OLE:簡析Solana上的借貸平臺安全性_Strains Finance

概述

一直以來，安全始終是所有金融平臺的重中之重。在無法保障資金安全的情況下，高收益都是一張張的空頭支票。這一點對于去中心化借貸平臺來說也是一樣的。回顧過去的一年，不少的借貸平臺都發生過安全事故，給用戶帶來了慘重的損失。

1.Venus大額清算事件

2021年5月18日，作為BSC鏈上最大的借貸平臺，Venus清算了超過2百萬的XVS(Venus平臺幣)。這直接導致了大量用戶遭受慘重的損失和清算，壞賬總額高達一億美元。此次安全事故的發生是因為XVS的幣價遭到了大戶的惡意拉升，用價格虛高的XVS為抵押，借出了大量的BTC和ETH。XVS的流動性相對其他主流幣而言較低，被惡意操控的風險更大。此次事故與Venus平臺收錄流動性較差的幣種有著直接的關系，平臺對于潛在風險的忽視也是這次安全事故發生的原因之一。

Zeus Investments成立新團隊擬涉足區塊鏈和加密貨幣基金市場:金色財經報道，韓國戰略風險投資公司 Zeus Investments 宣布已組建一支新的專業團隊擬涉足區塊鏈和加密貨幣基金市場，該團隊由 Emily Roberts 領導，將密切關注區塊鏈和加密貨幣市場的最新發展和趨勢，為客戶提供多元化的投資選擇，并且通過研究和分析對一些行業內的新興趨勢、有前途的項目、創新型初創公司進行戰略投資。（雅虎財經）[2023/5/24 15:23:02]

2.Cream閃電貸攻擊

2021年10月27日，CreamFinance在推特上公開承認，他們再次遭受了閃電貸襲擊，總損失金額高達1.3億美元。這已經是該平臺本年度的第三次安全事故，前兩次分別發生在2021年的2月和8月，兩次分別損失了近0.4億和近0.3億美元。CreamFinance本年度的三次安全事故均是遭受的閃電貸襲擊，這是一種近兩年非常常見的針對借貸平臺的黑客攻擊手段。

Opside Pre-Alpha測試網：POW 礦工和開發者水龍頭白名單現已開放申請:5月8日，據官方消息，去中心化 ZK-RaaS 平臺 Opside 宣布開放 POW 礦工和開發者水龍頭白名單的申請。此次開放的 PoW 和開發者白名單預申請活動將于北京時間 2023 年 5 月 8 日 18:00 正式對外，開啟后 PoW 礦工和開發者均可前往 Opside 官網水龍頭申請白名單，符合條件的用戶后期可訪問 Opside Discord 指定的 Faucet 頻道，第一時間領取 Opside 測試 Token。

Opside 提供完整的 ZKRollup 服務，包括算力，DA 等底層基礎設施的支持，預計其測試網將于 5 月中下旬正式上線。[2023/5/8 14:50:20]

回顧以上的安全事故，我們不難得出結論，借貸平臺的安全性主要取決于團隊對于風險的控制以及對于潛在風險的審計和測試。

馬斯克已成立一家名為X.AI的公司，正在討論投資的相關事宜:根據美國內華達州的商業文檔，馬斯克于3月9日成立了一家名為X.AI的公司，并將自己列為公司唯一的董事，其秘書是管理馬斯克財富的前摩根士丹利銀行家JaredBirchall。《華爾街日報》稱，X.AI已授權為私人持有的公司出售1億股股份。一位了解情況的人士表示，馬斯克與SpaceX和特斯拉的一些投資者進行了溝通，討論向新公司投資的相關事宜。[2023/4/17 14:08:44]

本文將會針對Solana公鏈上的借貸平臺，進行一系列的安全性分析。

Solana公鏈上的主要借貸平臺匯總

表1.Solana鏈上的主流借貸平臺

是否審計

審計是智能合約安全性的第一道防線，也是對平臺進行安全性分析時的一個重要指標。

CZ：行業復蘇基金或多達20億美元:11月17日消息，TechCrunch記者Jacquelyn Melinek在個人社交媒體表示，Binance創始人CZ表示一直在對行業復蘇基金進行討論，其金額可能多達 20 億美元。此前消息，Binance 將成立行業復蘇基金，幫助優質項目度過流動性危機。[2022/11/18 13:19:10]

審計的作用就像是一個監管的第三方，讓所有利益相關者可以相信平臺運作過程中的透明度，以及平臺是否遵循了目前行業標準的預期。隨著Defi行業的不斷發展和成熟，監管的標準和要求也會更加的規范化，在這個過程中，審計將繼續發揮關鍵的作用。

表2總結了上述所有平臺的審計公司。

在上述的六個平臺中，JetProtocol是目前唯一一個在未經審計的主網上運行的平臺。盡管他們的代碼已經經過了Solana基金會所提供的外部白帽子開發團隊的審查，對此還是建議用戶保持謹慎。

江蘇一法院判決比特幣“礦機”租賃合同無效:6月1日消息，近日，江蘇省連云港市經濟技術開發區人民法院審理了一起比特幣“礦機”租賃合同糾紛案件。法院判決相關合同無效，駁回原告要求返還租金和比特幣收益的訴訟請求。

法院審理認為，非法債務不受法律保護。該案所涉交易實為通過專用“礦機”計算生產虛擬貨幣的“挖礦”活動。此類“挖礦”活動對電力資源造成浪費大，不符合我國“雙碳”目標要求，有損社會公共利益。并且比特幣等虛擬貨幣不是法定貨幣，無實際的價值支撐，其生產、交易環節衍生諸多風險。

此前3月份消息，北京朝陽法院曾公開開庭審理并宣判了一起因比特幣“挖礦”遲遲未見收益而引發的服務合同糾紛，法院一審認定合同無效，判決駁回原告要求支付巨額比特幣收益的訴訟請求。（現代快報）[2022/6/1 3:55:24]

Solen,Apricot,Larix以及Soda都經過了知名知名智能合約審計公司的審計。

其中Soda的審計方Certik是Binance的正式合作或盤，并且得到了包括BinanceLabs,Lightspeed,MatrixPartners,andDHVC在內的知名投資者的支持。

Larix的審計方慢霧科技是目前在區塊鏈行業領先的安全性審計公司，是EOS,Cosmos,Vechain等頂級區塊鏈項目的合作伙伴。慢霧以其強大的EOS智能合約防火墻項目FireWall.X而聞名。

支持幣種

縱觀2021年的借貸平臺安全事故，尤其是以Venus5月份的大額清算事故為例，支持流動性較低的幣種的風險顯而易見。此類幣的價格極其容易被心懷不軌的人惡意操控，隨即借空平臺資產，從而導致大量的壞賬。借貸平臺在上新幣種的時候應該意識到此類風險，進行風險管理并盡最大可能保護其用戶不會成為這些惡意攻擊的受害者，這也是借貸平臺應負的責任。Venus的大額清算事故以慘痛的代價給我們上了這一課。

在本文所分析的六個借貸平臺中，Larix,Jet和Soda僅支持了不易受到市場操控影響的主流幣，大大減小了該類事故發生的風險。其余的三個平臺，Solend支持了SER,MER,SLND(Solend平臺幣），Apricot支持了ORCA，Port支持了MER、FIDA和自己的平臺幣PORT。以上均是流動性相對較低的幣種，其價格存在很大的被操縱空間，為這些平臺的安全增加了一層不確定性。

代碼開源

在評估借貸平臺的安全性時，代碼是否開源是另一個重要的指標。開源意味著所有的代碼都是公開透明的，每個人都有訪問權限。開源的代碼會為平臺增加安全性主要是因為以下幾點。

?由于開源代碼的透明性，更多雙眼睛可以幫助平臺一起尋找并維護代碼

?開源代碼意味著平臺在解決安全隱患時將會更有效率，極高的公眾可見性為解決漏洞增加了緊迫性

?開源代碼意味著開發人員無法在代碼中鑲嵌惡意指令

在本文今天所分析的所有平臺中，只有Larix和Solend在官網上明確表示他們的代碼是開源的，其余平臺的代碼是否開源或部分開源尚不得而知。

預言機

借貸項目最主要的風險來自于兩個方面，第一是私鑰泄露，第二就是報價出錯。其中報價出錯除了支持資產的價格被惡意操縱外，還有很大的風險是來自于預言機的報價錯誤。Solend就曾因為mSOL報價錯誤，導致不少用戶被錯誤清算，損失資產的情況。而Apricot官方近日也緊急下架了LP抵押功能，并承認了其LP計價方式有誤，但還是導致部分用戶被錯誤清算損失了資金。目前這幾家借貸采用的主要還是Pyth的預言機方案，ChainLink還未支持Solana資產的報價。但比較合理的還是中心化和去中心化交易所，以及預言機喂價相互校驗的喂價機制。

漏洞賞金計劃

漏洞賞金是一個為借貸平臺增加額外安全性的機制，為發現漏洞并上報給平臺方的人提供豐厚的賞金，該計劃鼓勵社區和白帽子黑客對智能合同的安全性進行審計。Solend,Larix和Port都有明確的漏洞賞金計劃。2021年11月，Solend和Larix聯手向發現并上報了SPL代幣借貸庫漏洞的Neodyme團隊提供了豐厚的賞金。

總結

在金融中，有一個理論叫做’不可能三角’理論，即高流動性，低風險和高收益是無法同時滿足的。這個理論同樣適用于加密領域的投資，因此，與其不停的追逐更高的收益，我們應該停下來花一點時間來思考我們資產的安全性。畢竟，如果賺了利息，但卻丟了本金，那可就真是撿了芝麻丟了西瓜。切記，挖礦千萬條，安全第一條。

Tags：SOLOLENCESIDSOL幣未來能夠漲到多少OLEA價格Strains FinanceSIDUS

火幣下載