Lưu ý của biên tập viên: Bài viết này đến từThung lũng tiền điện tử trực tiếp (ID: cryptovalley)Lưu ý của biên tập viên: Bài viết này đến từ

, Tác giả: ConsenSys Codefi, bản dịch: Ziming, được ủy quyền in lại bởi Odaily.

Sự kiện cho vay chớp nhoáng bZx

Cuộc tấn công gần đây vào giao thức bZx tạo cơ hội để đánh giá rủi ro DeFi tốt hơn. Nhóm ConsenSys Codefi sẽ làm việc để thúc đẩy tính minh bạch và quản lý rủi ro trong lĩnh vực này, đồng thời đẩy nhanh sự phát triển của hệ sinh thái DeFi.

Sự kiện cho vay chớp nhoáng bZx

Bạn có thể đã đọc về hai cuộc tấn công “flash loan” trên nền tảng bZx, dẫn đến thiệt hại khoảng 1 triệu USD. DeFi là một ngành non trẻ vẫn đang trưởng thành và phát triển, và những cách khai thác như thế này là một điểm đau phát triển cần thiết để hệ sinh thái phát triển, nhưng cuối cùng sẽ làm cho nó trở nên mạnh mẽ hơn. Một ngành không có vấn đề giống như một trường học không có chương trình giảng dạy, điều này cho thấy những vấn đề này đặc biệt có giá trị đối với các ngành đang ở giai đoạn sơ khai. Việc thiết lập các quy trình nghiêm ngặt và có thể thích ứng quan trọng hơn là làm cho nó hoàn hảo ngay từ lần đầu tiên và các sự kiện tuần trước đã thúc đẩy nhóm ConsenSys Codefi kiểm tra và cải thiện phương pháp chấm điểm DeFi.

Khi các dịch vụ tài chính toàn cầu chuyển đổi sang chuỗi khối có thể lập trình nguồn mở, ConsenSys Codefi đang xây dựng một bộ mô-đun để thực hiện quá trình chuyển đổi này an toàn hơn cho cả khách hàng và tổ chức có mối quan hệ trực tiếp. Để đạt được mục tiêu này, chúng tôi đã ra mắt DeFi Score, một giải pháp nguồn mở để đánh giá các mã cho vay DeFi và rủi ro tài chính, với hy vọng sử dụng giải pháp này để cải thiện tính minh bạch và nâng cao hiểu biết của thế giới bên ngoài về các rủi ro kỹ thuật và tài chính liên quan đến thị trường cho vay DeFi.

tiêu đề phụ

DeFi Score hoạt động như thế nào trong sự kiện bZx?

Sự cố này cho thấy rằng việc cải thiện mô hình đánh giá rủi ro DeFi Score vẫn cần một số công việc để đánh giá và truyền đạt chính xác hơn các rủi ro DeFi. Trong bài viết này, chúng tôi điều tra làm thế nào để cải thiện các mô hình tương quan.

Nhưng trước tiên, hãy xem cách mô hình hiện tại điều chỉnh điểm số bZx sau một cuộc tấn công, chúng tôi tự hào về mức độ phản hồi của nó và tất nhiên nhận ra rằng có nhiều cách chúng tôi có thể tiếp tục cải thiện nó.

• Lần đầu tiên trong sáu tháng kể từ khi mô hình đánh giá rủi ro được công bố, điểm số đã được điều chỉnh đáng kể như vậy. Và đây là lần đầu tiên một sự kiện đơn lẻ có tác động lớn như vậy.

• Bản thân mô hình không thể xác định được các vụ hack hoặc thao túng, nhưng nó đã phản ứng với lượng tiền khổng lồ bay đi khi người dùng rút tiền khỏi nền tảng bZx. Hiện tượng “ngân hàng tháo chạy” này có thể khiến xếp hạng giảm xuống, tính thanh khoản trong nhóm giảm xuống và mức sử dụng tăng đột biến.

• Mô hình đánh giá rủi ro DeFi Score có khả năng dự đoán trước không?

Nếu không, chúng ta không tính đến điều gì khi đánh giá các mô hình?

Chúng tôi nên thông báo cho người dùng như thế nào nếu sự cố tương tự lại xảy ra?

tiêu đề phụ

Trong không gian DeFi, "khóa thời gian" là độ trễ tối thiểu sau khi thay đổi giao thức, là "giai đoạn chờ" bắt buộc giữa thông báo nâng cấp giao thức và triển khai thực tế. Khóa thời gian là một điều tốt, nó giảm rủi ro bằng cách cho phép người dùng giao thức thanh lý các vị trí trước khi thực hiện thay đổi giao thức. Vì chúng tôi rất coi trọng việc phân cấp và bảo mật hoạt động, điểm thưởng sẽ được cấp khi giao thức kích hoạt khóa thời gian trong hợp đồng.

Vào ngày 18 tháng 2, bZx đã sử dụng khóa quản trị của mình để xóa khóa thời gian khỏi hợp đồng thông minh của mình, nhưng hành động này đã khiến hệ thống tự động thay đổi điểm quản trị giao thức từ 2 thành 1, khiến điểm của tất cả các nhóm xác thực của nó giảm xuống.

Nói cách khác, đối với hành vi hủy khóa thời gian, hệ thống tính điểm của chúng tôi chỉ có thể hoạt động với các sự kiện nhỏ và không thể dự đoán khả năng xảy ra khủng hoảng. Vì vậy, có rất nhiều việc phải làm để làm cho việc tính điểm trở nên mạnh mẽ, minh bạch và nhạy cảm hơn với các rủi ro hợp đồng thông minh.

tiêu đề phụ

Cải thiện chấm điểm DeFi: Quy tắc chặt chẽ hơn và nhiều yêu cầu hơn

Đối với chúng tôi, điều rất quan trọng là DeFi Score duy trì vai trò lãnh đạo cộng đồng. Mặc dù các nhóm nội bộ có thể đề xuất các thay đổi, nhưng cuối cùng, cộng đồng phải xác định, đánh giá và cuối cùng là phê duyệt bất kỳ cập nhật lớn nào đối với khung tính điểm.

Sự tham gia và chấp thuận của toàn bộ cộng đồng là nguyên tắc cơ bản trong công việc của nhóm chúng tôi, nhưng chúng tôi cũng nhận ra rằng những cải tiến này rất nhạy cảm về thời gian và việc thêm sự chấp thuận của cộng đồng sẽ chỉ tạo điều kiện thuận lợi cho bản phát hành cuối cùng. Vì vậy, chúng tôi hứa sẽ làm mọi thứ có thể để bắt kịp với cộng đồng.

Chúng tôi đã xác định được một vài cập nhật mà chúng tôi tin rằng sẽ cải thiện hệ thống tính điểm DeFi.

tiêu đề phụ

Các quy tắc chặt chẽ hơn cho kiểm toán hợp đồng thông minh

• DeFi Score cho điểm dựa trên việc mã của giao thức đã được kiểm tra bởi một nhóm bảo mật có uy tín hay chưa. Nhưng cho đến nay, nó vẫn là nhị phân trên số liệu đó, có hoặc không. Nó không tính đến thời điểm kiểm tra được thực hiện và không yêu cầu kiểm tra lại đối với các giao thức chính được nâng cấp. Ngoài ra, không phải tất cả các hoạt động giám sát đều được tạo ra như nhau và nhiều lần kiểm tra hợp đồng thông minh có thể giúp xác định tính bảo mật của giao thức cơ bản. Đây là những điều tinh tế mà chúng tôi chưa xem xét.

• Cho đến nay, chúng tôi đã đề xuất một khuôn khổ mạnh mẽ và sắc thái hơn để phản ánh các khía cạnh khác nhau của kiểm toán hợp đồng thông minh, dẫn đến việc đánh giá hợp đồng tốt hơn và minh bạch hơn. Chúng tôi nghĩ rằng những nguyên tắc mới này sẽ minh họa rõ hơn cách các giao thức DeFi nên xử lý bảo mật.

• Các đề xuất của chúng tôi về các yêu cầu chấm điểm liên quan sẽ được xem xét như sau:

• Ít nhất 4 tuần kỹ thuật dành riêng để xem xét (10%)

• Kể từ khi kiểm toán, không có lỗ hổng nghiêm trọng nào được báo cáo (20%)

• Đã có một cuộc kiểm toán trong 12 tháng qua hoặc thực hiện những thay đổi tối thiểu đối với mã kể từ lần kiểm tra cuối cùng (15%)

Kết quả kiểm toán phải được công bố công khai (15%)

Có chương trình tiền thưởng và tiết lộ bảo mật thông tin (15%)

Ví dụ: nếu hệ thống tính điểm nhận thấy rằng lần đánh giá cuối cùng của hợp đồng thông minh được thực hiện vào năm 2018, thì nó sẽ hạ hạng mục đó xuống đáng kể.

Yêu cầu xem xét an ninh kinh tế

Sự cố bZx đầu tiên xảy ra do lỗi trong hợp đồng thông minh, khai thác lỗi kiểm tra mã. Tuy nhiên, các lỗ hổng kỹ thuật chỉ đại diện cho một khía cạnh của bảo mật giao thức, như chúng ta đã thấy trong sự cố bZx thứ hai, nơi những kẻ tấn công có thể thao túng thị trường mà không khai thác bất kỳ lỗ hổng nào. Cuộc tấn công đã khiến Nexus Mutual phải thanh toán yêu cầu đổi quà đầu tiên.

Chúng tôi hy vọng kiểm toán kinh tế sẽ trở thành một phần tiêu chuẩn của bất kỳ kế hoạch bảo mật giao thức DeFi nào. Chúng ta nên tiến hành kiểm toán rủi ro thị trường đối với giao thức và nên tiến hành các bài kiểm tra căng thẳng quy mô lớn để đánh giá mức độ an toàn kinh tế của người dùng. Bản đánh giá rủi ro chi tiết của Gauntlet đối với giao thức Hợp chất là một ví dụ về cuộc kiểm toán như vậy.

tiêu đề phụ

Một vectơ tấn công ít được trình bày khác là sự thao túng của các nhà tiên tri. Hiện tại, DeFi Score giải quyết rủi ro của các nhà tiên tri, nhưng chỉ khi nói đến tính phi tập trung. Tính điểm tập trung hiện tại không tập trung vào việc liệu nguồn dữ liệu giá có thể bị thao túng hay không, mà tập trung vào việc liệu một thực thể đơn lẻ có thể dễ dàng thao túng giá hay không. Về cơ bản, tính điểm tập trung của các lời tiên tri, không tính đến các biện pháp không liên quan khác về khả năng thao túng của chúng.

Nghiên cứu về thao túng lời tiên tri vẫn là một lĩnh vực khá mới, mặc dù một số đồng nghiệp đã đề xuất các giải pháp khả thi. Cho đến nay, thiết kế tiên tri phi tập trung "được chứng minh là trung thực" của UMA dường như đã thiết lập tiêu chuẩn cho các tiên tri chống thao túng trong tương lai. Điều đáng nói là việc triển khai v2 của Uniswap có thể bao gồm các cải tiến đối với khả năng phục hồi của tiên tri và có tin đồn rằng các đường trung bình động giá sẽ được giới thiệu, làm tăng chi phí thao túng giá của tiên tri.

Chúng tôi thừa nhận rằng cần phải thực hiện nhiều nghiên cứu hơn để hiểu rõ hơn về thao tác chống lại lời tiên tri và cách đánh giá rủi ro, điều mà nhóm ConsenSys Codefi đang nghiên cứu.

• tiêu đề phụ

Các bước tiếp theo: Nâng cấp bổ sung, minh bạch hơn và triển khai API

Ngoài những cải tiến nêu trên đối với Điểm DeFi và phân phối lại trọng số của một số yếu tố cụ thể, nền tảng này cũng sẽ trải qua những thay đổi khác trong vài tháng tới:

• Đăng xếp hạng thường xuyên hơn

Chúng tôi hiện tính toán Điểm DeFi cứ sau sáu giờ, điều này rất hữu ích cho các công cụ theo dõi điểm hàng ngày của chúng tôi, chẳng hạn như Bot Twitter Điểm DeFi.

Trong phiên bản Alpha, tần suất phát hành này không phải là vấn đề. Nhưng trong năm tháng qua kể từ khi ra mắt, chúng tôi đã thấy các phương pháp và dữ liệu của mình trở nên có giá trị đối với ngày càng nhiều người và dự án, đồng thời nhu cầu về chúng cũng tăng lên. Để phục vụ cộng đồng người dùng này tốt hơn, mục tiêu tháng 3 của chúng tôi là tính toán xếp hạng cứ sau 10 phút. Mục tiêu dài hạn của chúng tôi là đạt được những điểm số này càng sát với thời gian thực càng tốt.

• Cải thiện các sản phẩm API của chúng tôi

Tháng tới, chúng tôi sẽ bắt đầu triển khai bản phát hành công khai ban đầu của API Điểm DeFi để các nhà phát triển có thể truy xuất điểm số riêng lẻ và các điểm dữ liệu khác theo chương trình để tích hợp vào các hệ thống khác hoặc trình bày cho người dùng. API mới cũng bao gồm đảm bảo thời gian hoạt động, báo cáo và một loạt các giao thức và nhóm dữ liệu bổ sung.

Hiện tại, API Điểm DeFi đang ở giai đoạn thử nghiệm riêng tư.