

以太坊区块的打包机制是按照给予的矿工费（GasPrice）进行优先打包，并且每个区块有总 GasLimit 的限制（目前为每区块 1200 万 Gas）。所以攻击者可以制造出若干使用 GasLimit 非常大，并且GasPrice给得非常高的交易，让它们优先占满区块，从而让目标交易无法被打包。

所以，在编写合约逻辑时，不能假设你的交易会在有限时间内被打包，否则就容易受到此类攻击。

3、防止溢出攻击

智能合约里的数据是可能溢出的，例如一个合约允许对一个数据进行加减，攻击可以通过对这个数据进行精心策划的调用，让其通过溢出达到允许执行某些逻辑的目的，从而实现攻击。

通过使用Safemath封装的加法，减法，乘法接口，使用assert方法进行判断，可以避免产生溢出漏洞。

目前，智能合约的安全审计有以下这16种方法，读者知晓其轮廓即可，故笔者也不再展开细说。

（以上截图来自于时代安全官网（www.safeworld.pro）：安全服务-智能合约安全审计）

由上文也可得出：DeFi项目的安全审计与常规区块链项目的安全审计也是大相径庭。

以太坊智能合约的安全问题主要是因为其「过于灵活」引起的，以太坊选择了灵活性，某种程度上便把安全性的潜在风险留给了市场。

所以，从安全角度出发，对于投资者而言，在投资一个 DeFi 项目之前，需要判断其能否安全稳定地运行，或是会被黑客攻击。

一个合格的DeFi项目，取决于合约开发人员对原理的理解、对细节的把控，更重要的，是有安全审计的意识。

时代安全是时代区块链创立的区块链安全品牌，涵盖企业云钱包、HD钱包SDK、安全渗透测试、智能合约安全审计、钱包安全审计以及交易所安全审计等安全业务，致力于成为全球区块链生态的安全战略官。

时代安全依托集团8年区块链技术研发底蕴和多年业务安全运营经验，凭借行业顶尖的区块链技术和安全专家，以及完备的安全大数据积累，初步构建了一套较完善的区块链生态安全防护体系，为区块链企业的数字资产、信息数据、系统和业务安全保驾护航。

目前，时代安全专注于为区块链企业提供安全的数字资产钱包管理解决方案和全方位的安全服务，助力区块链企业安全、高效、低成本部署数字资产充提，同时降低企业安全风险，让企业专注于核心业务的发展和创新。

—-

编译者/作者：时代安全

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。