2020年来区块链世界最大的热点非DeFi莫属,造富效应惊人。但随着新项目新玩法层出不穷,安全事件频繁出现,部分投资者也损失巨大。 8月21日,陀螺非正式会谈邀请到慢雾科技合伙人兼产品负责人启富、北京链安COO王延巍,一同探讨DeFi目前存在的一些安全隐患以及如何去应对和防范这些风险。 直播主题:DeFi虽热,安全隐患不容忽视 嘉宾:慢雾科技合伙人兼产品负责人启富、北京链安COO王延巍 主持人:陀螺财经副主编 Blake 以下为本期直播的文字整理实录: DeFi主要涉及技术、规则、生态三大安全问题 1.上周暴涨的DeFi项目Yam受到很多资金的追捧,最终却因“一个代码公式的错误”导致项目失败,想请问下这里暴露了哪些安全问题?从安全角度你们如何看待这个事件? 慢雾科技启富:简单来说就是YAM官方在合约中发现负责调整供应量的 rebase 函数发生了问题,导致多余的 YAM 代币放进了 YAM 的 reserves 合约中,最要命的是多出来10的18次方这么多的币,原因是合约代码里本来是要除以币的精度(10^18),但是漏掉了。 这其实是个低级错误,建议广大区块链生态的项目方,在产品上线前进行充分的测试,找专业的区块链安全公司进行安全审计,把安全漏洞扼杀在产品上线前。 北京链安王延巍:从安全角度来看,YAM首先在内部的开发管理上就有问题,其实rebase本身是机制的一个常见操作,只要做内部用例测试,这样的问题很容易暴露出来。 2.不少人说DeFi现在虽热,但其整体发展仍然任重而道远。作为区块链安全团队,你们认为现在DeFi项目中主要存在哪些风险? 北京链安王延巍:在我们看来,DeFi中主要涉及三类安全问题。 首先是核心业务本身的技术安全问题,也就是智能合约开发过程中一些代码和逻辑本身的安全防护不好,YAM就是典型。 其次就是规则的安全问题,因为规则本身考虑不妥,有被他人利用规则漏洞的空间,也会对使用者的资产造成威胁,某种程度来说这已经是“金融安全问题”。 最后是生态的安全问题,底层是否有足够的支撑,或者生态上是否有足够的工具和机制保障。典型的就是“假币”问题,这也是Uniswap上热议的一个问题。 慢雾科技启富:比较通用的安全问题有:权限控制漏洞、拒绝服务漏洞、重放攻击漏洞、随机数漏洞等。 除此之外,业务逻辑漏洞是比较特殊的一种,DeFi项目因为有很多独创性的玩法,容易在某些极端情况下,由于考虑不周存在漏洞。 3.没有经过安全审计的DeFi项目可能会出现什么问题?在审计过程中,你们会重点关注哪一部分? 北京链安王延巍:首先说一句可能的废话:可能出现任何问题。 可以想象,如同YAM这样极受关注的项目都能出问题,还有什么DeFi不能出问题。如今的DeFi跟1CO一样,很多都是相互模仿,找来代码改改,中间的“带病代码”很多,安全隐患很大。 在我们的审计中,会有专门的Check List,一项项去检查,首先还是技术问题,那些明显可能被利用的安全问题需要指出来。另外,还有一类问题是逻辑问题和业务问题,比如我们会指出一个重要的操作权限控制需要注意,一个业务可能由于缺少一个限制会被滥用。 慢雾科技启富:可能会出现的问题很多,例如合约内资产被盗、代币总量莫名被增发等。 在安全审计过程中,除了常规的安全checklist外,还会特别关注项目的业务逻辑和相关独创性的设计。全面、深入的理解DeFi项目的业务逻辑、经济模型等内容,经常反复的阅读技术白皮书,以及和项目方进行深度的技术沟通,在此过程中,双方会碰撞出很多业务逻辑上的缺陷和增强点。 “假币”问题引争议 4.近日,一位匿名开发者花费20个ETH提前部署了热门DeFi治理代币CRV合约,导致Curve用户对不公平的"预挖矿 "进行指控,为什么会出现这种情况?如何才能避免? 北京链安王延巍:Curve算是有明确“官方”的项目,抢发其实类似于“假币”问题,什么叫“假币”,非官方的就是“假币”。 Curve这件事属于劫掠,要是谁都能部署一个合约去倒腾出CRV,那就乱了,解决这个问题的核心首先是行业要达成共识,大家要认同官方的CRV,其它合约下的交易所不收,钱包警示,社区排斥。甚至,是否可以上升到法律层面? 慢雾科技启富:Curve这个问题比较尴尬,建议其他项目方在开发、测试、预发布时,采用不同的部署环境,互相隔离开来,同时尽量不要采用已被标记过的钱包地址,避免被社区发现相关操作痕迹。 5.今年上半年DeFi项目“闪电贷”引发的“bzx被盗”事件,暴露出目前DeFi系统性金融风险存在一定隐患,想请教为什么会出现这类事故?未来应该如何避免此类事情再次发生? 慢雾科技启富:这个事件暴露出DeFi的系统性金融风险,针对这个问题,我们之前给的建议是:项目方在使用预言机获取外部价格时,应设置保险机制,每一次在进行代币兑换时,都应保存当前交易对的兑换价格,并与上一次保存的兑换价格进行对比,如果波动过大,应及时暂停交易。防止市场被恶意操纵,带来损失。 北京链安王延巍:其实这个bzx“被盗”就是前面我说的规则安全问题,或者说金融安全问题。 当时媒体报道的用词也很有趣,有的说“漏洞”,有的说“滥用”,一个倾向于技术角度,另一个倾向于规则角度,在我看来这里面核心还是规则逻辑问题。 对于这个问题,很可能纯代码角度推演很难马上发现,需要的是一个动态的安全监控和观测。在bzx这件事上,其实1inch.exchange 在问题充分暴露前发现情况不对,并向项目方反映,而从1inch.exchange的口径来看,项目方竟然因为安全审计费用2000美元还是1500美元的这500美元的差额把这个问题放过了,这实在是因小失大,也是对用户的不负责。 作为DeFi项目方,如果想做长久,对用户负责,从代码到上线,到运营期间都应该关注技术、规则、生态三个层次的安全问题,才能持续做大。 若再次遭遇极端行情,DeFi项目恐将出现连锁反应 6.如何防范DeFi的系统性风险?面临极端的行情波动时,现在的DeFi生态是否能承载? 北京链安王延巍:DeFi领域与1CO不同,1CO最后其实就是上交易所交易,再叠加一些基于交易所提供的诸如杠杆、衍生品的风险。而DeFi本身已经在设计一些金融业务的规则。 如今DeFi的火爆,已经让以太坊出现拥堵和手续费大涨的情况,一旦爆发危机是否会迅速升级为严重的流动性危机?这是很考验DeFi生态的,在项目方热衷解析其模式创新性的时候,我们很少看到有人说它的风控,以及面对极端情况是否有应对方案,用户可能遭受的损失是什么?我认为DeFi项目方需要对自己的模型做一定的“压力测试”来准备可能的风险。 慢雾科技启富:关于防范DeFi的系统性风险问题,我觉得成熟有效的风控机制是很关键的,它能够让项目具有稳健的能力来对抗“黑天鹅”事件。 前几天在朋友圈里看到这样一句话:"YAM收益依赖于YFI,YFI收益依赖AAVE,AAVE收益依赖COMP,COMP收益依赖MKR,这是不是DeFi的次贷泡沫呢"。 假如再次遭遇312那样的暴跌行情,目前的DeFi项目可能会出现连锁反应。 7、普通投资者在投资DeFi项目前,需要了解哪些知识才能更好地确保资金安全? 慢雾科技启富:普通投资者,在参与DeFi项目前,尽量选择那些上线时间超过半年,且经过安全审计的项目。 北京链安王延巍:尽可能控制风险的措施,总结下来有以下4点: 1、先确保参与项目的安全性,最起码做了专业安全公司的第三方安全审计。 2、当然,有可能你搞不懂技术细节,弄不清安全审计是啥东西。建议投资大的中心化交易所交易上线的DeFi币,尽管这可能会让你的投资可选品种受限,但起码交易所会做一些安全工作,过滤掉一些有明显安全问题的项目。 3、和交易所一样,如果相关DeFi项目遭遇安全攻击受到同样的损失,大平台可能扛得住,小平台可能彻底关门走人,所以一般投资尽可能参与成规模的项目。 —- 编译者/作者:陀螺财经 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
DeFi热潮下的安全隐患:流动性危机恐将造成连锁反应
2020-08-27 陀螺财经 来源:区块链网络
LOADING...
相关阅读:
- BTC财经翟说币:8.26比特币行情分析大饼再次跳水下跌2020-08-27
- 58COIN联手跟单王Pro跟单市场或洗牌2020-08-27
- 财路之上必有勇夫强者合约ALOKEX为强者而战2020-08-27
- Alokex交易所带你了解永续合约vs季度交割合约:区别是什么?2020-08-27
- 骗子Penta变身MantraDAO 外国演员狂上中国交易所 易理华连续力推2020-08-27