虎年才刚刚开始,黑客就已蠢蠢欲动,开始对一些DeFi项目“动手”。
2022年2月3日,成都链安链必应-区块链安全态势感知平台舆情监测显示,跨链协议Wormhole遭到黑客攻击,损失达12万枚wETH,这也成为DeFi史上第二大的黑客事件。而仅仅过去三天,2月6日,Meter.io跨链桥遭遇黑客攻击,损失达到430万美元!三天两起安全事件的发生,金额数大,我们不禁要问,DeFi为何又成为了黑客的提款机?
随着去中心化金融(DeFi)市场的发展,“风险”成为焦点。首先,我们需要知道的是,去中心化金融是指建立在区块链网络之上的一系列金融产品和服务,它是一个开源、无需许可、去中心化的金融系统,但DeFi产品的不同风险维度在很大程度上仍未得到充分研究。除了黑客攻击,DeFi还存在哪些风险与挑战?
PeckShield:多名用户MetaMask钱包中的POAP被盗:金色财经报道,PeckShield在社交媒体上表示,多名用户MetaMask钱包中的POAP被盗,需尽快取消此前在NFT交易市场Eporio上所有的对POAP的授权。[2022/7/4 1:49:30]
今天,我们从另外一个维度,借由这几天的黑客事件简单讲述一下DeFi所遇到的一些风险向量。
1.内在协议风险
DeFi平台以智能合约的形式存在,这些协议的动态是DeFi应用程序中最重要的风险维度之一。内在协议风险是指默认嵌入在协议设计中的风险机制。
Fairyproof:Dego被攻击的原因高度疑似其私钥被盗,损失超230万美元:2月10日消息,Fairyproof发文表示,DeFi应用Dego Finance遭到攻击。项目在Uniswap和Pancake的流动性池已经枯竭。Dego团队正在和相关中心化交易所如币安等沟通,以关掉DEGO代币的存款防止黑客通过交易所套现。
相关资金已被转移到BSC上的地址:0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91和以太坊上的地址:0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91
Dego被攻击的原因高度疑似其私钥被盗,导致接下来其LP流动性被撤,BNB直接提走,DOGE在1inch4上被兑换成BNB提走。
其中DOGE在inch4上兑换的交易参见:
https://bscscan.com/tx/0xbbc742b252b77051f140606550613779523722a3166c81e1f2c30d6836d09cf2
在BSC上Dego LP流动性被撤离的交易见:https://bscscan.com/tx/0xfd70496e7b88398ec2cc07eb536e613a12406abc62b055ffa61cb8a84d24c686
在以太坊上Dego LP流动性被撤离的交易见:https://etherscan.io/tx/0x0d905fc5e285dc9f8bd27af2c0f23ccecf05001aa8357dbba3d6fb60a831de89
在以太坊上ETH被转移的交易见:https://etherscan.io/tx/0x0d905fc5e285dc9f8bd27af2c0f23ccecf05001aa8357dbba3d6fb60a831de89
在上述攻击中,在BSC上至少损失 2613.4个BNB,在以太坊上至少损失 378.75795807个ETH,合计损失超过 2,301,086 美元。[2022/2/10 9:42:56]
DeFi中的内在协议风险有各种形式。在Compound或Aave等DeFi借贷协议中,清算是一种将借贷市场的抵押品维持在适用范围内的机制,清算允许参与者在无抵押头寸中参与本金。滑点是曲线等自动做市(AMM)协议中存在的另一种情况,曲线池中的高滑点条件可能会迫使投资者支付极高的费用以消除提供给协议的流动性。
动态 | 巨鲸账户“zhoujianfu”被盗资产少量已流入Bittrex交易所:据PeckShield旗下数字资产可视化追踪平台CoinHolmes数据显示,巨鲸账户“zhoujianfu”的1,547枚BTC被盗后,一直在被黑客切碎分散转移,资金目前由七个地址负责切分。PeckShield安全人员跟进发现由1Mn9Kp开头地址负责转移的资金,在通过四层中转后已有0.56BTC流入Bittrex交易所。PeckShield正锁定监控目标资金转移进一步动向,在此提醒广大用户保护好自己的私钥,避免数字资产遭到损失,同时呼吁各大交易所应做好地址标记,协助并及时冻结流入的赃款。[2020/2/23]
比如清算风险,因为DeFi协议中的加密抵押品容易受到市场波动影响,并存在债务头寸在市场波动中出现抵押不足的风险,继而诱发清算机制,造成用户遭受进一步损失。
动态 | Cryptopia被盗ETH正在被大规模转移:北京链安Chainsmap监测系统发现,Cryptopia被盗ETH正在被进行大规模操作,主要通过0x341a开头地址进行,已经有超过4500枚ETH在大约6小时内完成。据悉,该地址在今日北京时间10点以后收到两笔大额ETH转账,此后以数百枚ETH为单位主要经过三个地址跳转后进入某交易所(已向其通达)。
在这批ETH完毕后,相关操作仍在进行,聚集了超过1.7万枚被盗ETH的0x93db开头地址已经向0x341a转入3400ETH,预计相关活动还将进行,请各大交易所密切留意。[2020/1/18]
2.外生协议风险
除了内在协议风险,DeFi交易通常会受到改变协议预期行为的外生因素的影响。这些风险包括利用DeFi协议底层机制的攻击,例如预言机操作、闪贷攻击或利用智能合约逻辑中的漏洞来进行攻击。最近在CreamFinance和BadgerDAO等协议中的漏洞被黑客利用凸显了外生协议风险会影响DeFi的发展。
扩展阅读:被盗1.3亿美元!CreamFinance今年第五次遭黑客攻击全解析
3.治理风险
DeFi的一个独特方面是,去中心化治理提案控制着DeFi协议的行为,并且通常是其流动性构成变化影响投资者的原因。例如,改变AMM池中的权重或贷款协议中的抵押比率的治理建议通常有助于流动性流入或流出协议。从风险的角度来看,DeFi治理的一个更令人担忧的方面是许多DeFi协议的治理结构日益集中化。
尽管DeFi治理模型在架构上是去中心化的,但其中许多项目是由少数各方控制的,这些各方可以影响任何提案的结果。这方面并不像看起来那样令人担忧,因为许多能够影响DeFi治理投票结果的治理者之所以处于该位置,仅仅是因为他们积极参与并与DeFi生态系统保持一致——这是利益一致的明显标志。
4.潜在的区块链底层风险
DeFi协议对其底层区块链有一定程度的基础设施依赖。特定区块链上的共识机制等可能会成为该平台上运行的DeFi协议的漏洞。一个典型的例子是权益证明网络中所谓的验证者卡特尔,其中许多验证者串通起来影响网络中的奖励分配,并可以有效地阻止DeFi协议的运行。
5.市场风险
有时倾向于痴迷于协议和基础设施方面,反而忽略了该领域的市场风险。例如,如果资产价格在向矿池提供流动性时发生巨大差异,则对非稳定币AMM矿池也有着很大影响。另一个例子是资产价格的突然崩盘,这可能会引发资金池中大量流动性的流失,从而导致严重的滑点风险。
DeFi协议的可编程性意味着它们可以对传统市场风险因素做出本能反应,从而产生影响投资者头寸的级联效应。
结尾
DeFi中的风险管理之所以如此具有挑战性,是因为它与金融工具中的传统风险管理理论不太相符。几十年来,资本市场一直围绕着波动性等市场因素的风险管理模型而发展,现在,通过用自动化金融技术取代这些中介机构,DeFi实现了前所未有的金融自动化水平,但也引入了我们以前从未见过的新风险向量,可见,DeFi如何控制风险,未来还有很长的一段路要走。
资料参考:The5BigRiskVectorsofDeFi
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。