梗概 DeFi引发了创新浪潮。一方面,开发人员使用智能合约和分散的结算层来创建传统金融工具的不可靠版本。另一方面,他们创建了全新的金融工具,而没有基本的公共区块链是无法实现的。原子交换,独立的流动资金池,去中心化的稳定加密货币和快速贷款只是众多例子,这些例子证明了该生态系统的巨大潜力。尽管这项技术具有巨大的潜力,但仍存在一些风险。智能合约可能包含导致意外使用的安全性问题。此外,在某些情况下,“权力下放”一词具有欺骗性。许多协议和应用程序使用外部数据源和特殊的管理密钥来管理系统,执行智能合约升级,甚至执行紧急关机。尽管这不一定是问题,但应注意。如果能够解决这些问题,DeFi可能会导致金融业发生范式转变,并可能有助于建立更健壮和透明的金融基础架构。在本报告中,我们寻找这些问题,以提供清晰,简单的解决方案。1.简介 随着区块链技术的不断发展,区块链之上的金融格局,尤其是去中心化金融(DeFi)已经得到扩展和深入探索。它的市场规模急剧增长,并具有一定程度的影响力。截至2020年2月,区块链系统涉及约1万亿美元的金融资产。尽管这项技术具有巨大的潜力,但仍存在一些风险。智能合约包含可能导致意外使用的安全性问题。此外,在某些情况下,“权力下放”一词具有欺骗性。许多协议和应用程序使用外部数据源和特殊的管理密钥来管理系统,执行智能合约升级甚至执行紧急关机。当以太坊需要为宽带DeFi应用服务时,未来还会存在一些主要的和预期的缺点。 DeFi缺乏更高的安全性,更少的交易,更高的可用性和更高的舒适度。例如,可以引用bZx协议最近发生的攻击,该攻击两次被发现弱点的攻击者破坏。如果这些问题可以解决,DeFi可能会导致金融业发生范式转变,并可能有助于建立更健壮和透明的金融基础架构。 2.去中心化融资平台(DeFi) 去中心化融资(DeFi)是区块链领域的一项运动,最近吸引了很多关注。该术语通常指建立在公共智能合约平台上的开放式金融基础架构,例如以太坊区块链。与传统的金融部门不同,DeFi不依赖中介机构和中央机构。相反,它依赖于开放协议和去中心化应用程序(DApp)。通过智能合约,以安全且不可避免的方式进行的交易来实现协议,并且公共区块链上的合法状态更改仍在继续。因此,这种结构能够创建高度稳定且不可互换的金融系统,该系统具有前所未有的透明度,平等的使用权,中央票据交换所或担保服务,而其中的大多数角色都可以通过智能合约承担。DeFi已经提供了广泛的应用程序。例如,人们可以在去中心化交易所购买与美元挂钩的稳定加密货币,将这些代币转移到去中心化的借贷平台以赚取利息,然后向去中心化的流动性池或系列投资基金添加具有象征意义的工具。所有DeFi协议和应用程序的骨干网都称为智能合约,该术语通常是指存储在区块链上的小型应用程序,这些应用程序是由许多计算机的大型网络实现的。与传统的中心化计算相比,智能合约的效率相对较低。它的特点是高度的安全性,这意味着智能合约可确保不可避免的实施,并允许任何人检查结果状态更改。以安全的方式实施时,智能合约非常透明,可以降低任意篡改和干扰的风险。
要了解智能合约的新颖性,我们首先需要查看基于服务器的常规Web应用程序。当某人与此类应用程序进行交互时,该人将无法监视该应用程序的内部逻辑。而且,此人不控制实施环境。用户必须信任应用程序服务提供者。智能合约减少了这两个问题,并确保应用程序完全按预期运行。节点的代码存储在主区块链上,因此可以进行公共扫描。合同行为至关重要,以交易形式的工作呼叫由数百名网络参与者并行处理,以确保实施的合法性。该生态系统由建立在公共分类账上的应用程序组成,以促进未经授权的金融服务。
总体而言,DeFi是一项雄心勃勃的尝试,旨在分散交易,借贷,投资,财富管理,支付和区块链保险等基本的传统金融用例。 DeFi依赖去中心化的应用程序或协议。通过在区块链上运行这些dApp,它提供了点对点金融网络。像乐高积木一样,所有dApp都可以相互合并。智能合约充当连接器,与传统系统中完全定义的API相当。
2.1DeFi是什么?
DeFi已成为区块链社区中的热门话题。与通过比特币进行资金去中心化相比,DeFi的目标是采用更广泛的方法来实现传统金融行业的整体分散。该计划的实质是在未经区块链基础设施许可的情况下提供金融服务生态系统,向所有人开放传统金融服务。 2.2 DeFi的主要优点是什么?
DeFi建立在区块链之上。区块链通常被称为通用基础架构层,因此,DeFi可被视为一组第2层应用程序。这使DeFi可以扎根权力下放的基本所有权。重要的是只有在区块链本身是去中心化的情况下才能证明这一点。满足此先决条件后,开放式融资的主要好处与区块链的核心好处共享:
1.真正的权力下放可以抵制全世界的监督和参与,无论其社会地位和可信赖的第三方的分布如何。
2.将区块链用作技术基础架构可实现相对快速且低成本的交易/结算,金融合同的稳定性和合约自动化。
3.DeFi应用程序通常允许用户保留私钥。这被称为不在区块链生态系统中。用户无需受信任的第三方即可完全控制资金。
4.增加生态系统的透明度,从而提高价格和市场效率。主代理的最小风险,因为缺少不平等的信息,并且个人利益受透明协议约束。 DeFi通过将第2层甚至第3层应用程序中的不同项目进行独特组合来创造出很多创新。
2.3最佳DeFi Dapps
在下面,将找到以太坊支持的最重要的DeFi协议,现在可以使用这些协议,按每个平台的智能合约中锁定的美元金额进行排名。
我使用来自DeFi分析提供商DeFi Pulse的数据,来构成最佳DeFi平台列表。
1.Maker
Maker是市场上最重要的去中心化金融应用程序。随着DeFi占据了近60%的市场份额,目前已通过Maker智能合约获得了近6亿美元的数字资产。
2. MakerDAO
MakerDAO是一种去中心化借贷协议,它使用抵押债务头寸(CDP)创建稳定的Dai货币(DAI),其价值与美元挂钩。当用户将以太坊(ETH)作为抵押品存入CDP时,将创建Dai。
3.Dai
Dai是任何人都可以不受限制使用的唯一稳定的去中心化数字货币。与其他与美元挂钩的稳定加密货币不同,它们不会将美元持有在银行。相反,
Maker 协议使用以ETH形式的智能合约和担保来限制价格。 Dai可用于借出(赚取利息),支付,交易或投资以太坊其他资产。
4.Synthetix
Synthetix是一个由以太坊支持的去中心化投资平台,使用户能够创建和交易所谓的“ Synths”,从而为具有象征性和复杂版本的真实资产提供链式敞口。
5.Compound
Compound是一种去中心化的货币市场协议,它使数字资产的持有人能够借入和借出加密以换取抵押品。通过将数字资产添加到
Compound ,流动资金池加密货币所有者可以赚取利息,该利息会根据供求关系自动调整。
6. InstaDApp
InstaDApp称自己为去中心化融资的不可靠智能钱包。该应用程序使DeFi用户能够“无缝管理,优化和部署资产,从而在各种协议中获得最佳回报。”
InstaDApp提供了一个易于使用的仪表板,允许用户通过Maker,Uniswap和Compound等协议管理DeFi投资。对于新的DeFi用户,InstaDApp提供了一个很好的起点。
7. Uniswap
它是一种去中心化的交换协议,使用户能够通过非常易于使用的用户界面以私有,安全和非托管的方式转换链上基于以太坊的ERC20代币。 Uniswap不是使用订单簿,而是使用所谓的流动性池来帮助增强协议中的交易所流动性。
8.DYDX
这是一个由以太坊(Ethereum)支持的非投资组合交易平台,使加密交易者可以以保证金购买多头和空头数字资产。当前,交易者可以使用DAI或USDC稳定货币以高达5倍的杠杆交易ETH。
9. BZX
它是建立在以太坊链之上的一种开放式融资协议,使用户能够借入,借出和交易数字资产。以太坊用户可以通过协议获得贷款的好处,而借款人可以以供需确定的合理利率借款。例如,保证金交易者可以通过支付比中央交易所更低的保证金贷款利率来利用该平台。
10. Bancor
Bancor网络是一种去中心化的交换协议,允许用户在彼此之间传输数字代码,而不必通过中心化交易平台。
11.WBTC
它是区块链以太坊上比特币的象征性版本。以1:1比特币货币支持ERC20。其存在的原因是使以太坊用户能够在以太坊生态系统内购买,拥有和交易比特币。此外,它使用户能够以易于使用的方式与所有基于以太坊的应用程序互操作,在智能合约中使用比特币。
12.设置协议(Set Protocol)
它是由以太坊(Ethereum)支持的开放式融资协议,使加密货币投资者能够创建或购买基于策略的符号(或组),基于一组标准,策略,参数和资产权重的数字资产算法算法。每个组由ERC20代币表示。
3.背景 DeFi必须克服一些主要缺点,以保护数据和维护安全性。每种新技术的目的都是在全球范围内产生影响。但是,如果将其集成到全球范围内,将会有更多的人加入该网络。但是,随着网络的发展,维护安全性和保护数据变得更加困难。
在许多情况下,DeFi无法解决安全问题。结果,有一些缺点的报告。由于此框架没有管理权限,因此安全是此处最必要的功能。因此,对于该技术的未来发展,DeFi需要维护安全性并保护网络上的所有类型的数据。
从2020年2月对bZx Flash贷款的攻击可以看出,目前的DeFi容易受到攻击和故障的影响。此外,以太坊平台上的大多数DeFi项目并不非常适合高频交易,因为它们在计算速度方面暂时有缺陷。另外,用户接受度存在问题。公众缺乏意识和知识,以及大多数DeFi应用程序具有复杂而令人困惑的用户界面,这意味着采用可能会持续数年。去中心化融资的概念令人震惊,但存在许多阻碍其快速全球发展的风险。
这些系统是新系统,需要花费一些时间进行实践测试。当协议彼此交互时,智能合约的风险就会成倍增加。如果一个协议发生致命错误,则可能导致一般系统漏洞。抵押的风险和波动的风险。某些形式的贷款保险抵押品涉及某些风险。
过多的抵押品降低了波动的风险,但是如果资产的价格下跌过快,则此要求不能保证完全覆盖贷款金额。争议点在于许多DeFi平台上的利率波动,这使人们对参与其中的意义产生怀疑。
4.短期贷款 闪电贷的概念最初于2018年由Marble Protocol定义。Marble推销自己为“智能合约银行”,其产品是一种简单而又出色的DeFi创新:通过智能合约实现零风险贷款。
闪电贷是DeFi和以太坊负责人的进一步创新,因为区块链主要与“可编程货币”概念相关。该产品于今年1月由DeFi Aave首次发布,然后由bZx于2月10日发布。
短期贷款几乎无风险,至少对于借款人而言。由于以太坊网络会自动结算交易,这意味着所有交易都将执行或不执行任何操作,因此无法用交易偿还贷款的交易者不会损失任何资金。因为这笔交易永远不会发生。 4.1主要原因是闪电贷对攻击者特别有吸引力。
许多攻击需要大量的前期资金,如预言机操作攻击,并且它使攻击者的污点减至最小。如果攻击者想用500万美元的以太坊操纵预言机,可能不想用自己的资金冒险。他的ETH可能会受到污染,因为交易平台可能会拒绝他的存款。因此,快速贷款将更加容易且无风险。
5. 2020年DeFi发生的攻击 正如我们前面提到的,2020年对于DeFi行业来说是艰难的一年。这些攻击和困难将被提及如下:
1. bZx首次攻击,2月14日
2. 2月18日对bzx的第二次攻击
3. Uniswap攻击,4月18日
4. Lendf贷款协议攻击,4月19日5.1分析DeFi攻击 DeFi正在以一种使金融工具可访问,可编程且对所有人有用的方式将其引入互联网。就像互联网如何使任何人都能轻松创建,共享和编程信息一样,DeFi也在金钱和财务上做同样的事情。
DeFi产品不受信任,具有全局性(任何人都可以访问),透明(任何人都可以检查代码)和不可变的(除非经过编程才能更改)。它们也可以彼此组合,可以在彼此之上构建产品,类似于将乐高积木组合成大于其总和的东西。
DeFi创建了一种称为“快速贷款”的产品。本质上是无风险的贷款,任何人都可以在单笔交易期间借入数百万美元。如果到交易结束时还没有偿还贷款,则整个交易都将回滚。没有资金会面临风险,任何最终用户都可以将大量资金用于任意目的。
5.1.1 BZX攻击
BZx(Fulcrum)是DeFi产品,提供代币化的借/贷和保证金交易平台。任何人都可以向bZx的资金池增加资本并从其资本中借贷,或者通过保证金交易其他资产来利用多头或空头。他们的平台利用DeFi的可组合性,使用许多其他DeFi协议来全面服务于这些产品。
最近,bZx去中心化贷款协议被用于连续的闪电贷攻击。虽然这两个程序截然不同,但最终结果仍然相同。该平台总共筹集了954,000美元。
根据DeFi Pulse的数据,BZx目前是第七大DeFi协议,总资金锁定在1,550万美元左右。
5.1.2 BZX首次攻击
2月14日,bZx的共同创始人KZ Kestner描述了发生攻击的确切时间。 bZx团队外出参加ETHDenver会议,充分展现了DeFi的精髓。当团队收到有关“可疑”的信息时,警钟开始响起。
Kistner告知该公司Telegram小组的成员,称根据bZx合同进行了“利用”(已暂停),并且“ ETH的一部分”已经丢失。第一次事故的实际收获量为1,193以太坊(ETH)。 bZx呼应币安赵经理Binong的话,确认用户资金为“ SAFU”。
对于用户而言,幸运的是,bZx可以实现故障转移安全性。收集贷方赚取的所有利息的10%,并将其放入保险基金中。因此,bZx用户的损失是象征性的。对于bZx而言,攻击声名狼藉。
随着以太坊网络通过原始重新交易纠正贷款失败的任何付款,自动执行的自动贷款将以“无风险”的方式执行。由于其原子性质,因此双方都无法拦截在出现环的快速借贷攻击。但是,这不仅仅是向攻击者提供的快速贷款。他们还受益于bZx智能合约的弱点。凯斯特纳(Kestner)解释了如何允许最初的攻击:
“第一次攻击有点简单,因为他们做了很多交易,覆盖了贷方的钱。标记在堆栈中,使交易可以绕过检查是否将放贷人的资金置于危险之中。 “
Kistner提到的绕过检查与前Google工程师Korantin Auguste在对攻击的详细分析中指出的相同:
“攻击者利用了bZx错误,该错误导致Uniswap上以3倍的通货膨胀率大量流通”。
事实证明,关键的工作是检查市场衰退是否已经发生。如果是这样,他将使bZx攻击者的交易无效。相反,允许攻击者不受阻碍地继续前进。攻击的核心是一项难以置信的交易,该交易借入了数百万美元的速记贷款,然后将这些资金通过几种DeFi协议引入,以优雅地操纵和利用bZx的抵押池。 1.攻击者成功获利1,193 ETH。为了使用稍微简化的解释,攻击者发明了参数网络来实施“泵送和排放”。
2.攻击者在DeFi dYdX借贷平台上获得了10,000 ETH的贷款。然后,他们将贷款在bZx和另一个称为Compound的贷款平台之间分配。发送给该
Compound 的ETH被用来为112个包装的比特币(WBTC)文件获得另一笔贷款。同时,分配给bZx的1300 ETH用于缩短WBTC的ETH。
3.发送给Compound的ETH被用作抵押112比特币(WBTC)的另一笔贷款。同时,分配给bZx的1300个ETH被用来做WBTC的ETH的简称。
4.通过利用称为Uniswap的去中心化交易所的低流动性,该交易所通过DeFi Kyber网络与bZx共享价格数据,攻击者设法将WBTC的价格通过设置为bZx的WBTC发送到Uniswap。
5.然后,对手利用市场价格上涨的优势,从Uniswap上投放了从Compound借来的WBTC。有了手头的利润,攻击者就全额还清了原来的dYdX贷款,获得了1,193 ETH的利润,而bZx却获得了无抵押贷款。
上面详述的所有操作都是通过一笔交易完成的,即通过一种称为“快速贷款”的DeFi产品来实现。
攻击后,bZx团队立即使用其管理员超级键来暂停bZx的交易和借入,并修复了潜在的错误。当社区讨论这种新的利用方式并恢复交易和借贷时,通过类似的机制发生了第二次攻击。
5.1.3对BZX的第二次攻击
2月18日,bZx再次遭受攻击,被迫中止了另一项协议。与第一种方法类似,使用了快速借贷来促进Uniswap上的抽取和卸载。这次将2378 ETH引入了攻击者。
这次,攻击者在bZx上获得了7500 ETH的快速贷款,将3.517 ETH换成了940,000 Synthetix USD(sUSD),这是一种稳定的加密货币,与美元挂钩。接下来,攻击者使用900 ETH在Kyber和Uniswap上购买了另一轮SUSD,并将SUSD的价格推高了市场价格的2.5倍。
然后,攻击者使用从Synthetix借来的现在超额的SUSD作为抵押,攻击者在bZx上获得了6,796 ETH的贷款。攻击者使用新借的ETH和原始贷款中的剩余ETH,归还了7,500个ETH闪存,并再次获利,这次为2,378 ETH。
此攻击更类似于预言机攻击或操纵可信值的过程。在这种情况下,快速贷款推高了Uniswap(预言机)上ETH-sUSD的现货价格,BZx用来确定贷款抵押品的价值。
预言机的操纵
似乎没有重复原始的错误(该错误在第一次攻击后已修复),而是第二轮是预言机操作的结果。预言机是基于区块链的经纪人,可将外部数据输入智能合约。在这种情况下,预言机bZx价格在未经验证的情况下公布了虚高的SUSD价格,从而导致bZx不能完全担保6769 ETH贷款。来自利用预言机的区块链安全公司PeckShield的分析总结如下: “预言机的处理大大提高了受影响的代币(即SUSD)的价格,并使其在bZx借贷系统中受到高度重视。然后,攻击者可以简单地更早地存入已购买或存储的SUSD,作为WETH牟利的担保。”
波动性和低流动性可能被证明是一种混合物。在这种情况下,市场下滑是不可避免的,攻击者知道这一点。幸运的是,自事故以来,bZx决定与预言机Linkchain合作,并使用其价格数据。bZx协议中的弱点
攻击者利用低流动性市场并使用公然的操纵方法,在bZx协议中滥用了多个漏洞。 bZx的联合创始人Kistner也告诉Cointelegraph:
这是一种攻击,因为他使用我们代码的方式并非旨在实现意想不到的结果,从而给第三方带来了责任。
通过分享相似的观点,前Google工程师Korantin Auguste断言,无论他怎么看,这些都是恶意攻击:
“无论哪种情况,bZx代码中都存在漏洞,因此这些漏洞绝对是攻击,不能描述为智能仲裁或合法的东西。”
区块链分析师Merkle Science全球业务发展副总裁Thomas Gluxman。该事件是一项突破,因为它可以立即将灯光重新定向到bZx上,这暗示任何进攻性事件都应该早日得到纠正,尤其是考虑到2016年从一个自分权组织中从盗版中学到的教训。
“开发人员通常可以通过确保智能合约审查来避免此类情况。令人惊讶的是,一些团队尚未了解DAI灾难的后果,并说明了DeFi服务当前的脆弱性。”
的确,在Samczsun的White Hat黑客对bZx实施特定攻击之前数月,就在一篇详细的博客文章中进行了描述。正如Samczun当时所写的那样,假设存在涉及bZx,以太坊DAI和其他去中心化交易所DDEX的漏洞利用:
“由于依靠预言机链上的去中心化价格而不检查返回的价格,DDEX和bZx容易受到原子价格操纵的影响。这可能会导致DDEX的ETH / DAI市场中的流动性ETH损失,以及bZx中的所有资金损失。”
在bZx,团队将注意力转移到保护网络上。 Kistner说,尽管没有新用户,但使用Chainlink预言机进行定价后,交易将很快再次恢复。 Kistner说,未来,bZx将考虑为DeFi最大的提供商MakerDAO复制基础架构。
5.2蚕食PoS安全性的攻击
当有大量代币活跃地投入网络时,PoS系统是安全的。在大多数PoS算法中,只要所有抵押资产的2/3归诚实参与者所有,区块链都是安全的。在PoS中,攻击者可以执行此攻击,同时对所有价格风险进行对冲,而无需所有人的同意,都可以在链上进行。
当PoS网络处于开放的生态系统中时,任何链上借贷市场都可以通过提供更高的收益来削弱其安全性。实际上,即使系统不直接支持智能合约。如果可以对抵押资产进行代币化和跨链转移,则另一条链上的代币化借贷市场可能也有同样的情况!
PoS有两种解决方案:要么迫使链上贷款市场限制利率,要么通过向利益相关者提供更好的回报来与贷款市场竞争。第一个策略类似于实施资本管制。在无许可的区块链上这是不可能的。
捍卫的唯一真正方法是使用灵活的货币政策来提供有竞争力的利率。 PoS网络必须使用其发行率作为适应实时市场压力的工具。如果要永久保持安全,它必须具有适应性的货币政策。
5.3 Uniswap和Lendf.me攻击
Uniswap和Lendf.Me中相关事件的时间表:
4月18日8:58 SGT。攻击者使用Uniswap和ERC777的漏洞进行了重新进入攻击。
4月18日12:12。 Tokenlon团队观察到异常情况,将事件定义为P0级安全问题,并成立了应急小组。
4月18日12:49。在评估了情况之后,Tokenlon暂停了imBTC的转让,并通知了包括Lendf.Me在内的imBTC合作伙伴以评估潜在的安全风险。
4月18日17:00。在收到Lendf.Me和其他合作伙伴的确认后,可以恢复ImBTC传输。
4月19日09:28。 Tokenlon从Lendf.me接收到有关重新入网攻击的消息,类似于Uniswap发生的那种,导致平台上大量异常借用。
4月19日10:12。为了配合对重入攻击的调查,Tokenlon暂停了imBTC的转让。
5.3.1 Uniswap攻击
由于Uniswap V1在与ERC-777交互时没有针对此类重入攻击的保护措施,因此有可能发起攻击。总体而言,黑客已从30万美元的imBTC和ETH(14.1万美元ETH +160k imBTC)转移了。
Uniswap或加密社区不知道这些攻击媒介。在Uniswap攻击发生之前大约一年,ConsenSys Diligence(ConsenSys安全审核服务)确定并部署了ERC-777再入攻击媒介。
5.3.2 Lendf借出协议攻击
Lendf.me事件利用了借出协议与ERC-777代币标准之间不完全兼容所提供的相同的重入漏洞,但取得了更大的成功。在4月19日的攻击中,Lendf.me的资金中近100%(超过2400万美元)被耗尽。
与Uniswap事件不同,被盗资金不仅限于ETH和imBTC。尽管大部分被盗资金是WETH(1000万美元),但USDT和HBTC还是补足了970万美元,其次是至少16个其他代币。
出乎意料的是,Lendf.me黑客将被盗的资金归还了协议,据称是因为他们在攻击过程中无意中暴露了IP地址。下面的图显示了黑客入侵后的资金流向。资金离开了Lendf.me合同(绿色),经过处理程序合同(灰色),并到达了黑客的地址(黑色)。披露IP后,黑客将资金转移回Lendf.me管理员地址,然后将其转移到恢复地址(均为紫色)。该图的最右边(该图流入许多个人资金流)表示Lendf.me将资金退还给个人用户的时刻。
Uniswap和Lendf.me —对ERC-777的再入攻击
imBTC代币是Tokenlon发行的ERC-777代币,Tokenlon是在0x协议上运行的DEX。在Uniswap和Lendf.me事件中,黑客都利用了ERC-777代币标准与DeFi协议之间不兼容引起的可重入漏洞。
重入漏洞使黑客可以从本质上重新利用imBTC的初始存款,有效地为他们提供了无限的资本来进行交易或借贷。
6. DeFi如何保护资产的某些先前操作 6.1控制和布置工具
通过利用以太坊区块链的开放性,必须使公众能够使用许多与DeFi相关的监控工具,以对金融应用程序充满信心。
6.2监视网络运行状况:对于个人用户
在借贷平台上,一旦抵押物比率由于价格波动而降至某些阈值以下,用户存款就有清算的风险。一旦抵押品减少,百分比就会下降,金库将开放清算。用户可以跟踪抵押物,并决定还清借款人或增加存款,以保持金库的安全和清算。如果监视工具能够为不同资产提供可靠的实时和可靠的价格信息,从而提醒用户提前采取行动,则监视工具将在用户与贷款协议进行可靠的交互中扮演重要角色。
监控贷款平台的另一项措施是资产流动性的利用率。利用率是通过根据流动性池中的要约规模将债务总额除以而得出的。如果该综合大楼中的所有钱都是借来的而不是还清,那么利用率几乎是100%。
6.3智能合约审核
审计服务能够在协议或功能发布之前通过严格的测试和白帽渗透来识别潜在的合约漏洞。尽管第三方自动化工具可以识别出常见弱点组,但与直接审核服务结合使用时,这些工具最有效。随着DeFi协议数量,复杂性和互连性的增长,可能会出现更多的漏洞和安全威胁。在去中心化交易所中,流动资金池规模可以帮助用户确定哪个平台是最灵活的储备金。
DEXes是套利链中最重要的门户之一,在bZx的情况下已得到证明。 Uniswap是使用最频繁的DEX之一,其流动性集链接到许多DeFi / DEX协议接口。最大的下降发生在2月18日,这是第二次bZx攻击的时机。 2月18日,Uniswap的流动资金池减少,因为运营商通过Ky-berUniswap储备金在bZx上借入了大量WBTC。第二大跌幅发生在3月13日,当时加密货币市场下跌。 3月13日,Uniswap流动资金池下降,因为加密货币持有人担心市场波动,并从Uniswap池中撤出了大量流动资金。尽管流动资金池中的资金大量减少,但Uniswap在过去几个月中已经很好地克服了自身的弱点和市场波动性,这证明了DeFi协议具有更大的流动性集的灵活性。 7. 解决方案
最近,QuarkChain宣布与NUTS平台建立合作伙伴关系,以构建下一代DeFi生态系统(DeFi 2.0)。 QuarkChain和NUTS Finance之间的合作关系可以重塑现有的DeFi生态系统,并帮助建立更加繁荣的生态系统。
该伙伴关系的建议是:
1.大大降低了DeFi的障碍:利用QuarkChain的高吞吐量和低交易馈送,我们将吸引更多的用户参与DeFi。
2.通过发布QNUT本机代币来改善用户体验。
3.支持跨链Defi的可组合性的第一个项目:NUTS平台将是第一个支持跨链DeFi的可组合性的区块链项目。
4.构建高性能的DeFi平台:QuarkChain将为NUTS平台提供全面支持,包括对QNUT的QuarkChain钱包的无缝支持,在升级的DeFi平台上的高级交易的支持以及其他特殊业务。
交叉分片的好处很多: 1.无论是双重支出攻击还是代币限制保护,所有跨链交易都将通过我们的共享安全性得到保障。这意味着双重花费的攻击不仅必须攻击单个碎片,而且还需要攻击整个网络,这要困难得多。
此外,我们还确保对于代币传输交叉碎片,代币的限制将是不变的,即使是两次花费的攻击也不会增加或减少网络中代币的数量,这一点非常重要。请注意,Cosmos无法确保该属性,而Polkadot正在对其进行处理。
2.我们的交叉分片非常有效,成本几乎与分片中的tx相同,并且交叉分片的tx的吞吐量非常高。这意味着我们可以接受网络中的大型应用程序,无论它是跨分片还是分片。
3.用户体验几乎与分片用户相同,即最终用户很难找到跨分片或分片用户之间的差异。
有了这些功能,我们可以实现几个重要的功能,例如针对ETH2.0计划的跨分片DeFi可组合性。
8.结论 DeFi创建了功能强大的新型金融产品,以新兴方式将它们编织在一起。但是这些攻击提醒我们,可编程财务仍然是可编程的,因此可能会出现缺陷,尤其是当创新突破了可能的极限时。如今,快速贷款和以复杂方式交互的可组合DeFi协议网络的结合已产生了此类新漏洞。
DeFi应该期待更多的闪电贷风格的预言机攻击。但这只是DeFi变得更有弹性的一部分。我们不应该期望DeFi能够完全抵御所有攻击,但是我们可以利用“深度防御”来构建一个日益强大的生态系统,其中多层冗余可以提供更高的安全性。我们还需要开发更高级别的消费者保护或保险。
协议应随着时间的推移逐步去中心化,直到它们表现出良好的安全记录。Compound是一个显著的例子。
9. 参考
1. February 22, 2020 by cointelegraph : https://cointelegraph.com/news/are-the-bzx-flash-loan-attacks-signaling-the-end-of-defi
2. March 9, 2020 by QuarkChain: http://bit.ly/DEFIQKC_TELE
3. February 18 , 2020 by palkeo: https://www.palkeo.com/en/projets/ethereum/bzx.html
4. May 19, 2020, codefi: https://codefi.consensys.net/blog/security-risks-in-ethereum-defi
5. February 27, 2020, coindesk: https://www.coindesk.com/the-defi-flash-loan-attack-that-changed-everything
6. March 13, 2020 Coinbase: https://blog.coinbase.com/around-the-block-analysis-on-the-bzx-attack-defi-vulnerabilities-the-state-of-debit-cards-in-1289f7f77137
原文链接:https://cryptocurrencyhub.io/analysis-the-attacts-that-happens-on-defi-apps-and-how-can-defi-platform-strengthen-their-security-107757d77e8e
—-
编译者/作者:洁sir
玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。
|
