편집자 주: 이 기사의 출처는크립토 밸리 라이브 (ID: cryptovalley)편집자 주: 이 기사의 출처는
, 저자: ConsenSys Codefi, 번역: Ziming, 승인을 받아 Odaily에서 재인쇄함.
bZx 플래시 대출 이벤트
최근 bZx 프로토콜에 대한 공격은 DeFi 위험을 더 잘 평가할 수 있는 기회를 제공합니다.ConsenSys Codefi 팀은 이 분야의 투명성과 위험 관리를 촉진하고 DeFi 생태계의 개발을 가속화하기 위해 노력할 것입니다.
bZx 플래시 대출 이벤트
bZx 플랫폼에 대한 두 번의 "플래시 론" 공격에 대해 들어보셨을 것입니다. 이로 인해 약 100만 달러의 손실이 발생했습니다. DeFi는 아직 성숙하고 발전하는 초기 산업이며 이와 같은 익스플로잇은 생태계가 성장하는 데 필요한 발전적 고통 지점이지만 궁극적으로 생태계를 더 강하게 만들 것입니다. 문제가 없는 산업은 커리큘럼이 없는 학교와 같으며, 이는 이러한 문제가 초기 산업에 특히 가치가 있음을 보여줍니다. 엄격하고 적응 가능한 프로세스를 구축하는 것이 처음에 완벽하게 만드는 것보다 더 중요하며, 지난주 이벤트에서 ConsenSys Codefi 팀은 DeFi 스코어링 방법론을 검토하고 개선했습니다.
글로벌 금융 서비스가 프로그래밍 가능한 오픈 소스 블록체인으로 전환함에 따라 ConsenSys Codefi는 클라이언트와 직접적인 관계가 있는 기관 모두를 위해 이러한 전환을 보다 안전하게 수행할 수 있는 일련의 모듈을 구축하고 있습니다. 이를 위해 우리는 DeFi 대출 코드 및 재무 위험을 평가하기 위한 오픈 소스 솔루션인 DeFi Score를 출시했으며, 이 솔루션을 사용하여 투명성을 개선하고 DeFi 대출 시장과 관련된 기술 및 재무 위험에 대한 외부 세계의 이해를 향상시키기를 희망합니다.
보조 제목
bZx 이벤트에서 DeFi 점수는 어땠나요?
이 사건은 DeFi 점수 위험 평가 모델의 개선이 DeFi 위험을 보다 정확하게 평가하고 전달하기 위해 여전히 약간의 작업이 필요함을 보여줍니다. 이 기사에서는 상관 관계 모델을 개선하는 방법을 조사합니다.
그러나 먼저 현재 모델이 공격 후 bZx 점수를 조정하는 방법을 살펴보겠습니다. 우리는 이 모델이 얼마나 잘 대응하는지 자랑스럽게 생각하며 계속해서 개선할 수 있는 방법이 있다는 것을 알고 있습니다.
위험 평가 모델이 공개된 이후 6개월 만에 처음으로 점수가 크게 조정되었습니다. 단일 이벤트가 이렇게 큰 영향을 미친 것은 이번이 처음입니다.
모델 자체는 해킹이나 조작을 식별할 수 없었지만 사용자가 bZx 플랫폼에서 자금을 인출함에 따라 대규모 자금 유출에 대응했습니다. 이 "뱅크런" 현상은 등급 하락, 풀의 유동성 하락 및 활용도 급증을 유발할 수 있습니다.
DeFi Score 위험 평가 모델은 사전에 예측할 수 있습니까?
그렇지 않다면 모델을 평가할 때 고려하지 않는 것은 무엇입니까?
유사한 사건이 다시 발생하면 사용자에게 어떻게 경고해야 합니까?
보조 제목
DeFi 공간에서 "시간 잠금"은 프로토콜 변경 후 최소 지연이며 프로토콜 업그레이드 발표와 실제 구현 사이의 필수 "대기 단계"입니다. 시간 잠금은 좋은 것입니다. 프로토콜 사용자가 프로토콜을 변경하기 전에 포지션을 청산할 수 있도록 하여 위험을 줄입니다. 우리는 분산화 및 운영 보안을 매우 중요하게 생각하기 때문에 프로토콜이 계약에서 타임록을 활성화할 때 보너스 포인트가 발행됩니다.
2월 18일, bZx는 관리 키를 사용하여 스마트 계약에서 타임록을 제거했지만 이 조치로 인해 시스템이 프로토콜 거버넌스 점수를 2에서 1로 자동 변경하여 모든 유효성 검사 풀의 점수가 떨어졌습니다.
즉, 시간 잠금을 해제하는 동작에 대해 우리의 점수 시스템은 작은 이벤트에만 작동할 수 있으며 위기 발생을 예측할 수 없습니다. 따라서 스코어링을 보다 강력하고 투명하며 스마트 계약 위험에 민감하게 만들기 위해 해야 할 일이 많습니다.
보조 제목
DeFi 스코어링 개선: 더 엄격한 규칙 및 더 많은 요구 사항
우리에게는 DeFi Score가 커뮤니티 리더십을 유지하는 것이 매우 중요합니다. 내부 팀이 변경 사항을 제안할 수 있지만 채점 프레임워크에 대한 주요 업데이트를 식별, 평가 및 궁극적으로 승인하는 것은 궁극적으로 커뮤니티에 달려 있습니다.
전체 커뮤니티의 참여와 승인은 우리 팀 작업의 기본 원칙이지만 이러한 개선 사항은 시간에 민감하며 커뮤니티 승인을 추가하면 최종 릴리스만 촉진된다는 점도 알고 있습니다. 그래서 우리는 지역 사회와 보조를 맞추기 위해 최선을 다할 것을 약속합니다.
DeFi 점수 시스템을 개선할 것으로 생각되는 몇 가지 업데이트를 확인했습니다.
보조 제목
스마트 계약 감사에 대한 엄격한 규칙
DeFi 점수는 프로토콜의 코드가 평판이 좋은 보안 팀에 의해 감사되었는지 여부에 따라 점수를 부여합니다. 그러나 지금까지는 예 또는 아니오라는 메트릭에 대해 이분법적이었습니다. 감사가 수행되는 시기를 고려하지 않으며 업그레이드된 주요 프로토콜에 대한 재감사가 필요하지 않습니다. 또한 모든 조사가 동일하게 이루어지지 않으며 스마트 계약에 대한 여러 감사를 통해 기본 프로토콜의 보안을 결정하는 데 도움이 될 수 있습니다. 이것은 우리가 아직 고려하지 않은 미묘함입니다.
지금까지 우리는 스마트 계약 감사의 다양한 측면을 반영하기 위해 보다 강력하고 미묘한 프레임워크를 제안하여 보다 우수하고 투명한 계약 평가를 제공했습니다. 우리는 이 새로운 지침이 DeFi 프로토콜이 보안을 처리하는 방법을 더 잘 보여줄 것이라고 생각합니다.
검토할 관련 채점 요구 사항에 대한 제안은 다음과 같습니다.
최소 4주 동안 검토에 전념(10%)
감사 이후 심각한 취약점이 보고되지 않았습니다(20%).
지난 12개월 동안 감사를 받았거나 마지막 감사 이후 코드를 최소한으로 변경했습니다(15%).
감사 결과는 공개적으로 게시해야 합니다(15%).
바운티 프로그램 및 정보 보안 공개(15%)
예를 들어, 채점 시스템이 스마트 계약의 마지막 검토가 2018년에 완료되었음을 알게 되면 해당 항목을 크게 하향 조정합니다.
경제 안보 검토 요건
첫 번째 bZx 사건은 코드 검사 실패를 악용한 스마트 계약의 버그로 인해 발생했습니다. 그러나 기술적 취약점은 공격자가 취약점을 악용하지 않고 시장을 조작할 수 있는 두 번째 bZx 사건에서 보았듯이 프로토콜 보안의 한 측면만을 나타냅니다. 이 공격으로 인해 Nexus Mutual은 첫 번째 상환 요청을 지불했습니다.
경제 감사가 모든 DeFi 프로토콜 보안 계획의 표준 부분이 되기를 바랍니다. 우리는 프로토콜의 시장 위험 감사를 수행하고 사용자의 경제적 안전을 평가하기 위해 대규모 스트레스 테스트를 수행해야 합니다. Gauntlet의 Compound 프로토콜에 대한 자세한 위험 평가는 그러한 감사의 한 예입니다.
보조 제목
잘 알려지지 않은 또 다른 공격 벡터는 오라클 조작입니다. 현재 DeFi Score는 오라클의 위험을 다루지만 탈중앙화와 관련된 경우에만 가능합니다. 현재 중앙 집중식 점수는 가격 데이터 소스를 조작할 수 있는지 여부가 아니라 단일 엔터티가 가격 자체를 쉽게 조작할 수 있는지 여부에 중점을 둡니다. 본질적으로 오라클의 중앙 집중화에 점수를 매기는데, 이는 오라클의 조작 가능성과 관련이 없는 척도를 설명하지 않습니다.
오라클 조작에 대한 연구는 일부 동료가 달성 가능한 해결 방법을 제안했지만 여전히 상당히 새로운 분야입니다. 지금까지 UMA의 탈중앙화된 "정직함을 입증할 수 있는" 오라클 설계는 미래의 조작 방지 오라클에 대한 표준을 설정한 것으로 보입니다. 또한 Uniswap의 v2 구현에는 오라클 탄력성 개선이 포함될 수 있으며 가격 이동 평균이 도입되어 오라클 가격 조작 비용이 증가한다는 소문이 있습니다.
우리는 ConsenSys Codefi 팀이 작업해 온 오라클에 대한 조작과 위험을 평가하는 방법을 더 잘 이해하기 위해 더 많은 연구가 수행되어야 함을 인정합니다.
보조 제목
다음 단계: 추가 업그레이드, 더 높은 투명성 및 API 롤아웃
위에서 언급한 DeFi 점수 개선 및 특정 특정 요소의 가중치 재분배 외에도 플랫폼은 향후 몇 개월 동안 다른 변경 사항을 겪게 됩니다.
평가를 더 자주 게시
현재 6시간마다 DeFi 점수를 계산하며, 이는 DeFi 점수 Twitter Bot과 같은 일일 점수 추적기에 유용합니다.
알파 버전에서는 이 릴리스 빈도가 문제가 되지 않습니다. 그러나 출시 이후 지난 5개월 동안 우리는 우리의 방법과 데이터가 점점 더 많은 사람과 프로젝트에 가치가 있는 것을 보았고 이에 대한 수요가 증가했습니다. 이 사용자 커뮤니티에 더 나은 서비스를 제공하기 위해 3월 목표는 10분마다 평점을 계산하는 것입니다. 우리의 장기 목표는 이러한 점수를 가능한 한 실시간에 가깝게 만드는 것입니다.
API 제품 개선
다음 달에 DeFi Score API의 최초 공개 릴리스를 시작하여 개발자가 개별 점수 및 기타 데이터 포인트를 프로그래밍 방식으로 검색하여 다른 시스템에 통합하거나 사용자에게 표시할 수 있습니다. 새로운 API에는 가동 시간 보장, 보고, 다양한 추가 프로토콜 및 데이터 풀도 포함됩니다.
현재 DeFi Score API는 비공개 베타 버전입니다.
