LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 区块链资产 > 如何从DeFi中获得安全性和用户信心?

如何从DeFi中获得安全性和用户信心?

2020-05-08 洁sir 来源:区块链网络

随着最近的dForce头条新闻以及关于DeFi和区块链协议的重复再入攻击,还有其他安全隐患的反复出现,我们不得不问一个重要问题,即如何在去中心化项目中实现安全性并获利用户信心?


在Conflux Network,一直在问自己如何才能保护即将到来的去中心化应用程序,正在采取广泛的预防措施,以防止在Conflux网络上启动的DeFi项目遭受此类攻击,其中包括加拿大智能合约安全审核协议Quantstamp。


再入问题


尽管再入问题在整个DeFi生态系统中广为人知,但由于ERC-777标准(ERC-20的一种更灵活的版本)中的类似漏洞,以及最近发生的2500万美元Lendf.Me被盗事件仍然发生了。它的一项功能——“挂钩”简化了交易,但也使再入攻击变得更加容易。

Consensys有一份审计报告,说明“钩子”如何使实施ERC-777标准的项目可能遭受再入攻击。从总体上讲,再入攻击在概念上并不复杂,—合同与另一个合同进行交互,但是第二个合同选择调用,或重新输入第一个合同,并且能够实现与开发者目标不同的目标。但是,在应用程序中,它们可能很难检测,并且可能隐藏在多层代码后面。这使其成为区块链,尤其是以太坊世界中诱人的攻击媒介。因此,臭名昭著的DAO利用依赖于单个功能的再入问题,而最近的dForce利用则涉及跨功能的再入问题,即通过调用不同的功能重新进入合约。

示例与对区块链的启示

2500万美元的资金被盗之后,DeFi和dForce社区的反应在亚洲和北美市场各不相同。基于微信的讨论和吸引力,中国似乎相当乐观,市场交易量正在缓慢回升。一位用户说:“昨天取回了被盗资产后,一个朋友问我还会使用lendf.me吗?我说过,这取决于Lendf.me之后如何恢复和更正自身。我仍然会以很高的概率使用它,但是会重新审视它。这场危机使我看到了更加清晰的现实。”


在全球另一端市场,这种攻击可能进一步阻碍了中国DeFi协议的前景。加上近期的大量裁员,以及先前对公司代码的指责;再加上中国项目资金短缺,交易冻结以及用户资金被盗的头条新闻,短期内在中国市场上的DeFi项目可能会受到北美的影响。但是,从长远来看,北美不应抹杀来自亚洲市场的DeFi创新。

当DeFi首次在美国起步时,问题无穷无尽,并且追溯到一些臭名昭著的ICO的根源,这是正常的,因为我们知道新的市场很快就会有一个关键点出现,因此我们要以开放的心态来测试和开发其创新在DeFi生态系统中的角色。


DeFi在亚洲已经发展起来,但仍远未达到美国项目所能达到的水平。目前锁定在DeFi中的大约10亿美元中,亚洲项目成功筹集了不到10%的资金,主要是受到该领域领导者的影响。并将类似的概念应用于Lendf.Me和Compound等亚洲市场。为了使亚洲发展其DeFi生态系统,并占用更大的市场份额,项目不仅应汲取dForce的失误,还应吸取DeFi和其他金融科技初创公司首次尝试时的失误,尽管它们其中一些后来成为数十亿美元的创新项目。旨在不仅创造新的创意想法,而且还能够在审计和其他安全措施方面提供更高的透明度。


中国大部分地区目前仍在通过中央交易所持有其加密资产,因此很容易将其汇总在一起。
中国市场显然对安全性的重视程度与北美市场一样重要,如果普通民众对第三方持有资产感到满意,那么他们就不必担心DEX和其他DeFi协议会损失资金,导致得出的结论是:DeFi的下一个推动力是通过提高CEX的安全性来吸引流动性,并努力朝着不会发生此类攻击的未来发展。

从潜在用户问题中获得信任

虽然区块链项目始终承诺安全性,但事实证明,成功部署DeFi解决方案是一项艰巨的任务,可能会导致社区普遍灰心。然而,根据2019年德勤全球区块链调查的结果,向公司实施区块链的前景和想法仍然乐观,接受调查的公司中有50%以上将区块链技术列为关键优先事项。在将区块链作为优先事项的组织中,大多数组织将隐私和安全性视为主要关注的问题。


重要性


与集中式数据库,如SQL注入攻击和堆栈缓冲区溢出攻击相关的风险相比,我们应该在行业中认识到区块链提供的安全性。尽管区块链存在51%的攻击和再入的问题,但我们必须做出相应的响应,并通过促进安全措施,例如去中心化保险,预言机,ZKSnarks,更具体地说是审计来防止此类攻击。如果不使用更多的安全工具,我们会将自己的市值限制为10亿美元,并且很可能无法从当今的集中式系统中吸引更多的用户。

如何填补Defi中的安全空白

区块链生态系统中的再入问题已影响Conflux Network的开发人员消除虚拟机(VM)级别的可重入性。这意味着不需要特定的代码模式,互斥状态或任何其他临时修复程序。如果发生再入问题,网络将简单地中止交易,从而完全关闭攻击媒介。同样,我们审核所有工作,以确保用户和开发人员与我们的协议进行交互,将确保所有相关方的安全,我们利用可信赖的第三方来测试我们的合约,并确保我们不易受51 %攻击和再入。


Conflux通过基于DAG的Nakamoto共识,数据透视链和PoW的集成,提供了针对51%双花攻击的网络安全性。在诸如比特币或以太坊这样的网络中,共识由PoW处理,并接受最长的链作为有效链。因此,所有其他链均被丢弃。以最简单的形式并假设攻击者拥有51%的哈希能力,一旦攻击者形成最长的链,攻击就会成功。在Conflux上,枢轴链由GHAST规则选择,并且枢轴块与先前的枢轴块一起连接到其他块和链的网络。为了还原链,攻击者必须生成一个比目标块的子树重的块子树。与生成最长的链相比,创建较重的子树涉及多个链的连接,因此完成攻击要困难得多。


Conflux的最终目标是为虚拟货币和数字资产提供一个安全,稳定的平台。其中一个步骤是消除区块链历史上许多大规模利用的根本原因。这为Conflux网络上的开发人员和智能合约提供了内置保护,以帮助所有用户安全地推进去中心化商业生态系统发展。

原文链接:https://medium.com/@ConfluxNetwork/achieving-security-confidence-in-defi-6867cda12165

—-

编译者/作者:洁sir

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...