遇到带有漏洞的defi合同的概率有多大？审计后被攻击的概率有多大？

在新皇冠中，由于核心原因，美国10万个小编辑的确诊病例不得不飞出去。出门前，我担心自己会不会被感染，但飞机的颠簸声把我吓坏了。

新冠状病毒肺炎的感染概率很低，但新冠状病毒肺炎的感染概率并不高。但它仍然记得四个字：“墨菲定律”。

随着现代科技的发展，锁定在区块链领域的资产越来越庞大。随着区块链的发展，隐藏在计算机背后的危机正呈现出其凶猛的面貌。

在智能合约中，任何OKEX交易所小错误都可能给项目或投资者造成无法弥补的损失。

针对此警告，certik安全团队使用certik Skynet系统（Skynet）监测和分析北京时间2020年12月4日0:00至24:00新加入Uniswap的代币智能合约。

在本分析期间，共产生29个智能合约代币项目。

经过天网对certik的分析，共发现16个智能合约存在漏洞或缺陷！

约55%的智能合约项目或多或少存在漏洞或缺陷，约10%的智能合约项目存在严重漏洞，45%的智能合约项目存在业**力过大、权力中心化度过高的缺陷。

本合同中的项目名称和地址如下：

结果如下：

虽然很难通过一天的情况来估计智能合约在所有时间范围内的安全状况，但我们可以通过一眼就知道整个情况。

三个相对重要的漏洞分析如下：

诺斯特罗莫金融（NSTR）

图1:burnfrom（）函数

图1中的burnfrom函数受owneron修饰符的限制，只允许项目经理执行它。此功能的内部逻辑实现允许您将account、balance和Suract value的值设置为“Total supp”，并可任意修改余额值。

PowerPool.金融（CVP）

图2:powerpoolttl合同中的回退功能

图2显示了powerpoolttl契约的回退功能。当外部用户调用智能合约时，如果在调用中没有调用合约中的任何OKEX交易所函数，或者代币只转移到合约上，则会调用回退函数。第70行的逻辑表明，当调用fallback函数时，调用中转移到contract的token将直接转移到teamaddress的地址。

omphalos.co公司（OMPL）

在这个项目中，可以通过执行transferfrom（）函数来传输代币。根据图3中transferfrom（）函数的定义，需要在第211行执行getfee函数，以确定每个代币传输要扣除的费用。从图3中getfee（）函数的定义可以看出，确定成本的逻辑依赖于第241行管理费（）函数的定义。当前管理费（）函数的逻辑定义根据存储在manager变量中的地址值进行更改。存储在当前管理器变量中的地址值如图6所示。

但是，manager变量中存储的address值所指向的智能合约没有在ETHerscan上进行身份验证，因此无法知道智能合约的源代码，然后就无法知道它管理费（）函数的定义。

因为管理费（）函数背后的逻辑是未知的，因此项目所有者可以管理费（）函数返回值法，调整每次代币转移、恶意操作等代价。

图3:transferfrom（）函数

图4:standardtoken合同中的getfee（）函数；

图5：管理智能合约界面和getfee功能界面

图6：存储在当前管理器变量中的地址值

图7:current manager变量存储的address值指向的智能合约

大家都知道，2020年最**的一个例子是DFI项目yam，于北京时间8月12日3:00启动，尽管该项目的博客上警告说没有对其合同进行审计，但疯狂的高产农民在不到一个小时的时间里就为该项目存入了7600万美元。

后期，任志刚因为一个小漏洞在短短36小时内损失数亿元，也就不足为奇了。

安全审计现在已成为高质量DeFi项目的标准。目前，DeFi项目的热潮有增无减。为了抓住热点和机遇，很多项目没有经过严格的测试和审核就匆匆上线。

在这些项目中，大多数漏洞都无法通过常用的测试方法和工具发现。只有找专业的审计专家来证明这个数学模，才能找到漏洞。形式化验证是唯一能够产生可信数学证明的软件验证方法。

因此，使用基于形式化验证方法的区块链检测工具来验证项目中的安全漏洞应该是每个项目进入链前的必要步骤。

每个项目都会因为一个非常小的代码漏洞而受到攻击或丢失资产。

在计算机领域，每1000行代码有1-25个错误。换言之，概率在千分之一（0.1%）到2.5%（2.5%）之间。

那些已经审核通过的项目呢？

Certik选择了三家披露审计信息的安全公司进行数据统计。

统计了三家公司共377个审计项目（含重复审计项目）。

其中有8个项目至少已经过一次审计，目前仍在遭受攻击。

受到攻击的8个审计项目共损失6900万美元。

根据这三家审计公司的数据，审计后黑客攻击的比例为：8/377=2.12%

代码中出现错误的概率和项目通过审核但仍然受到攻击的概率约为2%。下面是一个简单的例子

根据squaretrade的数据，在美国，仅仅一小时内就有5761块屏幕死亡。假设每个美国人都有一部手机，而且没有反复丢同一部手机的习惯。所以，在50天内，一个美国人有2%的机会打破手机屏幕。

但手机的使用寿命肯定超过50天。如果用了一年呢？高达15%！三年半以上，概率超过50%！

这证实了上面的墨菲定律——小概率事件的必然性：如果时基足够长，坏事总会降临到你身上。

发生空难的概率是五百万分之一（0.00002%）。

相比之下，代码漏洞的概率和项目通过审核但仍然受到攻击的概率是飞机失事概率的12.5万倍！

如果你害怕飞机颠簸时发生坠机事故，不妨用10万倍以上的担心来保护自己的项目。

经过比较，您是否仍然认为该项目不需要额外的保护？