自从Compound创造出流动性挖矿这个壮举之后, DeFi 生态变的非常火热,大批的新老韭菜们都冲进了DeFi 这个大市场中,试图借肋这大好的时机来大赚一把,但结果仍是“几家欢喜几家愁”。机构和项目方也正利用这个机会,纷纷开启发币模式,这种所谓的共识以将DeFi 推上了一个又一个顶峰。大部分比较乐观的从业者认为,DeFi 推动了牛市的到来,DeFi 的大厦已经建立,甚至在未来很可能出圈代替传统金融。 【DeFi 表面上完美的数据】 根据defimarketcap网站提供的数据,7月21日DeFi生态上代币总市值突破100亿美元,虽然这个数据现在已经开始回调,但仍有70亿美元。 (数据来源:defimarketcap) 不仅是代币市值的上长,在DeFi生态上锁仓额,也在不断的创新。根据debank数据显示,7月25日总锁仓量一度达到45.5亿美元,创出历史新高。现在保持在43.6亿美元。令人不解的是,2019年业界称之为DeFi元年的历史上,大约的锁仓量有10亿美元,甚至在312黑天额事件时,锁仓量下降为5亿美元,但这丝毫没有减少大家对DeFi,经过6月到7个月不到两个月的是时间,DeFi又创造了惊人的锁仓量。从下面图示可以看出,DeFi锁仓量最近几乎呈直线上升趋势。 (数据来源:debank) 而在这43.6亿的锁仓量中,其中12.3亿美元来自于 Maker的贡献,几个头部分DeFi项目占据了大部分的份额。 (数据来源:debank) 从代币价格来看,念头羊ETH经过了这几天的上涨之后,现价格这342美元,比起sBTC的11300美元和YFI的3764美元还是又太多差距,这个价格只是它们的零头。这些治理代币大部分在上线之后都不同程度的出现了暴涨。其中YFI这个聚合器协议最疯狂上涨了140倍,最高达到4664美元,说它是百倍币一点也不夸张。 【DeFi 真正的安全隐患在哪里】 从以上这些数据来看,DeFi 生态是完美的,它的发展似乎无懈可击。然而它的真正危机会在哪里? 昨天无意中看到比特派的一篇文章,《以太坊 DeFi 生态当前最大的安全隐患》,也许能找到我们想要的答案。 这个最大的风险就是以太坊生态最基础的授权模型。 Lendf.me的盗币事件,相必大家都有所了解。2020年4月19日Lendf.Me遭到黑客攻击,价值2500万美金的资产被盗,就连币乎的创始人咕噜也中招,并在媒体上发表了一篇《币乎咕噜踩雷记》来警示大家。 但是很幸运,这个黑客有点笨,笨到没有隐藏自己的IP,被追踪之后在4月22日全额退还了资金。总结事件,后来大部分认为,这次攻击并不是黑客所为,而是一名普通的程序员利用合约漏洞轻而易举的实现了攻击。用正常的思维来看,如果一个盗币的黑客连最起码的隐藏身份都做不好,也不能称之为黑客。 退一步来说,如果这次事件为真正的黑客所为,并且经过了缜密的计划和筹备,而不是一个菜鸟级的程序员,估计追回这2500美元,定会费尽周折,或者永远追不回来。 在这次盗币风波之后,大家对DeFi 生态的安全讨论了一阵子,聊了聊智能合约的风险。因为大家的钱都回来了,基本上都是“好了伤疤忘了疼”,再加上现在大家都DeFi 赚到了钱,至于安全不安全,风险不风险的,基本上都已抛之脑后。 这个授权模型是个什么鬼,比特派在文章中也举例说明了: 总结文章的精华:如果你有100万的USDT放在你的钱包里,如果参与去中心化的 DeFi 智能合约,即使你投次了1万的USDT,因为有授权模型的存在,你可能会损失的不仅仅是1万USDT,,而是包括你钱包的99万USDT。甚至于你把剩余的99万USDT放在冷钱包也没有用,你的资产可能在智能合约的管理中在很短的时间内全部灰飞烟灭,让你的钱包余额变成零。 在不经意间,你会把你的钱包地址授权给智能合约,从而无限动用自己全部 USDT 的权力。 这是在etherscan随便挑选的一笔交易,所以说这种授权有普遍性,大部分的DeFi 并不了解自己的授权程度,都一致认为自己的资产在去中心化的智能合约之上,是绝对安全的,不存在被第三方取走的可能性。 但事实并不是如此,你在完成这一授权之后,智能合约可能不用你的许可,支配你的所有资产。这跟我们的授权委托人一样,实际上他从某种意义上来说,这个被委托人就是你自己。智能合约也一样,既然你完成了授权,它就可能代表你来进行帐户操作,甚至可能把你的币全部清空。 当然,一个智能合约如果有执行时,不小心写出一个可能被第三方动用授权者资产的漏洞。这个漏洞一般用户是无法发现的,如果被某些有所企图的人利,团体并没有及时发现一漏洞,你的币被转移的可能性很大。 事实上,智能合约的设计非常复杂,并不是一两个代码就能形成了。正是因为这种设计复杂性,往往伴随着很多的漏洞,不可能做到100% 安全,这一点我们从 Lendf.me的盗币事件也会深有体会。 【滥用授权的项目案例】 建议对照自己参与的项目,根据文中提示,做一次安全检查。 以上这些项目可能存在开启你资的无限授权模式,给你的资产带来极大的风险。 【如保正确的避开智能合约的坑】 现在大部人对智能合约无限授权都不了解,那我们应该怎么做,才能避免自己资产受到损失呢? 1、分开储存,专款专用 将参与DeFi项目的资产与正常交易的资产分开来放。如果你有100万USDT,你打算用10万USDT来参与智能合约项目。你把10万的USDT存放在其中一个钱包之内,让合约只调用专用地址来保护你的资产。因为一个漏洞可能会让你的资产归零,最可怕的是因为无即授权的存在,你该地址上的所有的资产会一起消失,包括你没有参与DeFi合约的资产。 2、认清无限授权,智能合约并不安全 不要过分的迷信去中心化的智能合约,它并不是百分百安全的。 3、据原文作者称,比特派钱包有授权扫描功能,可能看到你参与的智能合约获取了哪些权限。我觉得,有兴趣的朋友们,可能试试。(原文作者为比特派有王婆卖瓜的嫌疑) 4、检查自己参与的 DeFi 合约,取消相关授权,认清你参与的有哪些可以不经你的许可直接转走你钱包里的资产,从而谨慎参与其中。 V神在最近的播客节目中也提示不要低估 DeFi 智能合约风险。 “DeFi还不错,但不是一个应该倡导很多普通人把毕生积蓄投入其中的地方。我认为一个重要的问题是,很多人低估了智能合约的风险。它的利率比传统银行账户的利率要高很多,这意味着DeFi产品的风险也要大得多,‘崩溃’的几率也要高得多。” 这个提醒并没有引起大家太多的关注,因为大家都忙着 DeFi 上挖矿赚钱,你却说有风险。V神提到这个风险明显不符合大家的味口,没有理也是正常的。 在《币乎咕噜踩雷记》中,咕噜在文章最开始就阐述了,智能合约代码安全性引入风险是 DeFi 合约最主要的风险。“这是目前,我个人认为占了总风险的大多数。“这跟比特派、V神的观点是一致,都在提醒大家智能合约的危险性。 整个DeFi生态发展不足2年时间,DeFi 生态存在着很多未知的风险,关键是我们如何正确的认知和规避这些风险,在管控好风险的前提下,适度参与其中。因为任何新事物的发展不是一帆风顺的,DeFi也一样。它仍被大多数人看好,因为去中心化金融代表着区块链的未来。 参与资料:https://mp.weixin.qq.com/s/WJWq1XPkK7su4sK6otdtug(更多内容请参阅原文) —- 编译者/作者:区块高度 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
警惕:以太坊 DeFi 生态的智能合约向自己索要无限授权,这可能让你的资产归零
2020-08-01 区块高度 来源:区块链网络
LOADING...
相关阅读:
- mykey钱包,大爱无言!!2020-11-01
- 抛售持续,年度金融(YFI)未平仓合约创下历史新高2020-11-01
- 美国大选:卡尔达诺的查尔斯·霍斯金森为唐纳德·特朗普提供帮助2020-11-01
- 13854美元,比特币今年的高点?千倍合约你敢玩吗?2020-11-01
- 比特币刷新去年高点后急跌尾盘行情分析2020-11-01