主网刚上线就把用户资金锁住了,这届DeFi项目不好带啊
基于以太坊的新期权交易协议刚刚上线,但是其代码已经遇到了重大问题。
就在4月23日Hegic推出智能合约的数小时后,其代码中的一个漏洞导致该平台的智能合约锁定了价值2.8万美元的用户资金。这些资金大部分都是稳定币DAI,其余的是ETH。
Hegic团队承诺用他们自己的资金补偿所有受影响的用户,而被锁定的资金将永远放在智能合约中。
但是让社区不满的是,团队最初说这个漏洞只是打错了字。社区和审查其代码的独立团队都表示,该漏洞是由一个本可以轻松避免的bug造成的。
审查Hegic代码的软件审计公司Trail of Bits说,该交易所无视相关漏洞和缺陷的警告;相反,Hegic单纯地给这些问题贴上了“创可贴”,并迅速推出了自己不成熟的代码。
Trail of Bits首席执行官Dan Guido说:
“这显然是一个错误,如果他们做过单元测试,这个错误就很容易被发现。”Hegic在官方回应中称:
“我们曾说这是打字错误,但不是一个bug或安全问题,为此向每个Hegic用户(持有者)道歉。”在一条更早的推文中,Hegic解释了这个问题,称代码中的一个“打字错误”导致交易者无法从到期的期权合约中收回资金。
在期权交易中,交易者购买一种合约,这种合约赋予他们在到期日以特定价格买卖某种资产的选择权;Hegic的“打字错误”让用户无法获取这些合约到期后锁定的资金。
但是审查Hegic代码的安全审计公司Trail of Bits称它是一个bug,而不是Hegic最初声称的打字错误。Trail of Bits的首席执行官声称,Hegic在提交一份安全评估报告时,并没有如实反映该交易所的安全性。
之后,Guido在推特上说,Hegic忽略了许多Trail of Bits的建议,对产品的上线太草率了。他表示,他的公司在4月初审查Hegic代码时,发现了“10个重要漏洞”。
Trail of Bits建议Hegic推迟主网上线。但是Guido说,该公司拒绝了,并且“简单修补了我们发现的一些bug,没有做进一步的修改,将我们3天的代码审查错误地描述为‘审计’,然后立即着手上线。”
Guido说,这给了用户一个错误的印象,即Hegic是安全的,尽管该项目没有公开文档,也没有已发布的或可验证的软件测试。
Guido说恶意或信息闭塞的团队对安全审计的错误陈述对整个以太坊和DeFi领域都是有害的。
以太坊以前也有过这样的问题。正如区块链平台MyCrypto在推特上指出的那样,2017年Parity钱包漏洞——Parity DAO中价值2.8亿美元的钱包库被一名匿名开发者删除——表面上也是一场意外。但这个漏洞仍然被利用了,不管是不是偶然,Parity以一次有争议的硬分叉来解决这件事,它将以太坊分裂成两条链来恢复丢失的币。
这次可能不会有分叉,但是情况还是一样——不管你多少次试图称它为一个拼写错误。
近段时间,因Uniswap和Dforce的先后被攻击再次引发了对DeFi安全问题的讨论。作为一种全新的事物,DeFi仍需经历大量的考验。
原文:https://decrypt.co/26725/hegic-backpedals-on-typo-claim
作者:Colin Harper
编译:Wendy
稿源(译):巴比特资讯(https://www.8btc.com/article/588621)
Bitcoin Price Consolidates Below Resistance, Are Dips Still Supported?
Bitcoin Price Consolidates Below Resistance, Are Dips Still Supported?
XRP, Solana, Cardano, Shiba Inu Making Up for Lost Time as Big Whale Transaction Spikes Pop Up
XRP, Solana, Cardano, Shiba Inu Making Up for Lost Time as Big Whale Transaction Spikes Pop Up
Justin Sun suspected to have purchased $160m in Ethereum
Justin Sun suspected to have purchased $160m in Ethereum