BTC0.020
ETH0.020
HTX0.020
SOL0.020
BNB0.020
BTC0.020
ETH0.020
HTX0.020
SOL0.020
BNB0.020
DeFiスコア:bZxイベント分析と関連改善策
拔丝地瓜
2020-03-05 01:50
本文约3313字,阅读全文需要约13分钟
bZx プロトコルに対する最近の攻撃は、DeFi リスクをより適切に評価する機会を与えています。

編集者注: この記事は以下から引用しましたクリプトバレーライブ (ID:cryptovalley)編集者注: この記事は以下から引用しました

、著者: ConsenSys Codefi、翻訳: Ziming、Odaily が許可を得て転載。

bZx フラッシュ ローン イベント

bZx プロトコルに対する最近の攻撃は、DeFi リスクをより適切に評価する機会を提供しており、ConsenSys Codefi チームは、この分野における透明性とリスク管理を促進し、DeFi エコシステムの開発を加速するよう取り組んでいきます。

bZx フラッシュ ローン イベント

bZx プラットフォームに対する 2 件の「フラッシュ ローン」攻撃について聞いたことがあるかもしれません。この攻撃により、約 100 万ドルの損失が発生しました。 DeFiはまだ成熟し発展途上にある初期の業界であり、このようなエクスプロイトはエコシステムが成長するために必要な開発上の課題ですが、最終的にはエコシステムを強化します。問題のない業界は、カリキュラムのない学校のようなものです。これは、これらの問題が、初期段階にある業界にとって特に価値があることを示しています。厳密で適応性のあるプロセスを確立することは、最初から完璧にすることよりも重要であり、先週の出来事により、ConsenSys Codefi チームは DeFi スコアリング方法を検討し、改善することになりました。

世界的な金融サービスがオープンソースのプログラム可能なブロックチェーンに移行する中、ConsenSys Codefi は、顧客と直接関係を持つ機関の両方にとって、この移行をより安全に行うためのモジュール スイートを構築しています。この目的を達成するために、私たちは DeFi 融資コードと財務リスクを評価するためのオープンソース ソリューションである DeFi スコアを立ち上げました。このソリューションを使用して透明性を向上させ、DeFi 融資市場に関連する技術的および財務的リスクに対する外部世界の理解を向上させることを期待しています。

副題

bZx イベントでの DeFi スコアのパフォーマンスはどうでしたか?

このインシデントは、DeFi リスクをより正確に評価して伝達するには、DeFi スコアのリスク評価モデルの改善にまだ何らかの作業が必要であることを示しています。この記事では、相関モデルを改善する方法を調査します。

しかしまず、現在のモデルが攻撃後に bZx スコアをどのように調整するかを見てみましょう。私たちはその反応の良さを誇りに思っていますが、もちろん、それを改善し続ける方法があることを認識しています。

  • リスク評価モデルが発表されてから 6 か月でスコアがこれほど大幅に調整されたのは初めてです。そして、単一の出来事がこれほど大きな影響を与えたのは初めてのことだ。

  • モデル自体はハッキングや操作を特定できませんでしたが、ユーザーが bZx プラットフォームから資金を引き出す際の大量の資金流出に反応しました。この「取り付け取り付け」現象により、格付けが低下し、プール内の流動性が低下し、利用率が急増する可能性があります。

  • DeFi スコアのリスク評価モデルには事前に予測する機能がありますか?

そうでない場合、モデルを評価する際に何を考慮していないのでしょうか?

同様のインシデントが再び発生した場合、ユーザーにどのように警告すればよいでしょうか?

副題

DeFi 分野では、「タイム ロック」はプロトコル変更後の最小遅延であり、プロトコル アップグレードの発表と実際の実装の間の必須の「待機フェーズ」です。タイムロックは良いことであり、プロトコルユーザーがプロトコルを変更する前にポジションを清算できるようにすることでリスクを軽減します。私たちは分散化と運用上のセキュリティを非常に重視しているため、プロトコルが契約内のタイムロックをアクティブ化するとボーナス ポイントが発行されます。

2 月 18 日、bZx は管理キーを使用してスマート コントラクトからタイムロックを削除しましたが、このアクションによりシステムはプロトコル ガバナンス スコアを 2 から 1 に自動的に変更し、すべての検証プールのスコアが低下しました。

言い換えれば、タイムロックを解除するという行動については、私たちのスコアリングシステムは小さな出来事にしか機能せず、危機の発生を予測することはできません。したがって、スコアリングをより堅牢かつ透明にし、スマートコントラクトのリスクに敏感にするためにやるべきことはたくさんあります。

副題

DeFiスコアリングの改善: ルールの厳格化と要件の増加

私たちにとって、DeFi Score がコミュニティのリーダーシップを維持することは非常に重要です。内部チームは変更を提案できますが、スコアリング フレームワークの主要な更新を特定、評価し、最終的に承認するのは最終的にコミュニティにかかっています。

コミュニティ全体の参加と承認は私たちのチームの仕事の基本原則ですが、これらの改善は一刻を争うものであり、コミュニティの承認を追加することによってのみ最終リリースが促進されることも認識しています。したがって、私たちはコミュニティと歩調を合わせるためにできる限りのことを行うことを約束します。

DeFiスコアリングシステムを改善すると思われるいくつかのアップデートを特定しました。

副題

スマートコントラクト監査のより厳格なルール

  • DeFi スコアは、プロトコルのコードが信頼できるセキュリティ チームによって監査されているかどうかに基づいてスコアを与えます。しかしこれまでのところ、その指標はイエスかノーかの二者択一だった。監査がいつ実行されるかは考慮されず、アップグレードされた主要プロトコルの再監査は必要ありません。さらに、すべての精査が同等に行われるわけではなく、スマート コントラクトの複数の監査は、基礎となるプロトコルのセキュリティを判断するのに役立ちます。これらは私たちがまだ考慮していない微妙な点です。

  • これまでのところ、私たちはスマートコントラクト監査のさまざまな側面を反映する、より堅牢で微妙なフレームワークを提案してきました。その結果、契約の評価がより適切かつ透明になります。これらの新しいガイドラインは、DeFi プロトコルがセキュリティをどのように扱うべきかをよりよく説明するものになると考えています。

  • 関連するスコアリング要件の見直しに関する私たちの提案は次のとおりです。

  • エンジニアリングに少なくとも 4 週間をレビューに充てる (10%)

  • 監査以来、重大な脆弱性は報告されていません (20%)

  • 過去 12 か月以内に監査を受けたか、前回の監査以降コードに最小限の変更を加えました (15%)

監査結果は公開する必要があります (15%)

報奨金プログラムと情報セキュリティ開示がある (15%)

たとえば、スマート コントラクトの最後のレビューが 2018 年に行われたことをスコアリング システムが認識した場合、その項目は大幅に格下げされます。

経済安全保障の審査要件

最初の bZx インシデントは、コード検査の失敗を悪用したスマート コントラクトのバグが原因で発生しました。ただし、2 番目の bZx インシデントで見られたように、技術的な脆弱性はプロトコル セキュリティの 1 つの側面にすぎません。攻撃者は脆弱性を悪用せずに市場を操作できます。この攻撃により、Nexus Mutual は最初の償還要求を支払うことになりました。

私たちは、経済監査が DeFi プロトコルのセキュリティ計画の標準的な部分になることを願っています。私たちはプロトコルの市場リスク監査を実施し、ユーザーの経済的安全性を評価するために大規模なストレステストを実施する必要があります。 Gauntlet による Compound プロトコルの詳細なリスク評価は、そのような監査の一例です。

副題

もう 1 つの過小評価されている攻撃ベクトルは、オラクルの操作です。現在、DeFi スコアはオラクルのリスクに対処していますが、それは分散化に関してのみです。現在の集中スコアリングは、価格データのソースが操作できるかどうかではなく、単一のエンティティが価格自体を簡単に操作できるかどうかに焦点を当てています。本質的には、オラクルの集中化をスコアリングするものであり、それ以外の場合には無関係な操作可能性の尺度は考慮されません。

オラクルの操作に関する研究はまだかなり新しい分野ですが、達成可能な回避策を提案している同僚もいます。これまでのところ、UMA の分散型「証明可能で正直な」オラクル設計は、将来の操作耐性のあるオラクルの標準を設定したように見えます。また、Uniswap の v2 実装にはオラクルの回復力の改善が含まれる可能性があり、価格移動平均が導入され、オラクルの価格操作のコストが増加するという噂があることにも言及する価値があります。

オラクルに対する操作とリスクの評価方法をより深く理解するには、さらなる研究が必要であることを認識しており、これについては ConsenSys Codefi チームが取り組んでいます。

  • 副題

次のステップ: 追加のアップグレード、透明性の向上、API のロールアウト

前述の DeFi スコアの改善と特定の要素の重みの再配分に加えて、プラットフォームは今後数か月以内に他の変更も行われます。

  • 評価をより頻繁に投稿する

現在、DeFi スコアを 6 時間ごとに計算しています。これは、DeFi スコア Twitter ボットなどの毎日のスコア トラッカーに役立ちます。

アルファ版では、このリリース頻度は問題ありません。しかし、立ち上げから過去 5 か月間で、私たちの手法とデータがますます多くの人々やプロジェクトにとって価値のあるものとなり、それらに対する需要が増大しているのを目にしてきました。このユーザー コミュニティにより良いサービスを提供するために、3 月の目標は 10 分ごとに評価を計算することです。私たちの長期的な目標は、これらのスコアをできるだけリアルタイムに近づけることです。

  • API 製品を改善する

来月、DeFi Score API の最初の公開リリースの展開を開始します。これにより、開発者はプログラムで個々のスコアやその他のデータ ポイントを取得し、他のシステムに統合したり、ユーザーに提示したりできるようになります。新しい API には、稼働時間の保証、レポート、さまざまな追加プロトコルとデータ プールも含まれています。

現在、DeFi スコア API はプライベートベータ版です。

安全
拔丝地瓜
作者文库
推荐文章
BOBはChainlinkのスケールイニシアチブへの参加を発表し、BTCFiのChainlinkデータ標準の採用を推進します。
5時間前
BOBはChainlinkのスケールイニシアチブへの参加を発表し、BTCFiのChainlinkデータ標準の採用を推進します。
硬件钱包大猎杀:盲区之外,从购买到激活的全流程安全手册
7時間前
硬件钱包大猎杀:盲区之外,从购买到激活的全流程安全手册
黄金屋里见通途:从黄金代币化到全品类RWA的发行新境
7時間前
黄金屋里见通途:从黄金代币化到全品类RWA的发行新境
ETHトレジャリー運用のポイントを理解する:保有ではなくステーキング
5時間前
ETHトレジャリー運用のポイントを理解する:保有ではなくステーキング
ビットコイン財務会社の台頭は米ドルを超えるための避けられない道なのでしょうか?
8時間前
ビットコイン財務会社の台頭は米ドルを超えるための避けられない道なのでしょうか?
パンテラの創設者がビットコインの伝説的な65ドルの下落を明かす
7時間前
パンテラの創設者がビットコインの伝説的な65ドルの下落を明かす