編者按:本文來自加密谷Live(ID:cryptovalley)編者按:本文來自
加密谷Live(ID:cryptovalley)
加密谷Live(ID:cryptovalley)
編者按:本文來自
二級標題
bZx 閃電貸事件
bZx 閃電貸事件
二級標題
二級標題
您可能已經了解過bZx平台上的兩次“閃電貸”攻擊,造成的損失約100萬美元。 DeFi是一個仍在日趨成熟和發展的新興行業,像這樣的漏洞利用是生態系統發展必不可少的發展難題,但最終將使其變得更強大。一個沒有問題的行業就像是一所沒有課程的的學校一樣,可見這些問題對於處在起步階段的行業尤其具有價值。建立嚴格且適應性強的流程比第一次就完美無缺更為重要,並且上週的事件促使ConsenSys Codefi團隊檢查和改進DeFi評分方法。
為了使全球金融服務將逐步轉向開源可編程區塊鏈,ConsenSys Codefi正在構建一套模塊,以使其具有直接關係的客戶和機構都可以更安全地進行這種過渡。為此,我們推出一種評估DeFi借貸代碼和財務風險開源解決方案DeFi Score,希望利用該解決方案提高透明度,並提升外界對DeFi貸款市場相關技術和財務風險理解。
二級標題
DeFi Score在bZx事件中表現如何?
但是首先,不妨先看一下在攻擊發生後,當前的模型是如何調整bZx評分的,我們為其反應效果感到自豪,當然也意識到我們會有辦法繼續改進它。
自該風險評估模型發布後的六個月以來,這些分數第一次進行如此顯著地調整。並且這也是單個事件第一次產生如此重大的影響。
DeFi Score風險評估模型是否有能力做到事前預測?
二級標題
如果沒有的話,我們在評估模型中沒有考慮到什麼?
如果類似事件再次發生,我們應該如何提醒用戶?
在DeFi領域中,“時間鎖”即為協議更變後的最短延遲時間,這是宣布協議升級與其實際實施之間的強制性“等待階段”。時間鎖定是一件好事,它可以通過允許協議用戶在進行協議更改之前清理倉位來降低風險。由於我們非常看重去中心化和操作安全,當協議在合約中啟動時間鎖時,會發放獎勵積分。
二級標題
二級標題
也就是說,針對於取消時間鎖的行為而言,我們的評分系統只能對小事件起作用而不能預見危機的發生。因此,這其中還有很多工作要做,以使評分變得更加穩健,透明且對智能合約的風險更加敏感。
二級標題
對於我們而言,DeFi Score必須保持社區主導,這一點非常重要。儘管內部團隊可以提出變更建議,但最終還是要由社區來確定,評估並最終批准評分框架的任何重大更新。
二級標題
二級標題
整個社區的參與和批准是我們團隊工作的基本原則,但是我們同樣認識到這些改進是時間敏感的,加入社區批准這一環節也只會促進最終的發行。因此,我們承諾將盡一切努力與社區保持相同的步伐。
我們已經確定了一些我們認為可以改善DeFi評分系統的更新。
二級標題
對智能合約審核制定更嚴格的規則
DeFi Score會根據協議的代碼是否由信譽良好的安全團隊審核來給出評分。但迄今為止,在該指標上一直都是二進制的,即“是”或“否”。它不會考慮執行審核的時間,並且不需要對升級後的主要協議重新進行審核。另外,並非所有審查都是平等的,且對智能合約進行多方面的審核都有助於確定底層協議的安全性。這些均是我們目前尚未考慮到的細微之處。
到目前為止,我們提出了一個更穩健和細微的框架,以反映智能合同審核的各個方面,從而更好,更透明的對合同進行評估。我們認為這些新指南將更好地說明DeFi協議應如何處理安全性問題。
至少有4個工程週專門用於審核(10%)
自審核以來,未報告嚴重漏洞(20%)
最近12個月進行了一次審核,或者自上次審核以來對代碼進行了最少量的更改(15%)
二級標題
有賞金計劃和信息安全披露(15%)
經濟安全審核的要求
二級標題
第一的bZx事件是由於智能合約的漏洞才發生的,該漏洞則利用了代碼檢查失敗的缺陷。然而,技術漏洞僅表示了協議安全性的一個方面,正如我們在第二次bZx事件中所看到的那樣,攻擊者可以在不利用任何漏洞的情況下操縱市場。這次攻擊導致Nexus Mutual支付了其首次的贖回請求。
我們希望經濟審核將成為任何DeFi協議安全計劃的標準組成部分。我們應對協議進行市場風險審核,並應進行大規模壓力測試,以評估其用戶的經濟安全性。 Gauntlet對Compound協議的詳細風險評估則是該類審核的一個實例。
另一個代表性不強的攻擊媒介是對Oracle的操縱。目前,DeFi Score解決了Oracle的風險,但也僅涉及到去中心化。當前的中心化評分不是集中在是否可操作價格數據來源,而是集中在單個實體是否可以輕鬆地操縱價格本身上。本質上是對Oracle的中心化程度進行評分,而這並不能解釋針對於其可操縱性的其它不相關的度量。
二級標題
二級標題
儘管已經有一些同行提出了可實現的解決方法,但有關操縱Oracle的研究仍然是一個相當新的領域。到目前為止,UMA去中心化的“證明誠實”Oracle設計似乎已經為今後可抗操縱Oracle提供了設置標準。同樣值得一提的是,Uniswap的v2實施可能包括對Oracle彈性的改進,並且有傳言稱將會引進價格移動平均線,從而提高Oracle價格操作的成本。
我們承認,必須做更多的研究來更好地了解針對Oracle的操縱以及如何評估風險,這是ConsenSys Codefi團隊後續一直要做的事情。
二級標題
後續步驟:其他升級,更高的透明度和API的推出
除了上述對DeFi Score改進和對某些特定因素的權重進行重新分配外,平台還將會在接下來的幾個月有其他的改變:
更頻繁的發布評分
目前我們每六個小時計算一次DeFi評分,這對於我們的每日評分跟踪器比如DeFi Score Twitter Bot而言是非常有用的。
