簡析Solana上的借貸平臺安全性_SOL

概述

一直以來，安全始終是所有金融平臺的重中之重。在無法保障資金安全的情況下，高收益都是一張張的空頭支票。這一點對于去中心化借貸平臺來說也是一樣的。回顧過去的一年，不少的借貸平臺都發生過安全事故，給用戶帶來了慘重的損失。

1.Venus大額清算事件

2021年5月18日，作為BSC鏈上最大的借貸平臺，Venus清算了超過2百萬的XVS(Venus平臺幣)。這直接導致了大量用戶遭受慘重的損失和清算，壞賬總額高達一億美元。此次安全事故的發生是因為XVS的幣價遭到了大戶的惡意拉升，用價格虛高的XVS為抵押，借出了大量的BTC和ETH。XVS的流動性相對其他主流幣而言較低，被惡意操控的風險更大。此次事故與Venus平臺收錄流動性較差的幣種有著直接的關系，平臺對于潛在風險的忽視也是這次安全事故發生的原因之一。

zkSync Era活躍度超越Immutable X和Optimism:4月2日消息，目前仍處于Alpha階段的zkSync Era僅用了一周時間就成為活躍度第二高的L2，僅次于Arbitrum One。

據l2beat數據顯示，zkSync Era過去一天的TPS為4.02，而Immutable X為3.21、Optimism為2.50，歷史數據顯示zkSync Ear鏈上最高單日TPS發生在3月23日，當日該指標值為31.64。此外，當前zkSync Ear鏈上總鎖倉量已達到9612萬美元。[2023/4/2 13:40:26]

2.Cream閃電貸攻擊

2021年10月27日，CreamFinance在推特上公開承認，他們再次遭受了閃電貸襲擊，總損失金額高達1.3億美元。這已經是該平臺本年度的第三次安全事故，前兩次分別發生在2021年的2月和8月，兩次分別損失了近0.4億和近0.3億美元。CreamFinance本年度的三次安全事故均是遭受的閃電貸襲擊，這是一種近兩年非常常見的針對借貸平臺的黑客攻擊手段。

彭博社：華爾街有望從美國加密貨幣監管重組中獲益，大銀行或與加密公司合作推出服務:2月22日消息，由于現有的許可證組合和在處理客戶資金方面的信譽，傳統金融公司和他們支持的加密貨幣托管人可能最有能力利用美國監管機構對保護數字資產的擬議修改。

對相關企業高管的采訪顯示，傳統金融客戶對數字資產托管服務的興趣正在上升，其中包括全資擁有或由華爾街公司支持的數字資產托管公司，如 PolySign Inc. 的 Standard Custody & Trust、Copper Technologies Ltd. 和 Zodia Custody Ltd.。與此同時，紐約梅隆銀行和納斯達克等大型機構的發言人表示，它們正在繼續打造自己的數字資產托管產品，評估擬議的規則變化可能對其計劃產生的影響。

老牌金融機構在數字資產平臺的托管構建上進展緩慢，因此會求助于獨立的加密貨幣托管人或與之合作。（彭博社）[2023/2/22 12:21:56]

回顧以上的安全事故，我們不難得出結論，借貸平臺的安全性主要取決于團隊對于風險的控制以及對于潛在風險的審計和測試。

以太坊開發人員將注意力轉向隱私、可擴展性和用戶友好性:金色財經消息，在ETHSeoul 2022區塊鏈的技術會議上，以太坊開發人員將注意力轉向隱私解決方案、可擴展性和增強用戶的友好性。[2022/8/10 12:15:36]

本文將會針對Solana公鏈上的借貸平臺，進行一系列的安全性分析。

Solana公鏈上的主要借貸平臺匯總

表1.Solana鏈上的主流借貸平臺

是否審計

審計是智能合約安全性的第一道防線，也是對平臺進行安全性分析時的一個重要指標。

審計的作用就像是一個監管的第三方，讓所有利益相關者可以相信平臺運作過程中的透明度，以及平臺是否遵循了目前行業標準的預期。隨著Defi行業的不斷發展和成熟，監管的標準和要求也會更加的規范化，在這個過程中，審計將繼續發揮關鍵的作用。

或因“外媒報道”至美股Robinhood盤中最高漲幅21.5%，盤后下跌6.5%:金色財經消息，據彭博社等多家外媒報道稱加密貨幣交易所FTX正為收購Robinhood的交易尋求途徑，在此不久后FTX首席執行官SBF稱，沒有與Robinhood就收購進行積極的會談，或因此至美股Robinhood盤中最高漲幅21.5%，盤后下跌6.5%。[2022/6/28 1:35:12]

表2總結了上述所有平臺的審計公司。

在上述的六個平臺中，JetProtocol是目前唯一一個在未經審計的主網上運行的平臺。盡管他們的代碼已經經過了Solana基金會所提供的外部白帽子開發團隊的審查，對此還是建議用戶保持謹慎。

Solen,Apricot,Larix以及Soda都經過了知名知名智能合約審計公司的審計。

數字藏品市場Lime Wire將向環球音樂集團旗下藝術家開放收藏品市場:5月17日消息，藝術和娛樂數字藏品市場Lime Wire宣布與環球音樂集團（UMG）簽署一項內容許可協議，將向環球音樂集團旗下的所有藝術家開放Lime Wire收藏品市場。與UMG簽約的藝術家可以在LimeWire市場上發布NFT形式的收藏品，并能夠將其直接出售給粉絲和收藏家。

此前報道，LimeWire最初為點對點文件共享平臺，今年3月份宣布將作為藝術、娛樂和音樂的數字收藏品市場重新推出，還表示將通過Algorand發行NFT與代幣。4月份，LimeWire宣布在LMWR私募代幣銷售中籌集到逾1000萬美元，Kraken Ventures、Arrington Capital和GSR領投。（limewire.com）[2022/5/17 3:22:42]

其中Soda的審計方Certik是Binance的正式合作或盤，并且得到了包括BinanceLabs,Lightspeed,MatrixPartners,andDHVC在內的知名投資者的支持。

Larix的審計方慢霧科技是目前在區塊鏈行業領先的安全性審計公司，是EOS,Cosmos,Vechain等頂級區塊鏈項目的合作伙伴。慢霧以其強大的EOS智能合約防火墻項目FireWall.X而聞名。

支持幣種

縱觀2021年的借貸平臺安全事故，尤其是以Venus5月份的大額清算事故為例，支持流動性較低的幣種的風險顯而易見。此類幣的價格極其容易被心懷不軌的人惡意操控，隨即借空平臺資產，從而導致大量的壞賬。借貸平臺在上新幣種的時候應該意識到此類風險，進行風險管理并盡最大可能保護其用戶不會成為這些惡意攻擊的受害者，這也是借貸平臺應負的責任。Venus的大額清算事故以慘痛的代價給我們上了這一課。

在本文所分析的六個借貸平臺中，Larix,Jet和Soda僅支持了不易受到市場操控影響的主流幣，大大減小了該類事故發生的風險。其余的三個平臺，Solend支持了SER,MER,SLND(Solend平臺幣），Apricot支持了ORCA，Port支持了MER、FIDA和自己的平臺幣PORT。以上均是流動性相對較低的幣種，其價格存在很大的被操縱空間，為這些平臺的安全增加了一層不確定性。

代碼開源

在評估借貸平臺的安全性時，代碼是否開源是另一個重要的指標。開源意味著所有的代碼都是公開透明的，每個人都有訪問權限。開源的代碼會為平臺增加安全性主要是因為以下幾點。

?由于開源代碼的透明性，更多雙眼睛可以幫助平臺一起尋找并維護代碼

?開源代碼意味著平臺在解決安全隱患時將會更有效率，極高的公眾可見性為解決漏洞增加了緊迫性

?開源代碼意味著開發人員無法在代碼中鑲嵌惡意指令

在本文今天所分析的所有平臺中，只有Larix和Solend在官網上明確表示他們的代碼是開源的，其余平臺的代碼是否開源或部分開源尚不得而知。

預言機

借貸項目最主要的風險來自于兩個方面，第一是私鑰泄露，第二就是報價出錯。其中報價出錯除了支持資產的價格被惡意操縱外，還有很大的風險是來自于預言機的報價錯誤。Solend就曾因為mSOL報價錯誤，導致不少用戶被錯誤清算，損失資產的情況。而Apricot官方近日也緊急下架了LP抵押功能，并承認了其LP計價方式有誤，但還是導致部分用戶被錯誤清算損失了資金。目前這幾家借貸采用的主要還是Pyth的預言機方案，ChainLink還未支持Solana資產的報價。但比較合理的還是中心化和去中心化交易所，以及預言機喂價相互校驗的喂價機制。

漏洞賞金計劃

漏洞賞金是一個為借貸平臺增加額外安全性的機制，為發現漏洞并上報給平臺方的人提供豐厚的賞金，該計劃鼓勵社區和白帽子黑客對智能合同的安全性進行審計。Solend,Larix和Port都有明確的漏洞賞金計劃。2021年11月，Solend和Larix聯手向發現并上報了SPL代幣借貸庫漏洞的Neodyme團隊提供了豐厚的賞金。

總結

在金融中，有一個理論叫做’不可能三角’理論，即高流動性，低風險和高收益是無法同時滿足的。這個理論同樣適用于加密領域的投資，因此，與其不停的追逐更高的收益，我們應該停下來花一點時間來思考我們資產的安全性。畢竟，如果賺了利息，但卻丟了本金，那可就真是撿了芝麻丟了西瓜。切記，挖礦千萬條，安全第一條。

Tags：SOLIMEVENLIMEsol幣下架Echelon PrimeVENOMlime幣的價值

萊特幣