作者:NEST愛好者_九章天問DeFi是指用智能合約實現的去中心化金融協議,包括資產交易、借貸、保險、各種衍生品等等;除信用服務外,現實中的金融服務都可以通過DeFi協議實現。這些協議都是去中心化、自動運轉的,沒有第三方機構在管理和維護,所以合約的風險控制便成為行業難題。DeFi兼具了金融和科技雙重屬性,主要包含以下風險:1.代碼風險。包括以太坊底層代碼風險,智能合約代碼風險,錢包代碼風險等。比如當年著名的DAO事件,近期的Uniswap漏洞攻擊問題,各類錢包被盜事件,都是代碼風險造成的。2.業務風險。主要是業務設計過程中留有漏洞,被人合理攻擊或操縱。比如當年FOMO3D被堵塞攻擊,又比如dZx錯誤使用了不抗攻擊的Uniswap預言機,被合理打壓價格盜取資產,這類人稱之為套利者。套利者對一個DeFi項目既有不利的一面,也有有利的一面。3.市場波動風險。DeFi在設計時缺少一些應對變量,導致市場極端情況發生出現穿倉。比如MakerDao在312的表現,主要就是市場極端波動風險造成的。4.預言機風險。預言機提供全局變量,是大部分DeFi的基礎,如果預言機遭遇攻擊或者出現停擺,則下游DeFi會陷入崩潰。我們認為預言機將成為未來DeFi最重要的基礎設施,帶有任何中心化風險的預言機,最終都會走向消亡。5.“技術代理”風險。主要是指對智能合約和區塊鏈不熟悉的普通用戶,使用了中心化團隊開發的“便利”交互工具,這一工具本身可能存在風險。
動態 | 安全專家推出新工具幫助開發人員發現泄密文件 避免公共代碼庫用戶私鑰被盜:10月17日,程序員和安全專家Paul Price推出新工具Shhgit,可以幫助開發人員實時發現任何意外泄露的機密,給開發人員事件刪除任何敏感信息,如GitHub代碼庫中用戶私鑰等,以免黑客竊取任何人的私人信息。(Cointelegraph)[2019/10/30]
任何DeFi項目在設計時,都應將以上風險考慮進去。完整的流程不僅僅是文檔內做好提示,還需要一些風險管理手段。這些手段大部分以去中心化的方式進行,少量以社區治理的方式完成。這里我們提出一個DeFi風險管理框架,主要分為事前、事中和事后:事前:主要是對合約代碼進行形式化驗證,包含弄清楚合約使用的方法、資源甚至是指令的邊界,以及這些方法、指令、資源在組合過程中的相關性影響,沒有經過論證的方法或沒有找到邊界的組合堅決使用。這不是傳統軟件開發測試的思維,這是一個接近數學論證的理念。好的合約開發應該建立在已經論證過的方法組合上。事中:事中主要是停機設計和異常觸發設計,即合約對攻擊行為能進行識別與干預,包含自動停機設計和治理停機設計。而異常觸發是對合約運行過程中,超預期現象的一種控制管理;異常觸發一般是自動的,通過異常觸發修正一些風險管理變量。可以參見NEST預言機系統中的beta系數和防堵塞攻擊設置,這是行業內率先考慮停機及異常觸發的一個實踐。事后:事后風險管理包含幾個部分,首先是代碼出現漏洞,需要進行修正,一般通過鏈上治理,即DAO治理的方式。其次是治理資產本身遭遇攻擊,此時需要進行合約分叉!這是一個行業忽視的盲點。其次是通過保險機制,對合約可能的風險進行保險,從而降低損失。最后,社區可以通過鏈上數據的追蹤,與各類機構合作追蹤損失。關于鏈上治理和合約分叉,可以參見NEST的設計,這是一個創新。
分析 | 慢霧科技:錢包被注入惡意代碼 可能是網站管理員沒有維護好代碼權限:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事,慢霧科技在接受金色財經采訪時分析指出:“錢包被注入惡意代碼,有可能是網站的管理員沒有維護好代碼的權限。導致網頁代碼被攻擊者加入了惡意代碼。惡意代碼會竊取助記詞、私鑰等等的東西發送到攻擊者自己的服務器上面,就像一個后門一樣。類似的事件,以前也發生過不少,主要還是錢包的問題,從用戶角度來看, 盡量不要用這種網頁錢包。”[2019/10/12]
行情 | GitHub三個月代碼提交排名:ZRX仍在首位 INS升至第二:CryptoMiso數據顯示,在最新的過去三個月GitHub代碼更新排名中,截至9月20日,ZRX仍在首位,INS升至第二名。前五排名分別為,ZRX、INS、TRX、RHOC)、ZSC。[2018/10/13]
以上是我們對DeFi安全的一個系統框架,僅供大家參考。目前行業內對安全的理解,過于早期,也過于傳統;如果不能轉變思維,將邊界、完備性、一致性、形式化驗證、停機、異常觸發、治理、分叉等新的思想引入,是不能適應未來發展的。
Tags:EFIDEFDEFINESTXDEFI價格Alchemist DeFi AurumDeFi OmegaHonestCoin
比特幣的減半不僅是我們普通投資者關注的話題,也是華爾街和科技界大佬們關注的話題。據近日的相關消息顯示CashApp和灰度在今年第一季度購買了所有新挖出的比特幣中的52.56%,其中29.41%被.
1900/1/1 0:00:00編者按:本文來自區塊律動BlockBeats,作者:0x29,Odaily星球日報經授權轉載。聯系到吳泰的時候,他正在準備社群公告的文案。這可能是這個社群最后一次發布關于TON項目的公告了.
1900/1/1 0:00:00編者按:本文來自Unitimes,作者:NicCarter,編譯:Unitimes_David,星球日報經授權發布。最近幾個月,加密美元幣出現了爆炸式增長.
1900/1/1 0:00:001)針對開發者的去中心化資助是現實還是白日夢?開發者是區塊鏈項目中最核心的資源,他們通過開發代碼和升級協議來促使網絡的長期穩定運行和不斷進化,創造更大的價值.
1900/1/1 0:00:00今天是五一假期的最后一天,依舊以簡更為主。五一期間的大盤行情,以震蕩走勢為主,意在消耗4.29-4.30日突破7800-8000美金前期強壓區間后暴力上漲的獲利籌碼.
1900/1/1 0:00:00文|王也秦曉峰編輯|Mandy王夢蝶出品|Odaily星球日報 一覺醒來,比特幣又不負眾望地破萬了,當然,這也讓不少朋友一夜未眠.
1900/1/1 0:00:00