月亮链 月亮链
Ctrl+D收藏月亮链
首页 > TUSD > 正文

DEF:代码漏洞、黑客、市场波动、套利者:DeFi 风险管理的范式_DefyDefi

作者:

时间:1900/1/1 0:00:00

DeFi是指用智能合约实现的去中心化金融协议,包括资产交易、借贷、保险、各种衍生品等等;除信用服务外,现实中的金融服务都可以通过DeFi协议实现。这些协议都是去中心化、自动运转的,没有第三方机构在管理和维护,所以合约的风险控制便成为行业难题。

DeFi兼具了金融和科技双重属性,主要包含以下风险:

1. 代码风险。包括以太坊底层代码风险,智能合约代码风险,钱包代码风险等。比如当年著名的DAO事件,近期的Uniswap漏洞攻击问题,各类钱包被盗事件,都是代码风险造成的。

2. 业务风险。主要是业务设计过程中留有漏洞,被人合理攻击或操纵。比如当年FOMO3D被堵塞攻击,又比如dZx错误使用了不抗攻击的Uniswap预言机,被合理打压价格盗取资产,这类人称之为套利者。套利者对一个DeFi项目既有不利的一面,也有有利的一面。

Medusa勒索软件称已“窃取”Bing和Cortana源代码:金色财经报道,Medusa 黑客组织的成员声称窃取了 Microsoft 内部资料,包括 Bing、Bing Maps 和 Cortana 的源代码。攻击者已经发布了大约 12 GB 的数据。 据安全研究人员称,泄漏包含该公司产品的数字签名,其中许多是最新的。同时,他们表示这些信息最初是在 2022 年因 Lapsus 黑客的攻击而被盗的。当时,微软确认系统遭到黑客攻击,但声称客户端代码和任何数据都没有受到泄漏的影响。

专家提醒注意这两个小组的相似方法,但是,它们之间的联系尚未得到证实。[2023/4/22 14:20:07]

3. 市场波动风险。DeFi在设计时缺少一些应对变量,导致市场极端情况发生出现穿仓。比如MakerDao在312的表现,主要就是市场极端波动风险造成的。

BSC生态Rabbit Finance代码存在漏洞,或有跑路嫌疑:Medium用户Anonymous Dev发布文章称,BSC生态Rabbit Finance代码存在大量漏洞,或有跑路嫌疑。漏洞包括:1. 代币RABBIT的总供应量不是团队所称的203,000,000的硬顶;2. Rabbit's FairLaunch的拥有者可以随时无限量发行RABBIT代币;3. 100%的仓位可以随时被清算,资金随时会被盗,可配置的协议参数没有最大限制;4. 平台的所有资金都可能被盗;Rabbit的EOA账户可以随时升级执行合约据悉,Rabbit Finance是BSC生态杠杆流动性挖矿协议Alpaca Finance的竞争者,TVL约4.8亿美元,且经过了Certik和Chains Guard的安全审计。当前,代币RABBIT报0.27美元,24H跌幅近65%。另外,官方未对此事作出回应。[2021/7/14 0:50:17]

4. 预言机风险。预言机提供全局变量,是大部分DeFi的基础,如果预言机遭遇攻击或者出现停摆,则下游DeFi会陷入崩溃。我们认为预言机将成为未来DeFi最重要的基础设施,带有任何中心化风险的预言机,最终都会走向消亡。

动态 | 安全公司:Atlassian Jira存在未授权服务端模板注入远程代码执行:据慢雾安全情报得知,Atlassian Jira Server 和 Jira Data Center 存在服务端模板注入远程代码执行漏洞。成功利用此漏洞的攻击者可对运行受影响版本的 Jira Server 或 Jira Data Center 的服务器执行任意命令,从而获取服务器权限,严重危害网络资产。 慢雾安全团队注意到数字货币相关项目方等都流行使用 Jira 进行项目管理。特此提醒注意及时升级。(IMEOS)[2019/7/13]

5. “技术代理”风险。主要是指对智能合约和区块链不熟悉的普通用户,使用了中心化团队开发的“便利”交互工具,这一工具本身可能存在风险。

任何DeFi项目在设计时,都应将以上风险考虑进去。完整的流程不仅仅是文档内做好提示,还需要一些风险管理手段。这些手段大部分以去中心化的方式进行,少量以社区治理的方式完成(主要是指链上治理)。这里我们提出一个DeFi风险管理框架,主要分为事前、事中和事后:

事前:主要是对合约代码进行形式化验证,包含弄清楚合约使用的方法、资源甚至是指令的边界,以及这些方法、指令、资源在组合过程中的相关性影响,没有经过论证的方法或没有找到边界的组合坚决使用。这不是传统软件开发测试的思维,这是一个接近数学论证的理念。好的合约开发应该建立在已经论证过的方法组合上。

事中:事中主要是停机设计和异常触发设计,即合约对攻击行为能进行识别与干预,包含自动停机设计和治理停机设计。而异常触发是对合约运行过程中,超预期现象的一种控制管理;异常触发一般是自动的,通过异常触发修正一些风险管理变量。可以参见NEST预言机系统中的beta系数和防堵塞攻击设置,这是行业内率先考虑停机及异常触发的一个实践。

事后:事后风险管理包含几个部分,首先是代码出现漏洞,需要进行修正,一般通过链上治理,即DAO治理的方式。其次是治理资产本身遭遇攻击,此时需要进行合约分叉!这是一个行业忽视的盲点。其次是通过保险机制,对合约可能的风险进行保险,从而降低损失。最后,社区可以通过链上数据的追踪,与各类机构合作追踪损失。关于链上治理和合约分叉,可以参见NEST的设计,这是一个创新。

以上是我们对DeFi安全的一个系统框架,仅供大家参考。目前行业内对安全的理解,过于早期,也过于传统;如果不能转变思维,将边界、完备性、一致性、形式化验证、停机、异常触发、治理、分叉等新的思想引入,是不能适应未来发展的。

作者:NEST爱好者_九章天问

标签:DEFEFIDEFIRABBITDefyDefidefibox币价格My Defi Legendsmoonrabbit币最新消息

TUSD热门资讯
区块链:杭州金融科技监管沙盒实施方案或将出台_ABS

杭州市即将召开针对金融科技监管沙盒的政策解读会。21世纪经济报道记者了解到,杭州的实施方案将由人民银行杭州中心支行领衔,浙江省银保监局、浙江省金融局以及杭州市金融局四方联合制定.

1900/1/1 0:00:00
比特币:金色深度丨以史为鉴 比特币价格会在“减半”后下跌?_eos币最新利好消息

金色财经 区块链5月5日讯 比特币第三次区块奖励减半即将到来,在这一重要事件发生之前的几周,比特币价格再次大幅上涨。不过,从历史数据来看,在供应量改变之后,比特币可能会遭受暂时价格回调.

1900/1/1 0:00:00
比特币:金色硬核 | 比特币不是通缩货币 比特币减半也不是量化紧缩_BSPAY

金色财经近期推出金色硬核(Hardcore)栏目,为读者提供热门项目介绍或者深度解读。按:5月12日比特币成功完成第三次减半.

1900/1/1 0:00:00
MAKE:金色前哨 | MakerDAO已正式关闭单抵押Sai系统_SaitaMars

金色财经讯,5月12日,MakerDAO正式关闭单抵押Sai系统,目前MakerDAO协议已完全过渡到多抵押Dai系统.

1900/1/1 0:00:00
ELT:搞不清看涨期权与看跌期权?看这两个故事就懂了_delta币在哪空投

本文将通过两个故事,主要讲述看涨期权与看跌期权及其基本应用。1636 年欧洲的郁金香热是一个经典的经济学和金融学案例研究,在这个案例中,需求激增导致单一商品飙升到荒谬的价格.

1900/1/1 0:00:00
比特币:金色前哨丨57%国内矿工预计会有新比特币购买者入场_以太坊

金色财经 区块链5月5日讯  大多数中国矿工预计在未来六个月内会有大量新比特币(BTC)购买者入场.

1900/1/1 0:00:00