作者:NEST愛好者_九章天問
DeFi是指用智能合約實現的去中心化金融協議,包括資產交易、借貸、保險、各種衍生品等等;除信用服務外,現實中的金融服務都可以通過DeFi協議實現。這些協議都是去中心化、自動運轉的,沒有第三方機構在管理和維護,所以合約的風險控制便成為行業難題。
DeFi兼具了金融和科技雙重屬性,主要包含以下風險:
荷蘭監管機構:開發人員可能會因創建用于犯罪的代碼而受到懲罰:金色財經報道,據荷蘭的財政信息和調查局(FIOD)向DeFi教育基金提供的聲明,由該組織于8月17日發布,聲明稱:“不禁止開發工具,但如果創建工具的唯一目的是實施犯罪行為,例如隱藏犯罪資金流動,那么在線/提供開發的工具可能會受到懲罰。”
此前FIOD聲明稱,荷蘭當局于8月8日逮捕了一名涉嫌參與Tornado Cash的開發者,這是在美國政府制裁加密貨幣混合服務Tornado Cash的兩天后。[2022/8/18 12:32:15]
1.代碼風險。包括以太坊底層代碼風險,智能合約代碼風險,錢包代碼風險等。比如當年著名的DAO事件,近期的Uniswap漏洞攻擊問題,各類錢包被盜事件,都是代碼風險造成的。
跨鏈協議pNetwork因代碼漏洞遭攻擊,損失約1308萬美元:9月20日消息,跨鏈協議pNetwork發推稱攻擊者利用其代碼漏洞攻擊了幣安智能鏈(BSC)上的pBTC,攻擊者竊取了277枚BTC(約1308萬美元)。pNetwork表示,其他跨鏈橋沒有受到影響,pNetwork中的其他資金是安全的。跨鏈橋目前正在修復,團隊預計12小時內恢復正常,后續將為BSC上pBTC持有者制定解決方案,并表示如果黑客返還資金,將提供150萬美元賞金。[2021/9/20 23:38:05]
2.業務風險。主要是業務設計過程中留有漏洞,被人合理攻擊或操縱。比如當年FOMO3D被堵塞攻擊,又比如dZx錯誤使用了不抗攻擊的Uniswap預言機,被合理打壓價格盜取資產,這類人稱之為套利者。套利者對一個DeFi項目既有不利的一面,也有有利的一面。
動態 | 以太坊 2.0 已發布第 0 階段代碼規范 v0.10.0 版本:根據以太坊 Github 代碼庫顯示,以太坊 2.0 已經發布第 0 階段代碼規范 v0.10.0 版本,該版本主要致力于將新的 BLS 標準集成到以太坊 2.0 規范中。ethhub 創辦人 Eric Conner 表示,該版本即將進行審計,也是未來多客戶端測試網的基礎。鏈聞此前報道,以太坊已授權計算機科學技術公司 Least Authority 進行以太坊 2.0 第 0 階段(phase 0)的全面審計,重點針對包括拒絕服務(DoS)攻擊、可能導致的意外分支及對抗鏈資源濫用攻擊、與網絡和資金相關的攻擊等關鍵項目進行審核。[2020/1/11]
3.市場波動風險。DeFi在設計時缺少一些應對變量,導致市場極端情況發生出現穿倉。比如MakerDao在312的表現,主要就是市場極端波動風險造成的。
聲音 | 李禮輝:區塊鏈原代碼基本都不是中國自己的 這很危險:據新浪財經消息,由財經雜志主辦的主題為“全球格局變化下的應對與抉擇”的2019三亞·財經國際論壇于12月7日在海南三亞召開。中國互聯網金融協會區塊鏈工作組組長、中國銀行原行長李禮輝出席并演講。李禮輝表示,區塊鏈的技術已經得到了初步的形成,但是到現在為止我們的底層技術還不成熟,我們的規模化、可靠運用的瓶頸還沒有突破。現在區塊鏈所采用原代碼基本上都不是中國自己的,這種技術性的依賴會造成未來發展比較大的問題,這是很危險的。[2019/12/7]
4.預言機風險。預言機提供全局變量,是大部分DeFi的基礎,如果預言機遭遇攻擊或者出現停擺,則下游DeFi會陷入崩潰。我們認為預言機將成為未來DeFi最重要的基礎設施,帶有任何中心化風險的預言機,最終都會走向消亡。
5.“技術代理”風險。主要是指對智能合約和區塊鏈不熟悉的普通用戶,使用了中心化團隊開發的“便利”交互工具,這一工具本身可能存在風險。
任何DeFi項目在設計時,都應將以上風險考慮進去。完整的流程不僅僅是文檔內做好提示,還需要一些風險管理手段。這些手段大部分以去中心化的方式進行,少量以社區治理的方式完成。這里我們提出一個DeFi風險管理框架,主要分為事前、事中和事后:
事前:主要是對合約代碼進行形式化驗證,包含弄清楚合約使用的方法、資源甚至是指令的邊界,以及這些方法、指令、資源在組合過程中的相關性影響,沒有經過論證的方法或沒有找到邊界的組合堅決使用。這不是傳統軟件開發測試的思維,這是一個接近數學論證的理念。好的合約開發應該建立在已經論證過的方法組合上。
事中:事中主要是停機設計和異常觸發設計,即合約對攻擊行為能進行識別與干預,包含自動停機設計和治理停機設計。而異常觸發是對合約運行過程中,超預期現象的一種控制管理;異常觸發一般是自動的,通過異常觸發修正一些風險管理變量。可以參見NEST預言機系統中的beta系數和防堵塞攻擊設置,這是行業內率先考慮停機及異常觸發的一個實踐。
事后:事后風險管理包含幾個部分,首先是代碼出現漏洞,需要進行修正,一般通過鏈上治理,即DAO治理的方式。其次是治理資產本身遭遇攻擊,此時需要進行合約分叉!這是一個行業忽視的盲點。其次是通過保險機制,對合約可能的風險進行保險,從而降低損失。最后,社區可以通過鏈上數據的追蹤,與各類機構合作追蹤損失。關于鏈上治理和合約分叉,可以參見NEST的設計,這是一個創新。
以上是我們對DeFi安全的一個系統框架,僅供大家參考。目前行業內對安全的理解,過于早期,也過于傳統;如果不能轉變思維,將邊界、完備性、一致性、形式化驗證、停機、異常觸發、治理、分叉等新的思想引入,是不能適應未來發展的。
Tags:DEFDEFIEFI以太坊KingDeFiEco DeFiWeFilmChainVSYS幣會成為第二個以太坊嗎
J.K.羅琳,哈利波特的作者,全球最著名的文學家,作家行列的首富,在前天發推特萌萌噠地說:比特幣是個啥呀,哪位小哥哥能教會我嗎? 在幾個小時內,幣圈精英全體出動.
1900/1/1 0:00:00前言:以太坊排名前10000的地址中,第10000名錢包的余額也達到了748.16ETH,排名第一的是交易所的錢包,達到348萬多個ETH,占以太坊總量不到3.2%.
1900/1/1 0:00:00a16z前些日子宣布其5.15億美元加密基金計劃,它要繼續在加密領域加碼。之所以說它加碼,是因為a16z一直是加密領域的重度參與者.
1900/1/1 0:00:00撰文:WendyXiaoSchadeck,就職于風險投資公司Northzone編譯:孤鳥「Web3.0」這個詞曾一度讓我非常困惑,因為它暗示著我們全力在構建一個「升級版」的網絡.
1900/1/1 0:00:00摘要 2019年10月24日召開的局集體學習會議將區塊鏈定位為“核心技術自主創新的重要突破口”,而公鏈是區塊鏈發展的基石,其發展動向可以看作區塊鏈產業的風向標.
1900/1/1 0:00:00作者:?TimBeiko 來源:以太坊愛好者 編者注:本文為PegaSys團隊的TimBeiko在2020年5月的Ethereal峰會上的演講PPT,主題為“從Eth1到Eth2的大遷徙”.
1900/1/1 0:00:00