加密貨幣領域是一片黑暗叢林,財富在這裡匯聚和流通,黑客與項目方也在此較量。發展迅速的DeFi板塊,雖呈現出繁榮的景象,但時刻被安全問題所困擾。

對於項目方而言,擺在產品體驗、技術創新等前面的無疑是安全,項目的安全程度決定了其在市場上存活的時間長度。然而,可以看到的是,在DeFi發展的熱潮中,一眾項目紛紛湧現,其中不乏抄襲者,追求短期的熱度和快速增長,忽略長遠的發展,安全問題暴露、黑客攻擊,使得用戶資金蒙受損失。

怎麼樣才能保障安全,謀求長期發展? Avalanche生態LP跨鏈DEX HurricaneSwap給出了自己的解答:安全擺在第一位,多方安全機構聯審,平衡安全與發展。

1.安全成DeFi領域大敵

目前DeFi板塊整體的TVL已經達到了2600億美元,而去年同期DeFi整體TVL僅為200億美元左右,增長迅猛。進入到2021年以後,隨著NFT、GameFi等板塊的進一步發展,用戶參與DeFi協議、進行合約交互的活動也越來越頻繁。

雖然資金量在提升,用戶規模在壯大,DeFi世界的發展呈現出一片繁榮的景象,但是鎖倉在各大DeFi協議資金池中的資金,卻無時無刻不面臨著安全風險。

有數據顯示,2020年一整年,DeFi安全事件達到了60起,損失逾2.5億美元,包括bZx、Balancer、Harvest等在內的多個DeFi項⽬遭到攻擊。進入到2021年,隨著DeFi協議鎖定的資金越來越多,DeFi安全事件所涉及的金額也越來越大。

2021年年初至今已經發生了80餘起鏈上安全問題,被盜資金超過18億美元。

在Rekt統計的眾多DeFi安全事故中,跨鏈橋、跨鏈DEX板塊上榜率較高。更加值得注意的是,在列的前57個被盜事件所涉及的協議中,僅有19個協議做過安全審計,並且這些協議基本上只經過一家安全審計公司的代碼審查。

慢霧安全團隊曾在Poly Network被盜後表示,保證安全性,除了需要項目方在技術層面保證代碼的可用性和完整性,並在上線前測試外,在上線前,還做好安全審計工作,包括但不限於安全審計、前端安全審計、服務端安全測試等。

近期,HurricaneSwap的跨鏈功能版本即將發布,為了確保安全性,該協議啟用了三家頂尖的安全機構進行審計和優化。

為什麼HurricaneSwap這麼重視安全審計?

2.三重安全審計,構築安全屏障

HurricaneSwap邀請的安全審計公司分別是,慢霧科技(SlowMist)、派盾(PeckShield)以及HashEx。

前兩者想必大家都相當熟悉,算是國內頂尖的區塊鏈安全機構。

慢霧科技成立於2018年,由一支擁有十多年一線網絡安全攻防實戰的團隊創建,團隊成員曾打造了擁有世界級影響力的安全工程,而且成立不到兩年就獲得了“國家高新技術企業”認定。

PeckShield也成⽴於2018年,由前360安全首席科學家蔣旭憲博士創辦, 核心團隊曾服務於360、Intel、Juniper、Alibaba 等全球知名廠商。團隊因發現多個關鍵安全漏洞而廣受業內關注,被etherscan.io 納入智能合約安全審計推薦名單,同時躋身“以太坊賞金獵人”全球排名Top 3。而且PeckShield還曾為Avalanche做過審計服務。

HashEx可能國內的用戶不太熟悉,是一家俄羅斯的審計公司,之前曾為Avalanche上頭部項目TraderJoe做過審計服務。

目前在跨鏈DEX板塊,除了HurricaneSwap外,還有O3Swap、1Sol Protocol、AnySwap等項目。在審計方面,O3Swap經過了Certik和慢霧科技的審計,AnySwap經過了Trail of Bits的審計,1Sol Protocol目前未有審計記錄,而其他與跨鏈相關的DeFi協議,多數僅經過一家審計公司的審計,一部分未審計。

所以,綜合來看,無論是在跨鏈DEX賽道、還是在跨鍊板塊甚至整體DeFi賽道上來看,都很少有項目會一下找三家安全機構來審計,可以說,HurricaneSwap的安全審計強度非常之高。

不少人認為安全審計公司的審計角度大同小異,所以找多家機構審計意義不大,但實際上不同的審計公司在審計中的側重點是不同的。尤其像HurricaneSwap,很多都是原創代碼,通過不同審計公司對靜態、動態結合以及不同側重點上的多方審計,可以發現更多潛藏的問題。

前慢霧高級安全研究員Yudan曾表示,很多項目方以為自己做了一次安全審計,就可以安枕無憂。但其實安全是一個動態的過程,攻防場景也在不斷的進化,成本也是不對等的,單靠某次的安全審計,難以覆蓋到未來業務場景的變化,而區塊鏈世界,正不缺這種變化。

HurricaneSwap構建了創新性的跨鏈機制,機製本身的複雜性也相對較高,並且其中存在大量的原創代碼,通過三家安全機構的深度審查,能夠確保HurricaneSwap新版本上線前盡可能地將風險排除。

事實上,從結果來說,安全公司的審計也是有效的。

據悉,目前HurricaneSwap的V2版本已經在根據三家安全審計公司所給出的審計報告進行進一步的優化。

3.平衡安全與發展

區塊鏈行業的發展十分迅速,行業熱點的輪動也非常快,對於HurricaneSwap來說,聘請三家公司進行全方位的安全審計,勢必要花費不菲的資金和大量的時間成本,而且這樣做可能會在激烈競爭的DeFi賽道失去先發優勢,所以值得嗎?

必須要承認的是,代碼安全審查是一項費時費力的繁雜工作,比如審計需要經過排期、安全審計、優化修改、再審計等步驟,多輪審計也意味著協議的很多功能將在短時間內無法上線。

任何項目的發展都是多數人的心血,作為承載用戶資金協議更是肩負著重要的責任。是選擇忽視安全隱患快速上線項目謀求先機,還是選擇消除安全隱患穩步發展?不同的項目方已經用行動給出答案。

對於前者,或許能夠獲得一時的領先,但後患無窮。對於後者,雖然起步晚,但卻能有更長遠的發展。

在協議上線前加強審計,是解決DeFi所面臨的安全問題的良方之一,同樣也是一個項目責任感和長期主義的直觀體現。

很顯然,HurricaneSwap選擇了後者,注重系統的安全性,而不單單是項目功能以及市場進度。

當然,就像上文提到的,在構建了足夠的安全壁壘後,項目本身發展的長遠性也能夠得到保障,而時間會對其競爭力做進一步的驗證。

DeFi作為去中心化世界最為重要的基建,具有去中心化、無需許可性以及可組合性等特點,當安全成為問題的時候,上述特點同樣會變成缺點而被無限放大。安全問題始終是懸在DeFi項目頭頂上的劍,而對安全的重視則是項目創新發展最牢固的後盾。

作為11月初在Avalanche生態內持幣地址數位列第一的協議,HurricaneSwap的創新和熱度已經被市場所見證。欲速則不達,構築安全壁壘的時間雖然會稍長一些,但由此打磨出的V2版本或許更加值得期待。