比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

代碼漏洞、黑客、市場波動、套利者:DeFi風險管理的范式_DEFI

Author:

Time:1900/1/1 0:00:00

作者:NEST愛好者_九章天問

DeFi是指用智能合約實現的去中心化金融協議,包括資產交易、借貸、保險、各種衍生品等等;除信用服務外,現實中的金融服務都可以通過DeFi協議實現。這些協議都是去中心化、自動運轉的,沒有第三方機構在管理和維護,所以合約的風險控制便成為行業難題。

DeFi兼具了金融和科技雙重屬性,主要包含以下風險:

比特幣支持者發現Satoshi失傳已久的比特幣0.1版代碼庫:金色財經報道,2022年10月7日,一位名叫Jim Blasko的比特幣支持者聲稱,他發現了比特幣0.1版代碼庫的最早上傳。原始代碼被認為已經丟失了十多年,通過“小瀏覽器黑客”,Blasko 能夠找到丟失的0.1版原始數據和存儲在sourceforge.net上的文件。

十多年來,中本聰的 0.1 版代碼庫被認為丟失了。比特幣支持者Jim Blasko于 10 月 7 日通過 Facebook 帖子透露,通過瀏覽器黑客攻擊,他能夠抓取失傳已久的代碼。在解釋了一些歷史之后,Blasko 詳細說明了比特幣的創造者花了大約六個月的時間來挖掘發明者的 100 萬比特幣。[2022/10/10 12:51:01]

1.代碼風險。包括以太坊底層代碼風險,智能合約代碼風險,錢包代碼風險等。比如當年著名的DAO事件,近期的Uniswap漏洞攻擊問題,各類錢包被盜事件,都是代碼風險造成的。

Yuga Labs元宇宙項目Otherside高鑄幣成本或因未優化智能合約代碼導致:金色財經報道,據 cryptobriefing 披露,Yuga Labs元宇宙項目Otherside高鑄幣成本或因未優化智能合約代碼導致。Hungry Wolves NFT 聯合創始人、BYAC #3987 持有人 Adam Hollander 指出,Yuga Labs 將責任歸咎于以太坊,但其實他們應該優化合約,為滿足 KYC 要求的人提供鑄幣窗口,讓他們有足夠的時間和保證完成鑄幣。律動此前報道, Otherside在虛擬地塊 Otherdeed 銷售活動中的5.5萬枚NFT鑄造公消耗了60234 ETH(約合 1.65 億美元),而另外1.5萬筆失敗交易也導致用戶損失了價值超過440萬美元的ETH。[2022/5/2 2:45:40]

2.業務風險。主要是業務設計過程中留有漏洞,被人合理攻擊或操縱。比如當年FOMO3D被堵塞攻擊,又比如dZx錯誤使用了不抗攻擊的Uniswap預言機,被合理打壓價格盜取資產,這類人稱之為套利者。套利者對一個DeFi項目既有不利的一面,也有有利的一面。

安全公司:YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間,基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。并表示,此次事件可能和不久前的“pool0”事件相關,勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。

成都鏈安分析稱,合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes“account”+72小時。

綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。根據鏈上信息,我們找到了兩筆疑似攻擊的交易,兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[2020/8/25]

3.市場波動風險。DeFi在設計時缺少一些應對變量,導致市場極端情況發生出現穿倉。比如MakerDao在312的表現,主要就是市場極端波動風險造成的。

行情 | GitHub90天代碼提交排名:ZRX居首位:CryptoMiso數據顯示,在最新的過去90天GitHub代碼更新排名中,ZRX居首位,TRX回歸第二名。前五排名具體如下:ZRX(提交代碼1457次)、TRX(1107)、RHOC(1074)、INS(1047)、ZSC(992)。在統計的373個數字貨幣中,BTC排名21位(381);BCH排名75位(132);ETH排名43位(217);EOS排名16位(438)。[2018/9/9]

4.預言機風險。預言機提供全局變量,是大部分DeFi的基礎,如果預言機遭遇攻擊或者出現停擺,則下游DeFi會陷入崩潰。我們認為預言機將成為未來DeFi最重要的基礎設施,帶有任何中心化風險的預言機,最終都會走向消亡。

5.“技術代理”風險。主要是指對智能合約和區塊鏈不熟悉的普通用戶,使用了中心化團隊開發的“便利”交互工具,這一工具本身可能存在風險。

任何DeFi項目在設計時,都應將以上風險考慮進去。完整的流程不僅僅是文檔內做好提示,還需要一些風險管理手段。這些手段大部分以去中心化的方式進行,少量以社區治理的方式完成。這里我們提出一個DeFi風險管理框架,主要分為事前、事中和事后:

事前:主要是對合約代碼進行形式化驗證,包含弄清楚合約使用的方法、資源甚至是指令的邊界,以及這些方法、指令、資源在組合過程中的相關性影響,沒有經過論證的方法或沒有找到邊界的組合堅決使用。這不是傳統軟件開發測試的思維,這是一個接近數學論證的理念。好的合約開發應該建立在已經論證過的方法組合上。

事中:事中主要是停機設計和異常觸發設計,即合約對攻擊行為能進行識別與干預,包含自動停機設計和治理停機設計。而異常觸發是對合約運行過程中,超預期現象的一種控制管理;異常觸發一般是自動的,通過異常觸發修正一些風險管理變量。可以參見NEST預言機系統中的beta系數和防堵塞攻擊設置,這是行業內率先考慮停機及異常觸發的一個實踐。

事后:事后風險管理包含幾個部分,首先是代碼出現漏洞,需要進行修正,一般通過鏈上治理,即DAO治理的方式。其次是治理資產本身遭遇攻擊,此時需要進行合約分叉!這是一個行業忽視的盲點。其次是通過保險機制,對合約可能的風險進行保險,從而降低損失。最后,社區可以通過鏈上數據的追蹤,與各類機構合作追蹤損失。關于鏈上治理和合約分叉,可以參見NEST的設計,這是一個創新。

以上是我們對DeFi安全的一個系統框架,僅供大家參考。目前行業內對安全的理解,過于早期,也過于傳統;如果不能轉變思維,將邊界、完備性、一致性、形式化驗證、停機、異常觸發、治理、分叉等新的思想引入,是不能適應未來發展的。

Tags:EFIDEFIDEF比特幣DEFI100Farm Tokendefi幣種DeFi Degen Land比特幣交易網

Gate交易所
說透加密資產估值:解讀熱門加密貨幣估值模型特性與局限_BNB

撰文:郝凱,就職于?HashKeyCapitalResearch審校:鄒傳偉,萬向區塊鏈、PlatON首席經濟學家編者注:原標題為《說透加密資產估值:聽Hashkey解讀熱門加密貨幣估值模型特性.

1900/1/1 0:00:00
2020數字中國創新大賽—區塊鏈賽道等你來戰!_ETH

數字中國是十九大提出的新時代國家信息化發展的新戰略。數字中國創新大賽一直以“培育數字經濟新動能,助推數字中國新發展”為主題,匯聚政、產、學、研多方面優勢力量,推動技術創新和產業應用,為數字經濟發.

1900/1/1 0:00:00
100天上線17家交易所,一文告訴你公鏈新秀元界DNA為何如此受寵?_LEX

5月14日,元界DNA上線全球知名數字貨幣交易平臺B網,已上線USDT/DNA、BTC/DNA交易對,將于香港時間5月15日凌晨1點開放交易。這是元界DNA上線的第18家交易平臺.

1900/1/1 0:00:00
北上廣深區塊鏈政策比較:深圳為何這么不重視_人工智能

文丨互鏈脈搏·金走車 未經授權,不得轉載! 區塊鏈公司注冊量,深圳僅次于廣州排名全國第二;區塊鏈申請專利數,深圳僅次于北京排名全國第二;區塊鏈用人需求量.

1900/1/1 0:00:00
四川涼山落地5個挖礦項目用于水電消納,涼山日報頭版報道_區塊鏈

吳說區塊鏈獲悉,2月份以來,四川涼山水電消納示范區已落地5個大數據項目,應全為比特幣礦場項目。《涼山日報》頭版對此進行了報道.

1900/1/1 0:00:00
減半在即,比特幣是否能帶領市場再創新高_BCH

上期回顧 BTC:BTC在$10,000到$10,500是重要的壓力區間,若能繼續放量突破$10,500,則是市場牛熊轉換的分水嶺。5月8日BTC價格測試$10,000壓力區間.

1900/1/1 0:00:00
ads