去中心化财务漏洞指南

去中心化金融提供了一些真正的革命潜力。但是,鉴于DeFi部门相对不成熟,漏洞是司空见惯的。最近发生的bZx事件清楚地说明了攻击者如何发现这些弱点并利用它们来谋取私利。

因此,对于用户来说,花一些时间来了解这些漏洞,以便就相关风险做出明智的决定,是值得进行的练习。

帐号安全

用户投资DeFi dApp时,实际上是在将资金存入另一个用户的钱包。智能合约可能会控制这些钱包中的资金的使用方式,但是某个地方的某人拥有该钱包的私钥。

本月初,克里斯·布莱克(Chris Blec)在他的YouTube频道上发布了一段视频,其中介绍了用于各种DeFi dApp的钱包周围的操作安全性概述。正如Blec在视频中指出的那样:

“没有任何方法可以证明在iPhone上保存的屏幕截图中没有种子词。我们要相信 [the dApp operators] 当他们说不是。”

为了使事情更加透明,Blec研究了DeFi项目部署的方法,以保护资金免受黑客攻击。这些措施包括时间锁定和多重签名安全性。

但是,由于DeFi团队对其OpSec做法保密,这是可以理解的,所以任何用户都不可能确定所采用的最佳措施是否真的到位。例如,布莱克(Blec)解释说可能存在多重签名,但是无法验证一个人没有访问交易所需的所有签名的能力。

钱包安全性是普遍存在于所有DeFi和加密货币系统中的普遍漏洞。同样的风险也适用于中心化交易。

随着DeFi空间的成熟,dApp开发人员可能会开始部署大型交易所和机构保管人使用的类似安全措施。其中包括Ledger的保险柜等硬件安全模块,或Fireblocks等多方计算。

但是,根据Blec的研究判断,这些措施尚未到位。

集权

钱包安全性问题与DeFi领域的一个更广泛的话题有关,这就是中心化的风险。尽管有名称,但许多DeFi dApp都是由中央控制的实体操作的。

开发人员Ameen Soleimani在去年的博客文章中强调了这一点,使用Compound作为案例研究来说明DeFi用户如何以多种方式依赖控制中的中心化实体。

Soleimani帖子的一部分解释了加密货币社区中许多人已经知道的-任何有权使用Compound admin密钥的人都可以耗尽平台的所有贷款矿池。

但是,对于贷款协议,还有另一个问题。

Compound使用一种称为“利用率”的度量,该度量描述了在任何给定时刻已借出的质押资金的百分比。百分比越高,发生触发流动性危机的风险就越大。 Soleimani将此称为“银行挤兑风险”。

如果利用率为99%,并且有超过1%的贷方想提取其DAI,则Compound将没有足够的可用DAI来满足提取需求。

Compound通过其利率模型应对风险,利率模型根据利用率进行调整。但是,这种方法并非万无一失。在2019年,Compound被迫升级利率模型正是因为利用率达到了99%。

正如Soleimani指出的那样,每当利用率接近100%时,Compound用户就依赖于dApp运营商采取这些措施。否则,用户冒无法提取资金的风险。

去年,交易平台dYdX在迫使所有用户从DAI升级到SAI时也面临着中心化控制的指控。无论是否同意,这些问题说明DeFi dApp受到其中心化实体的某种程度的控制。

市场操纵

由于DeFi目前不受监管,因此市场仍然容易受到操纵策略的影响。在传统的金融部门中,其中许多策略是众所周知的,但受到严格的监管。

领先

抢先交易是交易者用来根据尚未在公共领域获得的信息进行获利交易的一种策略。在区块链中,其形式略有不同。当积压的事务等待进入一个区块并得到确认时,它们会排入内存矿池。

一旦进入内存矿池,任何交易者都可以看到排队的交易,并通过确保自己的汽油费更高而跳入自己的交易。这样,与第一笔交易相比,矿工更有可能选择将其包含在下一个区块中。

在DeFi中发现了几种领先的实例。康奈尔大学(Cornell University)学者在2019年进行的一项研究发现,套利机器人正在与以太坊矿工进行“优先天然气拍卖”,本质上是竞标最高天然气价格以确保其交易被优先考虑。

该研究强调,Bancor和Uniswap是容易受到此类策略攻击的两个示例DEX。这两个项目都已采取措施消除这种风险,包括设定燃气费限制并允许用户指定交易中的最大允许滑点。据报道,Bancor还雇用了一名领军员工来帮助他们解决问题。

去中心化衍生工具平台Synthetix也成为了抢占先机的机器人的牺牲品。去年年底,一个名为Onyx的Reddit用户指控Synthetix删除了余额。该用户部署了一个套利机器人,该机器人成功地利用了115亿美元的前沿漏洞。

在这种情况下,在项目提供了赏金漏洞后,攻击者将资金退还给了Synthetix,但仍继续使用其僵尸程序来攻击系统。随后,当Synthetix使用交易者自己的策略对付他们以清除平台的“ synth”令牌之一,打败该漫游器并将其帐户余额减少到零时,双方的关系变糟了。

Oracle操作

区块链依靠甲骨文从外部来源获取信息。在DeFi中,对Oracle的最大依赖是价格信息。以太坊区块链本身并不能决定以太坊的价格,而是由市场决定。因此,价格数据是使用Oracle提供的。 oracle可以是诸如Uniswap之类的DEX,也可以是多个DEX或交易所的平均值,也可以是诸如Chainlink之类的oracle服务。

当DeFi dApp仅使用一个交易所,甚至可能使用两个交易所作为oracle时,Oracle的操作就成为一种风险。交易者可以通过交易足够大的交易来控制价格来操纵由甲骨文提供的价格信息。

交易所的流动性越少,操纵价格越容易。然后,交易者可以对操纵价格进行第二次杠杆交易,以确保他们获得最大的利润。

最近对bZx的攻击使用了多种复杂的分层策略来从Fulcrum交易所中撤出资金,其中包括Oracle的操纵。作为精心策划的一系列交易的一部分,攻击者操纵Synthetix sUSD的价格在bZx上借入6,800 ETH。

以太坊依赖性

尽管非以太坊的DeFi基础设施现在开始出现,但事实是DeFi仍然严重依赖以太坊。

事实证明,可扩展性是以太坊的最大弱点,即使到现在,它的使用寿命已超过五年,交易速度仍约为15 TPS。此外,由于稳定​​币交易主导着网络流量,以太坊正努力跟上。

长期以来承诺的ETH 2.0升级可能会缓解也可能不会缓解该问题,但是无论如何,完整的实施似乎还需要几年的时间。因此,到目前为止,DeFi对以太坊的依赖仍然存在于漏洞列表中。

这些问题的存在并不一定是DeFi害怕的原因。毕竟,更广泛的加密货币和传统金融市场中存在许多相同的风险。

但是,本着“自己研究”的精神,至关重要的是,用户必须了解在将资金投资于加密货币和相关应用程序时所涉及的风险,并采取审慎的方法来管理这些风险。

资讯来源:由0x资讯编译自CRYPTOBRIEFING。版权归原作者所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢