即刻App年轻人的同好社区
下载
置顶
Supremacy 作为国内(首家)唯一一家为全球顶级资本 Paradigm 提供技术支持的安全机构深知这种信任来之不易。很长一段时间,因为C某类型公司的存在,华人安全公司在全球市场一直饱受争议,至此,我们始终希望尽一份自己力所能及的力量,将偏见转换为信心。🙏
3 12
《链上惊魂二十四小时》
你知道明天和意外哪个先来吗?
仅仅 24H,让一个 Defi 的庞然大物跌至 $1.8B,也让社区看到了新的一轮 “Defi hack summer”
北京时间30日21:30分,内部Alert系统发出预警,JPEG'd 在 Curve 的池子的钱几乎被掏空,我们意识到,这是攻击行为,此时,我们迅速组织人手开始向社区发出正式预警。在此之前,社区中出现了非常多的噪音,几乎所有人都以为这又是一次 read-only reentrancy attack,在 Attack Event 中最重要的东西还是 Root cause,经验告诉我们这并非常理上的漏洞,Vyper 0.2.15 编译器一定存在某种问题可以导致黑客绕过重入锁,因此第一次 Alert 我们决定首先更正社区调查方向,率先向社区发出通告并表明怀疑态度。
北京时间30日23:20分(Prev),在怀疑的基础之上,我们决定兵分两路,其一,首先检查该版本的其它池子是否存在同源问题。其二,验证我们对编译器怀疑的说法。
结果正如我们所预料的那样,JPEG'd 还远不是 TVL 最大的那个池子,Alchemix 的alETH/ETH 池子更是托管了价值约 $14M 的资产
它危险了!直觉告诉我们!
我们决定与 Curve Team 取得联系,通过简短的交涉了解到他们的速度也很快,及时发现了 alETH 池子的问题并且向 Alchemix 发出警告,但是迟迟没有回音,不能再等了,黑客一定混迹在社区中,随时可以通过情报或者规则检索到这个存在问题的池子并发动攻击。与此同时,我们另外一个小组也传来讯息,事实正如我们所想的那样,不仅 0.2.15 存在这个问题,其余的 0.2.16,甚至 0.3.0 都面临该问题的威胁。出于对社区负责任的态度,我们率先公布了两个事实。
1. 还有另外的池子面临威胁,要求尽快处理事件。
2. (0.2.15/0.2.16/0.3.0)都面临该问题的挑战。
与此同时,我们也在尝试阻止白帽救援行动,但是时间终究是来不及了,对于黑客来说他只需调整参数即可攻击,我们的速度还是不够快,只所以采取披露与救援同时进行这样的行动原因在于两方面,社区以及LP有权利知道他们面临了什么,究竟发生了什么,能够更多撤出流动性总是好的,其二,我们不能放任黑客自由攻击,但还是终究是慢了一步。
我们永远都与生态站在一起,努力的保护这个生态。如果因为你在这次的事件中造成了资金的损失,我们深感抱歉,有可能是我们做的还不够好,但是请永远都不要指责一个试图帮助社区的安全公司!
这次的事件给我们带来了很多的启示,也引发了很多思考:
1. 加强区块链安全基础设施的建设,对 Real-Time Alert 系统持续迭代,争取阻止更多的悲剧发生
2. 底层的基础设施如果存在问题,那么在其之上的所有应用将会顷刻化为乌有
不要责怪任何人,社区需要做的是反省错误,重新出发!
你知道明天和意外哪个先来吗?
仅仅 24H,让一个 Defi 的庞然大物跌至 $1.8B,也让社区看到了新的一轮 “Defi hack summer”
北京时间30日21:30分,内部Alert系统发出预警,JPEG'd 在 Curve 的池子的钱几乎被掏空,我们意识到,这是攻击行为,此时,我们迅速组织人手开始向社区发出正式预警。在此之前,社区中出现了非常多的噪音,几乎所有人都以为这又是一次 read-only reentrancy attack,在 Attack Event 中最重要的东西还是 Root cause,经验告诉我们这并非常理上的漏洞,Vyper 0.2.15 编译器一定存在某种问题可以导致黑客绕过重入锁,因此第一次 Alert 我们决定首先更正社区调查方向,率先向社区发出通告并表明怀疑态度。
北京时间30日23:20分(Prev),在怀疑的基础之上,我们决定兵分两路,其一,首先检查该版本的其它池子是否存在同源问题。其二,验证我们对编译器怀疑的说法。
结果正如我们所预料的那样,JPEG'd 还远不是 TVL 最大的那个池子,Alchemix 的alETH/ETH 池子更是托管了价值约 $14M 的资产
它危险了!直觉告诉我们!
我们决定与 Curve Team 取得联系,通过简短的交涉了解到他们的速度也很快,及时发现了 alETH 池子的问题并且向 Alchemix 发出警告,但是迟迟没有回音,不能再等了,黑客一定混迹在社区中,随时可以通过情报或者规则检索到这个存在问题的池子并发动攻击。与此同时,我们另外一个小组也传来讯息,事实正如我们所想的那样,不仅 0.2.15 存在这个问题,其余的 0.2.16,甚至 0.3.0 都面临该问题的威胁。出于对社区负责任的态度,我们率先公布了两个事实。
1. 还有另外的池子面临威胁,要求尽快处理事件。
2. (0.2.15/0.2.16/0.3.0)都面临该问题的挑战。
与此同时,我们也在尝试阻止白帽救援行动,但是时间终究是来不及了,对于黑客来说他只需调整参数即可攻击,我们的速度还是不够快,只所以采取披露与救援同时进行这样的行动原因在于两方面,社区以及LP有权利知道他们面临了什么,究竟发生了什么,能够更多撤出流动性总是好的,其二,我们不能放任黑客自由攻击,但还是终究是慢了一步。
我们永远都与生态站在一起,努力的保护这个生态。如果因为你在这次的事件中造成了资金的损失,我们深感抱歉,有可能是我们做的还不够好,但是请永远都不要指责一个试图帮助社区的安全公司!
这次的事件给我们带来了很多的启示,也引发了很多思考:
1. 加强区块链安全基础设施的建设,对 Real-Time Alert 系统持续迭代,争取阻止更多的悲剧发生
2. 底层的基础设施如果存在问题,那么在其之上的所有应用将会顷刻化为乌有
不要责怪任何人,社区需要做的是反省错误,重新出发!
0 00
关于中心化审计与分布式审计的差异理解🧵
最近一段时间很多朋友问到我说你怎么看待去分布式安全审计这件事情?
比如这几个知名平台 Code4rena / Sherlock / Hat.finance
他们的给出的观点其实非常犀利,摆出第一性原理就是越多人审计我的代码越好,引起白帽内卷也就越安全,作为事物的两面性,一种是对,一种是错。我们先说“对”的这种情况,为什么对呢?因为这其实是博弈论的政治正确。但是同样也可以说它的是“错”的,原因同样也很简单,引起内卷不是这个阶段该做的事情。
我将自己代入了项目方的角色思考了一下。首先,其实并不是越多人审计越好,而是越多有经验的审计越好,注意我这里提到的是“有经验”,很多人不实际参与某些事情就导致非常容易陷入了上帝视角,主观上认为只要参加我这个竞赛的人都是有经验,或者是只有做了相应的付出,才能有所回报,而现实情况是什么呢?
真正有经验并且能够在 Contest 做出实际贡献的人屈指可数,而这类人一旦参加这次 Contest 必然保底是 Top1 - Top3 的区间,而往往这类人都是行业精英人群,大多是选择加入甲方或者乙方安全机构做 Senior Security Researcher,举一个非常简单的例子,我的一位朋友最近一段时间参加了一场 Contest,结果发现所谓的 “分布式审计” 也不过如此,他一个人便拿了池子里面 ~70% 的奖金份额 😂,而大多数人只是在卷一些可有可无的 Medium / Low; 但是呢,你能保证每场 Contest 都有这样的人才参与嘛?这中间的敞口就是导致你的Protocol即便在Code4rena做过审计status 也依旧是 Hacked 的原因。它(C4) 只是一个牌子,实施者你清楚嘛。所以你如果你看到这里应该可以 Get 到我说的这个点了。专业安全机构的优势就体现在这里,当然,前提是一定要选择信誉好的,具体评判标准,每个人每个项目都有自己的想法,且利益相关,我这里不做过多赘述。
Code4rena 作为这个赛道的先行者,我并不否认这种模式,只是对于目前的行业来说,还为时过早。至于是选择专业安全机构还是分布式审计就看每家的各自取舍咯。
contact@supremacy.email
王佚, Supremacy
最近一段时间很多朋友问到我说你怎么看待去分布式安全审计这件事情?
比如这几个知名平台 Code4rena / Sherlock / Hat.finance
他们的给出的观点其实非常犀利,摆出第一性原理就是越多人审计我的代码越好,引起白帽内卷也就越安全,作为事物的两面性,一种是对,一种是错。我们先说“对”的这种情况,为什么对呢?因为这其实是博弈论的政治正确。但是同样也可以说它的是“错”的,原因同样也很简单,引起内卷不是这个阶段该做的事情。
我将自己代入了项目方的角色思考了一下。首先,其实并不是越多人审计越好,而是越多有经验的审计越好,注意我这里提到的是“有经验”,很多人不实际参与某些事情就导致非常容易陷入了上帝视角,主观上认为只要参加我这个竞赛的人都是有经验,或者是只有做了相应的付出,才能有所回报,而现实情况是什么呢?
真正有经验并且能够在 Contest 做出实际贡献的人屈指可数,而这类人一旦参加这次 Contest 必然保底是 Top1 - Top3 的区间,而往往这类人都是行业精英人群,大多是选择加入甲方或者乙方安全机构做 Senior Security Researcher,举一个非常简单的例子,我的一位朋友最近一段时间参加了一场 Contest,结果发现所谓的 “分布式审计” 也不过如此,他一个人便拿了池子里面 ~70% 的奖金份额 😂,而大多数人只是在卷一些可有可无的 Medium / Low; 但是呢,你能保证每场 Contest 都有这样的人才参与嘛?这中间的敞口就是导致你的Protocol即便在Code4rena做过审计status 也依旧是 Hacked 的原因。它(C4) 只是一个牌子,实施者你清楚嘛。所以你如果你看到这里应该可以 Get 到我说的这个点了。专业安全机构的优势就体现在这里,当然,前提是一定要选择信誉好的,具体评判标准,每个人每个项目都有自己的想法,且利益相关,我这里不做过多赘述。
Code4rena 作为这个赛道的先行者,我并不否认这种模式,只是对于目前的行业来说,还为时过早。至于是选择专业安全机构还是分布式审计就看每家的各自取舍咯。
contact@supremacy.email
王佚, Supremacy
2 35
