HARM:详解 DeFi 借贷项目资产安全性:以 MakerDAO、Compound 与 Dharma 为例

在金融活动中,资产的安全性是非常重要的。5月初,Zeppelin发现了Maker公司治理投票合约中的一个严重漏洞,目前已经解决。加密货币信贷与借贷平台中,风险漏洞是否可以完全消除。MakerDAO,Compound,Dharma等信贷借贷类DeFi项目,在安全方面经历了哪些考验。在经过长期的市场验证后,DeFi项目是否会继续带来更大的声量?

Neverinvestmoneythatyoucan’taffordtolose.

原文标题:《你的资产安全吗?》作者:HassenNaas译者:苜蓿

从一开始,加密市场就因黑客、漏洞和而臭名昭著,这些行为给用户造成了严重的损失。交易所、智能合约、多重签名钱包等多种保管方案成为黑客的重要目标,因为这里面包含价值数百万美元的加密资产。无论是从网络安全的复杂程度还是法律后果来看,区块链的去中心化和匿名性使得它成为一个风险更小、更容易实现的目标,特别是与传统系统相比。

2018年到2019年熊市期间出现的一个新趋势是,投资者热切的希望可以从现有的加密投资中获得更多收益,而被动收益是最高级别的收益。这直接导致对加密资产(PoS、DPoS等),和借贷的需求大幅增加。随着去中心化金融(DeFi)的普及,以及许多信贷和借贷平台的创建,有一些解决方案可以通过借出你的加密资产来创造稳定的收入流。或者,任何想要利用杠杆套利的人都可以借出资产,只要您存入一些抵押品。

Notyourkeys,notyourcoins

加密技术的基本原则之一是保管自己的资产,以避免交易风险。一旦用户决定将资产放到外部托管,就得接受对方的安全管理。无论是去中心化的还是中心化的,加密信贷和借贷平台都没有太多区别。这两部分的目标是涵盖最流行的平台,以及保证用户资产安全。

第116次以太坊核心开发者共识会议:下一次ACD电话会议将确定Devnet #9等升级的时间:8月25日消息,Galaxy研究副总裁Christine Kim发文总结第116次以太坊核心开发者共识会议(ACDC),讨论了8月16日推出的Dencun测试网Devnet #8、Dencun升级各个部分的全面测试概述、转向Devnet #9的计划以及启动Holesky测试网的一些未解决的问题等。

首先,开发者表示所有EL与CL客户端均已加入Devnet #8,尚未在测试网上运行验证器的两个EL客户端是Besu和Erigon。其次,Jayanthi提交了Dencun测试概述文档,详细介绍了将在未来几周内开发的Dencun升级的特定测试领域,包括针对影响EVM的Dencun EIP的EVM相关测试、在EL与CL客户端之间同步测试区块与blob、用户评估不同混沌状况的混沌测试、对更多Devnets与影子分叉等公开测试、MEV相关测试、回归测试、坏区块与blob测试、blob特定测试。其三,开发者介绍了Devnet#9的启动计划,Devnet #8与Devnet #9之间代码规范的唯一重大变化是EIP-4788的部署策略。开发者将在下一次ACD电话会议就Devnet #9与其他即将进行的测试网升级的大致时间达成一致。最后,开发者梳理了Holesky测试网启动过程中三个未解决的问题,包括开发者同意将Holesky伤的Shapella升级的Epoch时间从10调整为256,以更准确地反映以太坊主网的环境等。[2023/8/25 10:02:12]

第一部分去中心化项目

MakerDAO

简介:MakerDAO是Dai稳定币系统背后的项目。DAI稳定币是一种以抵押品为担保的加密货币,其价值相对于美元来说是稳定的。我们相信像DAI这样稳定的数字资产,对于释放区块链技术的潜力来说是必不可少的。与其他稳定币机制不同,DAI是完全去中心化的。用户可以从币商或交易所购买DAI,而DAI的持有者则可以利用DAISavingsRate(DSR-多抵押模式)来获得稳定、低风险的投资回报。

英国考虑全面禁止加密货币投资推销电话:金色财经报道,英国财政部发布了一份咨询文件,以了解全面禁止与金融服务和产品相关的推销电话的基层影响。在英国准备禁止与金融相关的推销电话之际,英国财政部发出了咨询意见,并呼吁提供证据,以全面评估该禁令对企业的影响或与引入和实施该禁令相关的成本。[2023/8/24 18:19:36]

Maker是基于Ethereum上的一个智能合约平台,通过一个动态的抵押债仓系统CollateralizedDebtPositions(CDPs)、自主反馈机制以及外部参与者,来稳定DAI的价值。Maker使任何人都可以利用他们的Ethereum资产在Maker平台上生成DAI。一旦生成,DAI可以像其他任何加密货币一样被使用:可以自由地与他人交换,用于购买商品和服务的支付,或者作为长期储蓄。重要的是,DAI的生成也为去中心化借贷平台的健全,创造了所需的组件。

?发行日期:2017年12月17日?支持资产:ETH、DAI、MKR(随着多抵押DAI的发布,可以支持更多资产)?借入APR:DAI——19.5%?总ETH锁仓:1,791,044ETH/$448,038,639.00?DAI总供应量:81,211,832DAI(截至2019年5月20日)?监管:开源智能合约?安全措施:MakerDAO的单抵押DAI智能合约,已经通过了3个独立组织的智能合约审核:Whitehat,TrailofBits和BokConsulting。所有的安全报告已经公布:在这里。

智能合约安全和最佳安全实践,一直是DAI发展中的绝对优先事项。代码库已经经历了三个独立的安全审核,这些审核是由区块链行业中最优秀的安全研究人员完成的。除了良好的项目和最佳安全实践之外,防御黑客攻击最强大的工具是形式验证。形式验证意味着创建系统预期行为的数学规范,同时提供数学证明,证明代码库实现的行为与预期行为相同,没有意外的副作用。DAI是第一个经过正式验证的去中心化的应用程序的代码库。短期目标是创建一个完整性证明,这是一个数学证明,它表明除了系统的数学规范之外,不可能创建任何其他行为。

日本移动电话运营商NTT Docomo将向Web3投资40亿美元:金色财经报道,日本最大的移动电话网络NTT Docomo承诺向Web3基础设施投资高达6000亿日元(40亿美元)。根据一份声明,该公司将与公共区块链Astar网络的开发商Astar基金会和埃森哲合作,加快Web3的采用。

他们将成立一个财团,允许个人和企业利用代币进行治理。目前日本政府拥有NTT Docomo的母公司NTT三分之一的股票。[2022/11/9 12:34:26]

MakerDAOCEORuneChristensen对安全性和形式验证的评论

概述:MakerDAO是最著名的加密项目之一,他们非常重视智能合约安全。由于超过1.5%的ETH(约430,000,000美元)被锁定在CDP中,任何违反智能合同的行为都将是自DAO黑客事件以来对以太坊生态最具灾难性的事件,并且将对加密技术的声誉造成巨大损害。由于涉及的风险很大,Maker团队正在通过完成多次审核来公开发布代码,并开源代码,通过不同媒体与社群接触,并在发布前对MCD(Multi-CollateralDai)进行核实,出色的降低黑客攻击风险。

此外,为了促使合理运用智能合约,他们打算发布相关的形式验证技术的教育材料,以便区块链开发人员可以重复使用。这对整个生态系统做出巨大贡献,使整个行业向前发展。

自2017年12月推出单一抵押品DAI以来,该系统运行正常,没有对用户的资金构成任何重大风险。本月早些时候,Zeppelin发现了Maker公司治理投票合约中的一个严重漏洞,使MKR被锁定在这个特定的合约中,但绝不会危及DAI稳定币系统的安全。为了进一步降低风险,MakerDAO使用了其他机制,如债务上限机制和全球清算,做为阻止系统变得过大而停止运转的手段。

全球清算系统停止了正常功能,取而代之的是允许DAI和CDP持有者,在激活全球清算时,索赔相当于其DAI或CDP净值的固定数量的ETH。

动态 | ETC核心开发人员将于明日举行电话会议,以确定Agharta分叉的具体区块高度:ETC Cooperate的主管Yaz Khoury发文称,ETC核心开发人员将于12月12日下午1点(UTC时间)举行电话会议,将最终确定Agharta分叉(ECIP-1056)的具体区块高度。据悉,Agharta硬分叉预计将在2020年1月中旬进行,升级将包括EIP 145(EVM中的按位移位指令)、EIP 1014(Skinny CREATE2,状态通道性能显著提高)和EIP 1052(EXTCODEHASH操作码)。[2019/12/11]

Compound

简介:Compound是一个基于Ethereum、区块链的货币市场协议,允许个人、机构和应用程序在无需与交易对手或同行协商的情况下,获得利息或借贷加密资产。每个市场都有动态利率,随着市场条件的调整,利率会实时浮动。

?发行日期:2018年9月27日?支持资产:BAT,DAI,ETH,REP,USDC,ZRX(Compoundv2)?借入APR:BAT—2.33%,DAI—13.11%,ETH—1.55%,REP—2.03%,USDC—8.94%,ZRX—2.3%?借出APR:BAT—0.02%,DAI—7.98%,ETH—0.11%,REP—0.00%,USDC—3.59%,ZRX—0.02%?贷款年利率:BATー0.02%,DAIー7.98%,ETHー0.11%,REPー0.00%,USDCー3.59%,ZRXー0.02%?总供应量:30,734,385美元?借款总额:5,542,339美元(截至2019年5月24日Compoundv1)?监管:开源智能合约?安全措施:Compound协议已经过独立机构的两次智能合约审核。(Compoundv1)

在将协议部署到Ethereum主网之前,该协议由TrailofBits和Certora审核。所有合约代码和余款均可公开验证。

概述:Compound是首批在Ethereum、区块链上引入去中心化贷款和借用加密类资产的信贷平台之一。由于提供了一种与货币市场打交道的简单方式,它很快就受到了大众的欢迎,对于任何希望获得流动资金池而无需创建账户和核实的人来说都是理想的选择。

动态利率和定期分期付款吸引了许多用户存入资金,仅仅推出8个月后,智能合约中就持有约2400万美元的加密资产。到目前为止,还没有资金损失的情况,但在2018年12月,人们发现该协议确实存在一个技术缺陷,导致借款停止。在一位社群成员的提醒下,Compound团队迅速做出反应,消除了用户资金的风险,没有产生任何损失。

Compound的主要优势之一是与社群进行公开和透明化的沟通。该团队经常在Discord上活跃,并欢迎用户对其产品和开发的作出反馈。

Compound自发布以来,使用一切必要手段来确保用户的资金安全。尽管代码是公开的,安全审核的发布会是一个优势。随着v2的推出,预计该协议将进一步发展,所以安全性是至关重要的。

截止2019年5月23日:Compoundv2已发布。

Compoundv2由TrailofBits审核,该方案与Certora正式合作验证。

与所有智能合约平台一样,可能存在未被发现的问题——如果发现任何不妥之处,Compound将会为你指出的问题给予奖励。

建议谨慎使用任何新推出软件,因为是在早期阶段,不明错误可能会出现。

Dharma

简介:Dharma是一个p2p(peer-to-peer)借贷市场,它能使用户轻易地从世界任何地方借出和借入加密货币,即时且准入门槛低,同时保持用户对资金的完全控制。

?发布日期:2019年4月8日(公开发布)?支持资产:ETH,DAI,USDC?借入APR:ETH—2.5%,DAI—11%,USDC—8%?借出APR:ETH—2.5%,DAI—11%,USDC—8%?可供应量:1,687,0007美金?未偿还借款额:8,300,000美金,在过去30天,共发放了971笔贷款,本金为4,407,005美元(截至2019年5月20日)?监管:开源智能合约?安全措施:Dharma经过独立机构3次智能合约审核。

放款人方面确实面临着技术风险,因为他们把资金放入了我们的智能合约。因此这些合约已经由Zeppelin、TrailofBits和ZKLabs进行审核。

概述:Dharma是基于以太坊的去中心化信贷市场,类似于Compound,允许任何人进入。只需创建一个帐户,用户就可以立即借出或借入加密资产。然而,在每个协议的设计中都有一些关键的差异。

Dharma使用点对点模式,一旦双方达成一致,智能合约将确保贷款协议得到执行,债务人的抵押品得到保管。目前,Dharma支持90天的最长期限和固定利率(将来会改变,为用户提供更多的灵活性)。

尽管Compound有一个汇总合约地址,存放着所有的资金,但Dharma仍为每位用户提供与协议交互的个人合约地址,这在一定程度上保障了用户安全性,因为如果发现并利用了一个漏洞,资金将被分配到多个合同地址。这使得清空过程比全部放在一个地址上要复杂得多。然而,这是有代价的,因为系统的设计方式存在一定程度的中心化。

在Medium上的KylejKistner对项目解释得很好:

当借款人或贷款人将资产发送到提供的地址,以启动Dharma服务器上的贷款合约时,接收地址包含了与中心化Dharma服务器上守护者脚本交互的合同。如果观察者的过程中断或者在重定向资金时没有使用正确的gas价格,资产可以被阻止,直到交易被重新提交,这目前是由Dharma小组完成的。虽然这意味着Dharma用户可能暂时失去对资金的控制权,因为他们的资产可能位于等待处理的智能合约系统中,但Dharma团队无法窃取资金,因为他们不控制用户的私钥。

Dharma计划在未来的某一天,如果用户愿意的话,允许他们自己处理交易。

这意味着目前在系统设计中存在单点故障。如果Dharma的服务器或团队无法重新提交交易,则用户的资金可能会存在潜在风险。一旦他们发布了用户自己处理交易的方式,这个风险将得到消除。

自推出以来,Dharma运转正常,并处理了价值数百万美元的贷款。该团队积极响应并活跃于Telegram。上面概述的技术风险,该团队已经设法建立了一个可靠且利于用户的平台,这解释了为什么他们的受欢迎程度迅速上升。

说在最后

去中心化的信贷市场是一个新颖的实验,但它们可以让我们看到摆在我们面前的现状。根据世界银行的数据:

在全球范围内,仍有17亿成年人没有银行账户,但其中三分之二拥可以帮助他们获得金融服务的手机,数字技术可以利用现有的现金交易将人们带入金融系统。

如今,更多的金融服务渠道正逐渐成为现实。几乎所有能够访问互联网的人,都可以购买一个代币化USD(DAI,USDC),可以通过去中心化的KYC/AML等协议贷款来赚取利率,而无需通过任何信用审查。尽管在无障碍性方面仍然存在许多难题,但这是为实现全民普惠金融取得重大进步。

虽然这些发展都是非常令人兴奋的,但新技术带来的风险因素需要格外谨慎。在这种情况下,三个协议MakerDAO,Compound和Dharma在以太坊上使用开源智能合约。如果说历史教会了我们什么的话,那就是在他们目前的状态下,智能合约仍然天生难以建立,而且容易出现可被不良行为者利用的漏洞。

毫无疑问,在过去的几年里,我们已经看到在智能合约安全方面和技术知识研究中取得的巨大进步,结果是显而易见的:智能合约黑客越来越少。业界的安全标准已经相当成熟,这将获得使用该技术的机构、组织或人员的信任。

尽管如此,尽管这些协议背后的团队已经在测试流程、审核和漏洞奖励方面采取了所有必要的措施,但是问题威胁仍然存在,所以建议谨慎行事,正如经典谚语所说:

Neverinvestmoneythatyoucan’taffordtolose.永远不要投资你输不起的钱。

附注:最近推出的项目对于DeFi协议有着有趣的启示。如果出现任何资金损失,NexusMutual将提供智能合约保险。了解更多关于它的工作原理。

第2部分将介绍CryptoCredit和LendingPlatforms的中心化替代方案,如BlockFi、Celsius、Cred和Nexo。

来源链接:medium.com

本文来源于非小号媒体平台:

Chinanews

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/4091826.html

安全

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

PlusToken团伙被捕后又有2.85万BTC异动,还留下了彩蛋

下一篇:

慢雾:门罗币锁定转账攻击可锁定交易所XMR流动性,但不会导致资金损失

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

PEPE币DAI:电话都开始了 你的币离归零还远吗?

狂人本着负责,专注,诚恳的态度用心写每一篇分析文章,特点鲜明,不做作,不浮夸!本内容中的信息及数据来源于公开可获得资料,力求准确可靠,但对信息的准确性及完整性不做任何保证,本内容不构成投资建议.

[0:78ms0-4:924ms