随着最近的dForce头条新闻以及关于DeFi和区块链协议的重复再入攻击,还有其他安全隐患的反复出现,我们不得不问一个重要问题,即如何在去中心化项目中实现安全性并获利用户信心?
再入问题 尽管再入问题在整个DeFi生态系统中广为人知,但由于ERC-777标准(ERC-20的一种更灵活的版本)中的类似漏洞,以及最近发生的2500万美元Lendf.Me被盗事件仍然发生了。它的一项功能——“挂钩”简化了交易,但也使再入攻击变得更加容易。 Consensys有一份审计报告,说明“钩子”如何使实施ERC-777标准的项目可能遭受再入攻击。从总体上讲,再入攻击在概念上并不复杂,—合同与另一个合同进行交互,但是第二个合同选择调用,或重新输入第一个合同,并且能够实现与开发者目标不同的目标。但是,在应用程序中,它们可能很难检测,并且可能隐藏在多层代码后面。这使其成为区块链,尤其是以太坊世界中诱人的攻击媒介。因此,臭名昭著的DAO利用依赖于单个功能的再入问题,而最近的dForce利用则涉及跨功能的再入问题,即通过调用不同的功能重新进入合约。 示例与对区块链的启示 2500万美元的资金被盗之后,DeFi和dForce社区的反应在亚洲和北美市场各不相同。基于微信的讨论和吸引力,中国似乎相当乐观,市场交易量正在缓慢回升。一位用户说:“昨天取回了被盗资产后,一个朋友问我还会使用lendf.me吗?我说过,这取决于Lendf.me之后如何恢复和更正自身。我仍然会以很高的概率使用它,但是会重新审视它。这场危机使我看到了更加清晰的现实。”在全球另一端市场,这种攻击可能进一步阻碍了中国DeFi协议的前景。加上近期的大量裁员,以及先前对公司代码的指责;再加上中国项目资金短缺,交易冻结以及用户资金被盗的头条新闻,短期内在中国市场上的DeFi项目可能会受到北美的影响。但是,从长远来看,北美不应抹杀来自亚洲市场的DeFi创新。 当DeFi首次在美国起步时,问题无穷无尽,并且追溯到一些臭名昭著的ICO的根源,这是正常的,因为我们知道新的市场很快就会有一个关键点出现,因此我们要以开放的心态来测试和开发其创新在DeFi生态系统中的角色。
从潜在用户问题中获得信任 虽然区块链项目始终承诺安全性,但事实证明,成功部署DeFi解决方案是一项艰巨的任务,可能会导致社区普遍灰心。然而,根据2019年德勤全球区块链调查的结果,向公司实施区块链的前景和想法仍然乐观,接受调查的公司中有50%以上将区块链技术列为关键优先事项。在将区块链作为优先事项的组织中,大多数组织将隐私和安全性视为主要关注的问题。重要性 与集中式数据库,如SQL注入攻击和堆栈缓冲区溢出攻击相关的风险相比,我们应该在行业中认识到区块链提供的安全性。尽管区块链存在51%的攻击和再入的问题,但我们必须做出相应的响应,并通过促进安全措施,例如去中心化保险,预言机,ZKSnarks,更具体地说是审计来防止此类攻击。如果不使用更多的安全工具,我们会将自己的市值限制为10亿美元,并且很可能无法从当今的集中式系统中吸引更多的用户。 如何填补Defi中的安全空白 区块链生态系统中的再入问题已影响Conflux Network的开发人员消除虚拟机(VM)级别的可重入性。这意味着不需要特定的代码模式,互斥状态或任何其他临时修复程序。如果发生再入问题,网络将简单地中止交易,从而完全关闭攻击媒介。同样,我们审核所有工作,以确保用户和开发人员与我们的协议进行交互,将确保所有相关方的安全,我们利用可信赖的第三方来测试我们的合约,并确保我们不易受51 %攻击和再入。
原文链接:https://medium.com/@ConfluxNetwork/achieving-security-confidence-in-defi-6867cda12165 —- 编译者/作者:洁sir 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
如何从DeFi中获得安全性和用户信心?
2020-05-08 洁sir 来源:区块链网络
LOADING...
相关阅读:
- 卡尔达诺凭借雪莱硬叉赢得了权力下放2020-08-03
- 波卡周报 | DOT 转账功能将于下周二进入执行阶段2020-08-03
- 区块链游戏文摘7月27日至8月2日2020-08-02
- 雨欣谈币:比特币今日暴跌之后有多少朋友跟上策略完美盈利2020-08-02
- 辉神解币:8.2比特币趋势分析2020-08-02