DEFI:警惕！DeFi項目的六大風險要點梳理_DEFI

DeFi指區塊鏈內用智能合約構建的開放式、去中心化的金融協議，包括借貸、交易和投融資等各方向。DeFi領域自從誕生起，一直以試驗和創新而著稱，但同時在其各個環節也伴隨著或大或小的風險。經過梳理，目前DeFi項目的主要風險點在以下幾個方面：

智能合約代碼安全性風險

安全審計報告是規避智能合約風險的第一道關口，也是目前唯一能前置規避智能合約風險的措施。DeFi項目最需要的就是安全審計，可以說沒有經過審計的項目風險巨大。

CertiK：Balancer遭黑客攻擊損失約90萬人民幣，其他DeFi合約需警惕:6月29日北京時間凌晨2點03分，CertiK天網系統檢查到在區塊10355807處Balancer DeFi合約異常。此次攻擊約獲利90萬人民幣。

安全研究員迅速介入調查，攻擊重現如下：

階段0：攻擊者從dYdX閃電貸處借款，獲得初始WETH資金。

階段1：攻擊者使用WETH將Balancer中的STA盡可能買空，最大程度提高STA價格。

階段2：攻擊者用獲得的STA多次買回WETH。每一次都用最小量的STA（數值為1e-18）進行購買，并利用Balancer內部漏洞函數gulp()，鎖定STA的數目，控制STA對WETH的價格。重復多次該種買回操作，直到將Balancer中的WETH取空。

階段3：換一種代幣，用STA重復階段2直到取空該種代幣。階段三重復了三次，一共有4種代幣受到了損失WETH，WBTC, LINK和SNX。

階段4：償還dYdX閃電貸，離場。

CertiK判斷攻擊者是有經驗的黑客團隊在充分準備后的一次攻擊嘗試，有很大可能還會繼續攻擊其他DeFi合約。[2020/6/30]

智能合約AdminKey引入風險

動態 | 安全公司預警：用戶警惕新型釣魚盜幣方式:慢霧安全團隊捕獲到針對數字貨幣行業供應鏈攻擊的一種新方式，大概過程：攻擊者劫持某知名權威的數字貨幣行情/導航站，里面的主流交易所網址都被替換為精心準備的釣魚網站，而許多用戶喜歡通過這些知名入口來訪問交易所網站，但這時他們上的都是假的。整個攻擊過程，包括雙因素認證登錄、掛單交易、充提都是無感的，盜幣于無形。[2019/8/20]

一個負責任的運營方應有義務主動披露AdminKey權限，信息包括AdminKey的權限范圍、是否有延時生效機制，以及項目運營方本身的信譽程度。

分析 | 低迷行情中需警惕歸零項目的“回光返照”:最近幣市行情低位徘徊，整體走勢平靜，但是不少代幣卻在歸零的道路上持續前進。更讓人意外的是，根據以太坊鏈上的數據，Electrify.Asia和0xcert等歸零幣的代幣持有人數卻出現大幅度增長。第三方大數據評級機構RatingToken提醒投資者，在投資的時候不要被低價吸引，要更多關注項目的團隊實力、代碼交付和應用落地等基本面信息。據RatingToken數據顯示，所有已上所且持有地址數超過1000的以太坊代幣中，最近一個月代幣持倉地址數增長幅度前三的是：Electrify.Asia(1326.26%)，0xcert(271.98%)和Ubex(62.92%)。同時，代幣持有人數下降幅度前三的為CyberMusic(-16.99%)，Dragonchain(-14.15%)和Tradeio(-12.59%)。點擊原文鏈接查看更多更詳細信息。[2018/11/6]

持有資產本身風險

持有資產本身具有市場風險、資產被代幣合約本身凍結或沒收風險。

DeFi項目組合性風險

目前的DeFi項目因其開放性使得在資產流動性方面極大優化，但在借貸協議中抵押與流動性供應上存在著超額抵押和反常激勵的機制，各DeFi項目間又相互嵌套相互組合，一旦其中一環抵押違約或部件被破壞，則導致整個系統的不穩定甚至崩潰。

智能合約平臺風險

智能合約漏洞和編寫錯誤出現的過程具有抗時間性，一開始項目審計時并無漏洞的智能合約，在組合或部署其他智能合約時暴露出漏洞，這一點說明經歷過較長時間的項目安全性較高。

用戶自身私鑰管理的風險

私鑰丟失或被盜是最常見的用戶自身風險之一，可通過學習保管私鑰和使用智能錢包來規避私鑰管理的風險。

理論上講，新興項目在未經過安全審計和實踐檢驗之前都有極大的風險，在進入市場前要了解項目本身外，也要額外注意風險所在。再次提醒廣大投資者，DeFi領域的新項目存在一定風險，請謹慎投資！

非小號團隊

2020年9月9日

Tags：DEFIEFIDEFCERDefilancer token99DEFIxDEF2價格Animal Concerts

芝麻開門交易所下載