Quantstamp コミュニティ・アップデート - 2020年6月

Quantstamp Announcements
July 6, 2020

Security Incidents

Multiple security incidents happened in June, affecting various DeFi projects. The most recent incident involved decentralized exchange Balancer. The mechanics of a deflationary token - STA - were taken advantage of to empty a Balancer pool containing that token. This attack resulted in over $500,000 stolen. You can read more about the incident here

Other pools were not affected. This incident was similar to the imBTC attack on Uniswap where a non-ERC20-compliant token resulted in a pool being drained for $300,000. There too, a specific pool was drained, but pools not containing the vulnerable token were not affected.

Argent is a popular smart contract wallet. A bug was found that affected 61 wallets running an older version of the wallet, and which had not added “Guardians”. It should be noted that all newer versions of Argent require users to add Guardians.

Argent quickly addressed the issue. It patched the bug(found by OpenZeppelin), updated the wallet, contacted affected users, and initiated precautionary measures on the affected wallets.

We applaud Argent’s quick and prudent response on this issue to protect their users.

A security vulnerability was found in Bancor’s v0.6 contracts which were pushed to mainnet on June 16, 2020. This vulnerability would have allowed funds to be drained. Bancor learned about the vulnerability on June 18 and executed it themselves in a white hat attack to protect user funds. A new contract was then published so new users would not be vulnerable.

If you interacted with Bancor from June 16-18, you should check your wallet for approvals from the Bancor contract and revoke them. You can learn how to do so in this article from Bancor.

A vulnerability was in DeFiSaver’s Exchange. The team immediately performed a white hat attack to protect user funds and disabled the Exchange. The rest of DeFiSaver’s functionality such as MakerDAO and Compound Dashboards, and Automation, were unaffected. 

If you interacted with DeFiSaver’s Exchange, you should check your wallet for approvals from their contract and revoke them. Find out details here.

DeFi is a new space. Whether you’re using a decentralized exchange, borrowing funds, or yield farming, make sure you understand and manage your risk. Only using audited projects is a good starting point. Also try to look for teams that take security seriously, using measures such as strong bug bounty programs, multiple audits, or smart contract coverage.

World Economic Forum Anti-Corruption Initiative


We’ve been advising the World Economic Forum on blockchain solutions for anti-corruption. Government procurement around the world. The WEF has partnered with the Office of the Inspector General of Colombia and the Inter-American Development Bank to create a public, permissionless Ethereum-based blockchain procurement system. We provided technical advice to engineers at the National University of Columbias as they implemented this solution. 

Read more in this CoinTelegraph article about the project.

Ethereum 2.0



Our audit of Ethereum 2.0 as implemented by Prysmatic Lab’s Prysm client is nearing completion. If you missed it, we’ve been sharing insights about Ethereum 2.0’s progress, roadmap, and staking.

Media Coverage

We are currently auditing Ethereum 2.0. Lead auditor, Senior Research Engineer Kacper Bak, went on The MikoBits Show recently to talk about Ethereum 2.0. Miko asks great questions about the Ethereum 2.0 roadmap, staking, scalability, and more, while Kacper gives valuable insights he’s come across while looking at the code.

DeFi is in the spotlight right now, but security is a concern. In this Forbes article, CEO Richard Ma explains the importance of security for this emerging application. 

Central Bank Digital Currencies

Central Banks around the world are developing and preparing digital currencies. While they are inspired by cryptocurrencies, Central Bank Digital Currencies(CBDCs) have different goals and use cases in mind. Our CEO Richard Ma explains what CBDCs will look like in this Forbes Tech Council post

Hack Money Finalist

Our research engineer Martinet Lee was a Finalist at the Hack Money hackathon. His project, GodModeForTest, allows developers to do ANYTHING on their local blockchain. This is made possible through a modified Ganache. 

Check out him pitch the project here, and take a look at his code in the github repo here.

Blockstack Hackathon - Judging 

We’re helping judge Blockstack’s Clarity hackathon. Blockstack's Clarity Hackathon is a two-pronged virtual hackathon. Developers work on both applications and tooling for Clarity.

Clarity is Blockstack's smart contract language designed from the ground up to reduce bugs and behave predictably. It provides native functions that make it easy for developers to create complex smart contracts while protecting users at every step. Clarity provides precise tools for enabling on-chain logic while reducing unintentional errors.

Upcoming

We’re excited to be speaking at Unitize! Featuring Vitalik Buterin, CZ, SEC Commisioner Hester Pierce, and more, it’s organized by San Francisco Blockchain Week and Blockshow. Unitize is happening July 6-10 and you can register here: https://bit.ly/2Z8A7Tp

Keep up with Quantstamp

Follow us on LinkedIn, like us on Facebook, check out our Github, follow us out on Twitter, join the conversation on Reddit, subscribe to our Youtube Channel, or sign up for our newsletter

Note: This update includes information and forward-looking statements about upcoming events and concepts under continuing development. Schedules, features, and functionality are subject to change or cancellation at any time and you are not to place undue reliance on this information or any forward-looking statements.

Quantstamp お 知らせ
2020年7月6日

セキュリティインシデント

6月に複数のセキュリティインシデントが発生し、さまざまなDeFiプロジェクトに影響を与えました。最も最近のインシデントは、分散型取引所Balancerに関係していました。デフレトークンであるSTAの仕組みを利用して、そのトークンを含むバランサーのプールを空にしました。この攻撃により、50万ドル以上が盗まれる結果となりました。この事件についての詳細はこちらで読むことができます。 

他のプールには影響はありませんでした。この事件はUniswapに対するimBTC攻撃と似ており、ERC20に準拠していないトークンによって30万ドルのプールが流出しました。こちらも特定のプールが流出しましたが、脆弱性のあるトークンが含まれていないプールは影響を受けませんでした。

スマートコントラクトウォレットとして人気の高い「Argent」。ガーディアンを追加していない古いバージョンのウォレット61個に影響を与えるバグが発見されました。新しいバージョンのArgentでは、ガーディアンを追加する必要があることに注意が必要です。

Argentは、この問題に迅速に対応しました。OpenZeppelinによって発見されたバグの修正、ウォレットの更新、影響を受けたユーザーへの連絡、影響を受けたウォレットへの予防措置を実施しました。

この問題に対するArgentの迅速かつ慎重な対応を称賛します。

2020年6月16日にメインネットにプッシュされたBancorのv0.6契約にセキュリティの脆弱性が発見されました。この脆弱性により、資金が流出してしまう可能性があった。Bancorは6月18日にこの脆弱性を知り、ユーザーの資金を守るためにホワイトハット攻撃を自ら実行しました。その後、新しい契約書が公開されたため、新規ユーザーは脆弱性を回避することができました。

6月16日から18日にかけてBancorとやりとりをした場合は、Bancorの契約書から承認を得ているかどうかをウォレットで確認し、承認を取り消す必要があります。その方法はBancorのこちらの記事で紹介されています。

DeFiSaverのExchangeに脆弱性がありました。チームは直ちにホワイトハット攻撃を実行してユーザーの資金を保護し、Exchangeを無効化しました。MakerDAOや複合ダッシュボード、自動化など、DeFiSaverの残りの機能は影響を受けませんでした。 

DeFiSaverの取引所とやりとりした場合は、契約からの承認があるかどうかお財布を確認して取り消すようにしましょう。詳細はこちらをご覧ください。

DeFiは新しい空間です。分散型取引所を利用するにしても、資金を借りるにしても、利回り農業をするにしても、自分のリスクを理解して管理するようにしましょう。監査済みのプロジェクトのみを利用するのが良い出発点です。また、強力なバグバウンティプログラム、複数の監査、スマートコントラクトカバレッジなどの対策を用いて、セキュリティに真剣に取り組んでいるチームを探すようにしましょう。

世界経済フォーラム反汚職イニシアチブ


世界経済フォーラムに腐敗防止のための解決ブロックチェーン 策をアドバイスしてきました。世界中の政府調達。WEFは、コロンビア監察官事務所および米州開発銀行と提携し、許可のない公共のEthereumブロックチェーン ベースの調達システムを構築しました。私たちは、コロンビア国立大学のエンジニアがこのソリューションを実装する際に、技術的なアドバイスを提供しました。 

このプロジェクトについては、こちらのCoinTelegraphの記事をご覧ください。

イーサリアム2.0



Prysmatic LabのPrysmクライアントで実装されたEthereum 2.0の監査が完了に近づいています。見逃してしまった方のために、Ethereum 2.0の進捗状況、ロードマップ、ステークスについての洞察を共有してきました。

メディア掲載

現在、Ethereum 2.0の監査を行っています。リード・オーディットであるシニア・リサーチ・エンジニアのKacper Bakが先日The MikoBits Showに出演し、Ethereum 2.0について語りました。MikoはEthereum 2.0のロードマップ、ステーク、スケーラビリティなどについて素晴らしい質問をしており、Kacperはコードを見ている間に出くわした貴重な洞察を提供しています。

DeFiは今注目されているが、セキュリティが懸念されている。このForbesの記事では、CEOのリチャード・マー氏が、この新興アプリケーションにおけるセキュリティの重要性を説明しています。

中央銀行デジタル通貨

世界中の中央銀行がデジタル通貨を開発し、準備しています。暗号通貨に触発されているとはいえ、中央銀行デジタル通貨(CBDC)は異なる目標とユースケースを念頭に置いています。弊社CEOのリチャード・マーは、このForbes Tech Councilの投稿でCBDCがどのようなものになるかを説明しています。

ハックマネーファイナリスト

当社のリサーチエンジニアである Martinet Lee は、Hack Money ハッカソンでファイナリストになりました。彼のプロジェクトである GodModeForTest は、開発者がローカルの ブロックチェーン.NET で何でもできるようにします。これは修正された Ganache によって可能になりました。 

彼のプロジェクトのピッチをここでチェックして、彼のコードをここのgithub repoで見てみてください。

ブロックスタックハッカソン - 審査 

BlockstackのClarityハッカソンの審査を手伝っています。BlockstackのClarityハッカソンは、2本立てのバーチャルハッカソンです。開発者は、Clarityのアプリケーションとツールの両方に取り組みます。

Clarityは、Blockstackのスマートコントラクト言語で、バグを減らし、予測可能な動作を実現するようにゼロから設計されています。Clarityは、開発者が複雑なスマートコントラクトを簡単に作成できるようにするネイティブ機能を提供し、ユーザーをあらゆる段階で保護します。クラリティは、意図しないエラーを減らしながら、オンチェーンロジックを可能にするための正確なツールを提供します。

今後の予定

ユニタイズで講演できることに興奮しています。Vitalik Buterin, CZ, SEC Commisioner Hester Pierceなどが出演するこのイベントは、San Francisco ブロックチェーン WeekとBlockshowが主催しています。Unitizeは7月6日から10日まで開催されており、こちらから登録できます: https://bit.ly/2Z8A7Tp

に追いつく Quantstamp

LinkedInでフォローしたり、Facebookで「いいね!」したり、Githubをチェックしたり、Twitterでフォローしたり、Redditで会話に参加したり、Youtubeチャンネルを購読したり、ニュースレターを購読したりしてください。 

注: この更新プログラムには、今後の開発中のイベントおよび概念に関する情報と将来の見通しに関する記述が含まれています。スケジュール、機能、機能はいつでも変更またはキャンセルされる可能性があり、この情報または将来の見通しに関する記述に過度の信頼を置いてはなりません。

August 4, 2020

Quantstamp Community Update - July 2020

Here’s what happened at Quantstamp in July:

July 24, 2020

Yearn.Finance Security Review

Quantstamp completed its informal code review of Yearn Finance. Yearn Finance provides yield-maximizing opportunities for liquidity providers, and is intended to be governed in a decentralized manner. We performed this review as a service to the community. Findings are divided by contract below.

July 21, 2020

Risks on the Farm - How to Yield Farm Safely

“Yield Farming” is on the rise. Users are making money simply by providing liquidity, or in some cases, even just for using their favorite DeFi projects. But is it really "free money? Maybe not. Users need to be aware of the Risks on the Farm.

July 16, 2020

Ethereum 2.0 Moves Closer to Launch with Quantstamp Audit of Prysm

Quantstamp recently has completed its audit of Ethereum 2.0 as implemented by Prysmatic Labs.