DEF:DeFi Score：bZx事件分析及相关改进措施_SCO

编者按：本文来自加密谷Live，作者：ConsenSysCodefi，翻译：子铭，Odaily星球日报经授权转载。最近针对bZx协议的攻击为更好地评估DeFi风险提供了机会，ConsenSysCodefi团队将致力于促进该领域的透明度和风险管理，加速DeFi生态系统的发展。bZx闪电贷事件

您可能已经了解过bZx平台上的两次“闪电贷”攻击，造成的损失约100万美元。DeFi是一个仍在日趋成熟和发展的新兴行业，像这样的漏洞利用是生态系统发展必不可少的发展难题，但最终将使其变得更强大。一个没有问题的行业就像是一所没有课程的的学校一样，可见这些问题对于处在起步阶段的行业尤其具有价值。建立严格且适应性强的流程比第一次就完美无缺更为重要，并且上周的事件促使ConsenSysCodefi团队检查和改进DeFi评分方法。为了使全球金融服务将逐步转向开源可编程区块链，ConsenSysCodefi正在构建一套模块，以使其具有直接关系的客户和机构都可以更安全地进行这种过渡。为此，我们推出一种评估DeFi借贷代码和财务风险开源解决方案DeFiScore，希望利用该解决方案提高透明度，并提升外界对DeFi贷款市场相关技术和财务风险理解。DeFiScore在bZx事件中表现如何？

DeFi借贷协议Liquity完成600万美元A轮融资，Pantera Capital领投:3月29日，去中心化借贷初创公司Liquity宣布完成了600万美元A轮融资。创始人Robert Lauko在有关融资的博客文章中写道：“本轮融资将允许公司继续履行使命，改善链上借贷的获取，降低利率并简化DeFi治理。”关于新资金的具体规划，Lauko告诉The Block，“我们致力于提高用户界面友好性，让广大公众可以采用，从而改进UI启动工具包（向第三方提供）。”该轮融资由投资公司Pantera Capital领投，Nima Capital、Alameda Research、Greenfield.one、IOSG以及Meltem Demirors等参投。(The Block)[2021/3/30 19:28:11]

这件事件表明，DeFiScore风险评估模型的完善仍需要投入一些工作，以更准确地评估和传达DeFi风险。在本文中，我们将研究如何改进相关模型。但是首先，不妨先看一下在攻击发生后，当前的模型是如何调整bZx评分的，我们为其反应效果感到自豪，当然也意识到我们会有办法继续改进它。

EthHub联合创始人：未来以太坊上最好的DeFi协议将价值数万亿美元:2月8日消息，今日，EthHub联合创始人Anthony Sassano发推文称，其相信有一天以太坊上最好的DeFi协议将价值数万亿美元。并强调不要被短期的市场动向所影响，这是一个长期的游戏，我们还处于非常早期的状态。[2021/2/8 19:11:56]

自该风险评估模型发布后的六个月以来，这些分数第一次进行如此显著地调整。并且这也是单个事件第一次产生如此重大的影响。该模型本身无法识别出黑客或操纵行为，但是当用户从bZx平台上提取资金时，它对大量资金外逃作出了反应。这种“银行挤兑”现象会导致评分下降，资金池中的流动性下降而利用率飙升。因此DeFiScore在一定程度上发挥了作用，但它也引出了其他问题：DeFiScore风险评估模型是否有能力做到事前预测？如果没有的话，我们在评估模型中没有考虑到什么?如果类似事件再次发生，我们应该如何提醒用户？最初的改进措施：降低bZx的中心化评分

DeFi项目Y3D上线Uniswap代币UNI相关理财产品:DeFi项目Y3D上线理财产品yUniswap-ETH/USDT-LP，可将用户挖矿产出的UNI自动卖成Uniswap-ETH/USDT-LP进行复利代投，据CoinMarketCap数据显示，目前，UNI代币的挖矿年化约为59%左右。[2020/9/18]

在DeFi领域中，“时间锁”即为协议更变后的最短延迟时间，这是宣布协议升级与其实际实施之间的强制性“等待阶段”。时间锁定是一件好事，它可以通过允许协议用户在进行协议更改之前清理仓位来降低风险。由于我们非常看重去中心化和操作安全，当协议在合约中启动时间锁时，会发放奖励积分。2月18日，bZx使用其管理员密钥从其智能合约中去除了时间锁，但此操作促使系统自动地将其协议管理评分从2更改为1，从而导致其所有验证池的评分下降。也就是说，针对于取消时间锁的行为而言，我们的评分系统只能对小事件起作用而不能预见危机的发生。因此，这其中还有很多工作要做，以使评分变得更加稳健，透明且对智能合约的风险更加敏感。

Synthetix创始人：DeFi将淘汰传统金融科技行业:DeFi衍生品平台Synthetix创始人Kain Warwick认为，建立在以太坊上的DeFi项目最终能够实现金融科技未能实现的许多承诺。Warwick称，尽管发展了10年，但金融科技行业由于“试图为传统基础设施构建覆盖层”而受到束缚。他们面临的问题包括：金融机构的“各自为政（siloed）”体系之间缺乏互操作性，对创新的监管障碍，以及与主流合规制度相关的巨额支出。他进一步补充道：“在过去的十年里，金融科技的前景遇到了所有这些障碍和壁垒，而以太坊确实消除了这些障碍。”（Cointelegraph）[2020/7/29]

改进DeFi评分：更严格的规则和更多要求

在接下来的几周中，我们将推出一系列针对DeFiScore模型的更改，以更好的解决协议安全性和其他攻击媒介的问题。由于这些更改基于现有风险框架，因此我们会首先将其传达给社区，然后再投入实践之中。对于我们而言，DeFiScore必须保持社区主导，这一点非常重要。尽管内部团队可以提出变更建议，但最终还是要由社区来确定，评估并最终批准评分框架的任何重大更新。整个社区的参与和批准是我们团队工作的基本原则，但是我们同样认识到这些改进是时间敏感的，加入社区批准这一环节也只会促进最终的发行。因此，我们承诺将尽一切努力与社区保持相同的步伐。我们已经确定了一些我们认为可以改善DeFi评分系统的更新。对智能合约审核制定更严格的规则

金色沙龙 | 潘超：以太坊转2.0不会对现有 DeFi 合约有影响:在本期金色沙龙圆桌上，针对“V神最近表示，ETH 2.0 阶段将在今年夏天启动。以太坊转向ETH2.0会对DeFi产生什么影响？”话题，Maker DAO中国区负责人潘超表示以太坊转 2.0，一个主要的改变是逐渐从 PoW 共识转向 PoS，商业逻辑依然是还在 PoW 链上，PoS 只是并行的测试链，因此不会对现有 DeFi 合约有影响。从资产的角度来说，测试链上会多出一种带息的 ETH，并且预计很多 PoS 矿池作为托管商，会在 PoW 链上发行对该资产的凭证，并带有不同的风险和利息。这些带息 ETH 的凭证本身又会作为抵押品，发行和生成新的资产。[2020/3/11]

DeFiScore会根据协议的代码是否由信誉良好的安全团队审核来给出评分。但迄今为止，在该指标上一直都是二进制的，即“是”或“否”。它不会考虑执行审核的时间，并且不需要对升级后的主要协议重新进行审核。另外，并非所有审查都是平等的，且对智能合约进行多方面的审核都有助于确定底层协议的安全性。这些均是我们目前尚未考虑到的细微之处。到目前为止，我们提出了一个更稳健和细微的框架，以反映智能合同审核的各个方面，从而更好，更透明的对合同进行评估。我们认为这些新指南将更好地说明DeFi协议应如何处理安全性问题。我们对获得审核的相关评分要求的提议如下：至少有4个工程周专门用于审核自审核以来，未报告严重漏洞最近12个月进行了一次审核，或者自上次审核以来对代码进行了最少量的更改主网normalizedTime没有漏洞审核结果必须公开发布有赏金计划和信息安全披露例如，若该评分系统注意到上次对智能合约的审查是2018年进行的，它就会大大降低该项的评分。经济安全审核的要求

第一的bZx事件是由于智能合约的漏洞才发生的，该漏洞则利用了代码检查失败的缺陷。然而，技术漏洞仅表示了协议安全性的一个方面，正如我们在第二次bZx事件中所看到的那样，攻击者可以在不利用任何漏洞的情况下操纵市场。这次攻击导致NexusMutual支付了其首次的赎回请求。我们希望经济审核将成为任何DeFi协议安全计划的标准组成部分。我们应对协议进行市场风险审核，并应进行大规模压力测试，以评估其用户的经济安全性。Gauntlet对Compound协议的详细风险评估则是该类审核的一个实例。重新审视使用Oracle的方法

另一个代表性不强的攻击媒介是对Oracle的操纵。目前，DeFiScore解决了Oracle的风险，但也仅涉及到去中心化。当前的中心化评分不是集中在是否可操作价格数据来源，而是集中在单个实体是否可以轻松地操纵价格本身上。本质上是对Oracle的中心化程度进行评分，而这并不能解释针对于其可操纵性的其它不相关的度量。尽管已经有一些同行提出了可实现的解决方法，但有关操纵Oracle的研究仍然是一个相当新的领域。到目前为止，UMA去中心化的“证明诚实”Oracle设计似乎已经为今后可抗操纵Oracle提供了设置标准。同样值得一提的是，Uniswap的v2实施可能包括对Oracle弹性的改进，并且有传言称将会引进价格移动平均线，从而提高Oracle价格操作的成本。我们承认，必须做更多的研究来更好地了解针对Oracle的操纵以及如何评估风险，这是ConsenSysCodefi团队后续一直要做的事情。后续步骤：其他升级，更高的透明度和API的推出

除了上述对DeFiScore改进和对某些特定因素的权重进行重新分配外，平台还将会在接下来的几个月有其他的改变：更频繁的发布评分目前我们每六个小时计算一次DeFi评分，这对于我们的每日评分跟踪器比如DeFiScoreTwitterBot而言是非常有用的。

在Alpha版本中，这种发布频率并不存在什么问题。但是自发布以来的过去五个月中，我们看到我们的方法和数据对于越来越多的人和项目来说是有价值的，并且对它们的需求也越来越大。为了更好地服务于这个用户社区，我们三月份的目标是每10分钟计算一次评分。我们的长期目标是使这些分数尽可能接近实时。改善我们的API产品下个月，我们将开始推出DeFiScoreAPI的初始公开版本，以便开发人员可以以编程方式检索各个评分和其他数据点，以集成到其他系统中或呈现给用户。新的API还包括正常运行时间保证，报告以及一系列附加协议和数据池。目前，DeFiScoreAPI处于私人Beta版。将评分置于链上随着API的发行，我们还将开始在链上推送DeFiScore数据。这将使智能合约能够根据DeFiScore生成的风险数据创建自动交易。bZx事件表明，开源风险框架对DeFi的增长至关重要。ConsenSysCodefi团队通过改进评分模型，鼓励社区参与以及提供工具和服务来大力发展社区风险意识，并提供产品使用户能够在DeFi风险方面做出明智的决定。

标签：DEFEFIDEFISCOKingDeFiCredefidefi去中心化交易所下载SCOI

火币APP下载热门资讯