作者:NEST愛好者_九章天問
DeFi是指用智能合約實現的去中心化金融協議,包括資產交易、借貸、保險、各種衍生品等等;除信用服務外,現實中的金融服務都可以通過DeFi協議實現。這些協議都是去中心化、自動運轉的,沒有第三方機構在管理和維護,所以合約的風險控制便成為行業難題。
DeFi兼具了金融和科技雙重屬性,主要包含以下風險:
Github遭大規模惡意軟件攻擊,超3.5萬個代碼庫受影響:8月3日消息,軟件工程師 Stephen Lacy 在推特上表示,其發現 Github 正在遭受大規模惡意軟件攻擊,超 3.5 萬個代碼庫受影響,波及范圍涵蓋Crypto、Golang、Pyhon、js、bash、Docker和k8s等領域。該惡意軟件被發現添加到npm腳本、Docker圖像和安裝文檔中。Stephen Lacy提醒,此攻擊可能會將被攻擊者的多種密鑰泄露給攻擊者,并建議用戶使用GPG簽署所有提交。[2022/8/3 2:56:06]
1.代碼風險。包括以太坊底層代碼風險,智能合約代碼風險,錢包代碼風險等。比如當年著名的DAO事件,近期的Uniswap漏洞攻擊問題,各類錢包被盜事件,都是代碼風險造成的。
Aave V3將選擇Business License代碼許可:12月14日,AaveV3代碼許可投票已結束,Business License獲得55.44%投票率,MIT獲得44.28%投票率,GPL獲得0.29%投票率,因此AaveV3將選擇Business License代碼許可。
Defiance Capital Goh YeouJie表示,擁有Business License與UniswapV3類似,將有助于防止分叉,如果可以延遲2-3年過渡到MITLicense將會給Aave更多時間來建立他們的生態。鑒于Aave生態系統是高度分散和去中心化的,Aave此前決定通過治理投票手段來敲定哪種類型的許可(如果有)適用于Aave協議V3代碼,這也是DeFi領域里第一次采用這種方式。[2021/12/14 7:39:23]
2.業務風險。主要是業務設計過程中留有漏洞,被人合理攻擊或操縱。比如當年FOMO3D被堵塞攻擊,又比如dZx錯誤使用了不抗攻擊的Uniswap預言機,被合理打壓價格盜取資產,這類人稱之為套利者。套利者對一個DeFi項目既有不利的一面,也有有利的一面。
AC更新類Loot游戲Rarity代碼庫 “專長”模塊已上傳前半部分:9月8日消息,YFI創始人Andre Cronje更新了Fantom鏈上類Loot 游戲Rarity的代碼庫。此次更新上傳了”技能”模塊,同時將“專長”模塊的前半部分設定存儲至對應的合約地址中。[2021/9/8 23:09:10]
3.市場波動風險。DeFi在設計時缺少一些應對變量,導致市場極端情況發生出現穿倉。比如MakerDao在312的表現,主要就是市場極端波動風險造成的。
4.預言機風險。預言機提供全局變量,是大部分DeFi的基礎,如果預言機遭遇攻擊或者出現停擺,則下游DeFi會陷入崩潰。我們認為預言機將成為未來DeFi最重要的基礎設施,帶有任何中心化風險的預言機,最終都會走向消亡。
聲音 | V神:社區是以太坊最重要的部分 社區遠比代碼更重要:據橙皮書今日消息,V神近期在接受專訪時表示,社區是以太坊最重要的部分。代碼決定了一個平臺現在能做什么,社區決定了一個平臺未來能做什么。更何況不管是對于區塊鏈,還是對于任何的軟件生態系統,讓人們能夠參與進來并感覺友好是非常重要的,而這不是依靠代碼就能實現的。[2020/1/8]
5.“技術代理”風險。主要是指對智能合約和區塊鏈不熟悉的普通用戶,使用了中心化團隊開發的“便利”交互工具,這一工具本身可能存在風險。
任何DeFi項目在設計時,都應將以上風險考慮進去。完整的流程不僅僅是文檔內做好提示,還需要一些風險管理手段。這些手段大部分以去中心化的方式進行,少量以社區治理的方式完成。這里我們提出一個DeFi風險管理框架,主要分為事前、事中和事后:
事前:主要是對合約代碼進行形式化驗證,包含弄清楚合約使用的方法、資源甚至是指令的邊界,以及這些方法、指令、資源在組合過程中的相關性影響,沒有經過論證的方法或沒有找到邊界的組合堅決使用。這不是傳統軟件開發測試的思維,這是一個接近數學論證的理念。好的合約開發應該建立在已經論證過的方法組合上。
事中:事中主要是停機設計和異常觸發設計,即合約對攻擊行為能進行識別與干預,包含自動停機設計和治理停機設計。而異常觸發是對合約運行過程中,超預期現象的一種控制管理;異常觸發一般是自動的,通過異常觸發修正一些風險管理變量。可以參見NEST預言機系統中的beta系數和防堵塞攻擊設置,這是行業內率先考慮停機及異常觸發的一個實踐。
事后:事后風險管理包含幾個部分,首先是代碼出現漏洞,需要進行修正,一般通過鏈上治理,即DAO治理的方式。其次是治理資產本身遭遇攻擊,此時需要進行合約分叉!這是一個行業忽視的盲點。其次是通過保險機制,對合約可能的風險進行保險,從而降低損失。最后,社區可以通過鏈上數據的追蹤,與各類機構合作追蹤損失。關于鏈上治理和合約分叉,可以參見NEST的設計,這是一個創新。
以上是我們對DeFi安全的一個系統框架,僅供大家參考。目前行業內對安全的理解,過于早期,也過于傳統;如果不能轉變思維,將邊界、完備性、一致性、形式化驗證、停機、異常觸發、治理、分叉等新的思想引入,是不能適應未來發展的。
本文,我們根據活躍開發者對項目的貢獻,比較了各個加密項目的活躍開發者人數。 什么是活躍開發者? 活躍開發者是指在一定時間內對項目做貢獻的開發者或貢獻者.
1900/1/1 0:00:00本文來源:《文匯報》文匯App-文匯講堂頻道 記者:李念 自上月中國人民銀行在四大城市進行數字貨幣試行后,區塊鏈技術的應用再次成為關注熱點,此時,由騰訊研究院出品的《產業區塊鏈》一書問世.
1900/1/1 0:00:00分析師|Carol?編輯|Tong?出品?|PANews自去年以來,紅火的DeFi借貸產品讓市場看到了投資者除了有炒幣這樣的高風險投資需求以外,還有著強烈的穩健理財需求.
1900/1/1 0:00:00來源:LongHash UTC時間5月11日晚7點23分,當第630000個BTC區塊被挖出時,比特幣經歷了第三次區塊獎勵減半。減半是指加密貨幣礦工驗證區塊或“挖礦”獲得的獎勵減少50%的事件.
1900/1/1 0:00:00據Cryptopotato5月13日報道,數字資產交易平臺FalconX已籌集了1,700萬美元,投資機構包括CoinbaseVentures.
1900/1/1 0:00:00文/NewBloc基金經理李福星 節點即價值 1993年,所有與美國國防部網絡ARPAnet連接的電腦向TCP/IP協議轉換,之后進入大規模商用。Internet正式誕生。人類進入信息時代.
1900/1/1 0:00:00