客服QQ:872490018

DeFi热潮下的安全隐患:流动性危机恐将造成连锁反应 | 非正式会谈

DeFi热潮下的安全隐患:流动性危机恐将造成连锁反应 | 非正式会谈-碳链
2020年来区块链世界最大的热点非DeFi莫属,造富效应惊人。但随着新项目新玩法层出不穷,安全事件频繁出现,部分投资者也损失巨大。
8月21日,陀螺非正式会谈邀请到慢雾科技合伙人兼产品负责人启富、北京链安COO王延巍,一同探讨DeFi目前存在的一些安全隐患以及如何去应对和防范这些风险。
直播主题:DeFi虽热,安全隐患不容忽视
嘉宾:慢雾科技合伙人兼产品负责人启富、北京链安COO王延巍
主持人:陀螺财经副主编 Blake
以下为本期直播的文字整理实录:

DeFi主要涉及技术、规则、生态三大安全问题

1.上周暴涨的DeFi项目Yam受到很多资金的追捧,最终却因“一个代码公式的错误”导致项目失败,想请问下这里暴露了哪些安全问题?从安全角度你们如何看待这个事件?

慢雾科技启富:简单来说就是YAM官方在合约中发现负责调整供应量的 rebase 函数发生了问题,导致多余的 YAM 代币放进了 YAM 的 reserves 合约中,最要命的是多出来10的18次方这么多的币,原因是合约代码里本来是要除以币的精度(10^18),但是漏掉了。

这其实是个低级错误,建议广大区块链生态的项目方,在产品上线前进行充分的测试,找专业的区块链安全公司进行安全审计,把安全漏洞扼杀在产品上线前。

北京链安王延巍:从安全角度来看,YAM首先在内部的开发管理上就有问题,其实rebase本身是机制的一个常见操作,只要做内部用例测试,这样的问题很容易暴露出来。

2.不少人说DeFi现在虽热,但其整体发展仍然任重而道远。作为区块链安全团队,你们认为现在DeFi项目中主要存在哪些风险?

北京链安王延巍:在我们看来,DeFi中主要涉及三类安全问题。

  • 首先是核心业务本身的技术安全问题,也就是智能合约开发过程中一些代码和逻辑本身的安全防护不好,YAM就是典型。


  • 其次就是规则的安全问题,因为规则本身考虑不妥,有被他人利用规则漏洞的空间,也会对使用者的资产造成威胁,某种程度来说这已经是“金融安全问题”。


  • 最后是生态的安全问题,底层是否有足够的支撑,或者生态上是否有足够的工具和机制保障。典型的就是“假币”问题,这也是Uniswap上热议的一个问题。

慢雾科技启富:比较通用的安全问题有:权限控制漏洞、拒绝服务漏洞、重放攻击漏洞、随机数漏洞等。

除此之外,业务逻辑漏洞是比较特殊的一种,DeFi项目因为有很多独创性的玩法,容易在某些极端情况下,由于考虑不周存在漏洞。

3.没有经过安全审计的DeFi项目可能会出现什么问题?在审计过程中,你们会重点关注哪一部分?

北京链安王延巍:首先说一句可能的废话:可能出现任何问题。

可以想象,如同YAM这样极受关注的项目都能出问题,还有什么DeFi不能出问题。如今的DeFi跟1CO一样,很多都是相互模仿,找来代码改改,中间的“带病代码”很多,安全隐患很大。

在我们的审计中,会有专门的Check List,一项项去检查,首先还是技术问题,那些明显可能被利用的安全问题需要指出来。另外,还有一类问题是逻辑问题和业务问题,比如我们会指出一个重要的操作权限控制需要注意,一个业务可能由于缺少一个限制会被滥用。

慢雾科技启富:可能会出现的问题很多,例如合约内资产被盗、代币总量莫名被增发等。

在安全审计过程中,除了常规的安全checklist外,还会特别关注项目的业务逻辑和相关独创性的设计。全面、深入的理解DeFi项目的业务逻辑、经济模型等内容,经常反复的阅读技术白皮书,以及和项目方进行深度的技术沟通,在此过程中,双方会碰撞出很多业务逻辑上的缺陷和增强点。

“假币”问题引争议

4.近日,一位匿名开发者花费20个ETH提前部署了热门DeFi治理代币CRV合约,导致Curve用户对不公平的"预挖矿 "进行指控,为什么会出现这种情况?如何才能避免?

北京链安王延巍:Curve算是有明确“官方”的项目,抢发其实类似于“假币”问题,什么叫“假币”,非官方的就是“假币”。

Curve这件事属于劫掠,要是谁都能部署一个合约去倒腾出CRV,那就乱了,解决这个问题的核心首先是行业要达成共识,大家要认同官方的CRV,其它合约下的交易所不收,钱包警示,社区排斥。甚至,是否可以上升到法律层面?

慢雾科技启富:Curve这个问题比较尴尬,建议其他项目方在开发、测试、预发布时,采用不同的部署环境,互相隔离开来,同时尽量不要采用已被标记过的钱包地址,避免被社区发现相关操作痕迹。
5.今年上半年DeFi项目“闪电贷”引发的“bzx被盗”事件,暴露出目前DeFi系统性金融风险存在一定隐患,想请教为什么会出现这类事故?未来应该如何避免此类事情再次发生?

慢雾科技启富:这个事件暴露出DeFi的系统性金融风险,针对这个问题,我们之前给的建议是:项目方在使用预言机获取外部价格时,应设置保险机制,每一次在进行代币兑换时,都应保存当前交易对的兑换价格,并与上一次保存的兑换价格进行对比,如果波动过大,应及时暂停交易。防止市场被恶意操纵,带来损失。
北京链安王延巍:其实这个bzx“被盗”就是前面我说的规则安全问题,或者说金融安全问题。

当时媒体报道的用词也很有趣,有的说“漏洞”,有的说“滥用”,一个倾向于技术角度,另一个倾向于规则角度,在我看来这里面核心还是规则逻辑问题。

对于这个问题,很可能纯代码角度推演很难马上发现,需要的是一个动态的安全监控和观测。在bzx这件事上,其实1inch.exchange 在问题充分暴露前发现情况不对,并向项目方反映,而从1inch.exchange的口径来看,项目方竟然因为安全审计费用2000美元还是1500美元的这500美元的差额把这个问题放过了,这实在是因小失大,也是对用户的不负责。

作为DeFi项目方,如果想做长久,对用户负责,从代码到上线,到运营期间都应该关注技术、规则、生态三个层次的安全问题,才能持续做大。

若再次遭遇极端行情,DeFi项目恐将出现连锁反应

6.如何防范DeFi的系统性风险?面临极端的行情波动时,现在的DeFi生态是否能承载?

北京链安王延巍:DeFi领域与1CO不同,1CO最后其实就是上交易所交易,再叠加一些基于交易所提供的诸如杠杆、衍生品的风险。而DeFi本身已经在设计一些金融业务的规则。

如今DeFi的火爆,已经让以太坊出现拥堵和手续费大涨的情况,一旦爆发危机是否会迅速升级为严重的流动性危机?这是很考验DeFi生态的,在项目方热衷解析其模式创新性的时候,我们很少看到有人说它的风控,以及面对极端情况是否有应对方案,用户可能遭受的损失是什么?我认为DeFi项目方需要对自己的模型做一定的“压力测试”来准备可能的风险。

慢雾科技启富:关于防范DeFi的系统性风险问题,我觉得成熟有效的风控机制是很关键的,它能够让项目具有稳健的能力来对抗“黑天鹅”事件。

前几天在朋友圈里看到这样一句话:"YAM收益依赖于YFI,YFI收益依赖AAVE,AAVE收益依赖COMP,COMP收益依赖MKR,这是不是DeFi的次贷泡沫呢"。

假如再次遭遇312那样的暴跌行情,目前的DeFi项目可能会出现连锁反应。

7、普通投资者在投资DeFi项目前,需要了解哪些知识才能更好地确保资金安全?

慢雾科技启富:普通投资者,在参与DeFi项目前,尽量选择那些上线时间超过半年,且经过安全审计的项目。

北京链安王延巍:尽可能控制风险的措施,总结下来有以下4点:

1、先确保参与项目的安全性,最起码做了专业安全公司的第三方安全审计。

2、当然,有可能你搞不懂技术细节,弄不清安全审计是啥东西。建议投资大的中心化交易所交易上线的DeFi币,尽管可能会让你的投资可选品种受限,但起码交易所会做一些安全工作,过滤掉一些有明显安全问题的项目。

3、和交易所一样,如果相关DeFi项目遭遇安全攻击受到同样的损失,大平台可能扛得住,小平台可能彻底关门走人,所以一般投资尽可能参与成规模的项目。



推荐阅读:

*文章为作者独立观点,不代表碳链立场
本文由 陀螺财经 授权 碳链 发表,并经碳链编辑。转载此文章须经作者同意,并请附上出处(碳链)及本页链接。原文链接http://www.itanlian.com/chainnews/4034.html
发表评论
坐等沙发
相关文章
如何解读中国加快推进区块链基础设施建设的意义?
如何解读中国加快推进区块链基础设施建…
YFI创始人:做DeFi让我心生畏惧,请谨慎使用
YFI创始人:做DeFi让我心生畏惧,请谨慎…
慢雾为香港浸会大学金融硕士课程赞助“慢雾网络安全奖”​
慢雾为香港浸会大学金融硕士课程赞助“慢…
一个知名区块链游戏工作室是如何倒闭的?
一个知名区块链游戏工作室是如何倒闭的?
提问有奖·波卡是否有机会超越以太坊?
提问有奖·波卡是否有机会超越以太坊?
慢雾:YFValue,一行代码如何锁定上亿资产
慢雾:YFValue,一行代码如何锁定上亿资产
陀螺财经
tuoluocaijing 作者
我还没有学会写个人说明!
  • 文章

    572

  • 评论

    0

广告赞助