、OpenChain 和 Tenderly 都是不错的选择。
资金流追踪
资金流追踪是指链上追踪攻击者的初始资金和攻击获利,来定位相关的地址和实体。如果这些资产流向了中心化实体(例如,中心化交易所和其他机构级实体),可以联系执法机关帮助冻结资金。
Chainalysis、TRM Labs、ARKHAM、ELLIPTIC 和 MetaSleuth 是该领域的代表性公司/产品。例如,MetaSleuth 可以自动追踪跨链资金流,并提供丰富的地址标签。ARKHAM 建立了一个社区,协议方可以在此发布调查 Bounty 激励社区成员协助追踪攻击者的资金流向。
安全教育资源
知识是最好的防线。除了前面提到的安全供应商和产品外,还有一类角色对于 DeFi 安全至关重要:教育平台。这些平台提供的资源或资讯能够帮助 DeFi 从业者和用户深入理解安全知识、提高安全意识、培养安全技能,为推动 DeFi 安全发展提供了重要作用。我们对这些平台致以敬意,并分享以下几个值得关注的平台。
-
SΞCURΞUM:一个专注于以太坊安全的 Discord 社区,并且定期举办智能合约安全竞赛 “Secureum RACE”。 https://x.com/TheSecureum -
Security Incidents Dashboard:该平台汇总并实时更新损失超过十万美元的攻击事件,并提供损失金额、受影响的链、漏洞类型、攻击成因分析和 PoC 等详细信息。 https://app.blocksec.com/explorer/security-incidents -
Rekt:被称为 DeFi 新闻的暗网,提供对 DeFi 漏洞利用、黑客攻击和诈骗行为的深入分析。 https://rekt.news/ -
RugDoc:DeFi 安全和教育社区。该平台提供项目风险评估信息,还有一个介绍 DeFi 生态和技术的平台 RugDocWiKi。 https://rugdoc.io/ -
DeFiHackLabs:Web3 安全社区,致力于帮助 Web2 安全人才进入 Web3 领域,在全球拥有两千多成员和近两百位白帽黑客,DeFiHackLabs 的仓库提供了丰富的学习资源。 https://x.com/DeFiHackLabs -
Solodit:该平台收录了 Web3 审计公司过往的审计报告。 https://solodit.xyz/ -
Ethernaut:一款基于 Web3/Solidity 的游戏,玩家需要识别以太坊合约的漏洞,形式类似于 CTF。 https://ethernaut.openzeppelin.com/
结语
安全问题每年造成数十亿美元的损失,是 DeFi 生态长期面临的严重威胁。目前,大多数安全措施针对的是项目上线前的安全问题。然而,安全领域没有“银弹”。在协议发展的不同阶段,都应该有相应的措施来保障其安全,并且贯穿协议的全生命周期。
我们期待行业能够认识到项目上线后安全的重要性,采取措施监控协议风险并自动阻断攻击。
我们也希望 DeFi 生态能够形成安全第一的共识,从而更好地保护用户的资产安全。