ARMA:详解 DeFi 借贷项目资产安全性:以 MakerDAO、Compound 与 Dharma 为例_TON

在金融活动中,资产的安全性是非常重要的。5月初,Zeppelin发现了Maker公司治理投票合约中的一个严重漏洞,目前已经解决。加密货币信贷与借贷平台中,风险漏洞是否可以完全消除。MakerDAO,Compound,Dharma等信贷借贷类DeFi项目,在安全方面经历了哪些考验。在经过长期的市场验证后,DeFi项目是否会继续带来更大的声量?

Neverinvestmoneythatyoucan’taffordtolose.

原文标题:《你的资产安全吗?》作者:HassenNaas译者:苜蓿

从一开始,加密市场就因黑客、漏洞和而臭名昭著,这些行为给用户造成了严重的损失。交易所、智能合约、多重签名钱包等多种保管方案成为黑客的重要目标,因为这里面包含价值数百万美元的加密资产。无论是从网络安全的复杂程度还是法律后果来看,区块链的去中心化和匿名性使得它成为一个风险更小、更容易实现的目标,特别是与传统系统相比。

2018年到2019年熊市期间出现的一个新趋势是,投资者热切的希望可以从现有的加密投资中获得更多收益,而被动收益是最高级别的收益。这直接导致对加密资产(PoS、DPoS等),和借贷的需求大幅增加。随着去中心化金融(DeFi)的普及,以及许多信贷和借贷平台的创建,有一些解决方案可以通过借出你的加密资产来创造稳定的收入流。或者,任何想要利用杠杆套利的人都可以借出资产,只要您存入一些抵押品。

Notyourkeys,notyourcoins

加密技术的基本原则之一是保管自己的资产,以避免交易风险。一旦用户决定将资产放到外部托管,就得接受对方的安全管理。无论是去中心化的还是中心化的,加密信贷和借贷平台都没有太多区别。这两部分的目标是涵盖最流行的平台,以及保证用户资产安全。

金色沙龙 | Eric Chen:Cosmos所做的很大一点就是跨链价值交换:在今日举行的金色沙龙中,针对“数据封闭究竟对区块链行业的发展带来了哪些阻碍”的问题,injective Protocol联合创始人及CEO Eric Chen表示,我们可以从两个角度来看,一个是链上数据封闭的问题,也就是cosmos着手解决的方面。另外一个是链下或者现实世界数据问题,其实cosmos也可以通过一个zone来引入更可信可靠的预言机机制。在链上数据方面,我们会发现很多区块链生态圈内大半部分的价值转换都是链与链之间的,BTC-USD这个世界交易量最高的市场就是一个很好的例子。现在我们看的市场都是通过中心化机制像是交易所来实施这种价值转换,也当然从一开始就吸取了血的教训。Cosmos所能做到的跨链技术在很大一点就是着重于跨链价值交换,也是算是数据交换的一种。当然了,cosmos本身强大的横向增发也为基础链提供了无限的可能,并为基础链的通量瓶颈带来舒缓。而在链下数据方面,我们知道一直是以太坊以及多个智能合约平台的痛点。而预言机也从此变成了智能合约链中的核心模组。然而随着cosmos的引入,我们会发现很多预言机的负担会从此减重。最近很多预言机像Chainlink和synthetix也都受到了攻击和失控,导致庞大的DeFi生态圈造成损失。我相信很快也会有开发团队利用cosmos和tendermint所带来的PoS instant finality 优势而开发更加去中心化并且可靠的预言机。[2020/4/29]

第一部分去中心化项目

MakerDAO

简介:MakerDAO是Dai稳定币系统背后的项目。DAI稳定币是一种以抵押品为担保的加密货币,其价值相对于美元来说是稳定的。我们相信像DAI这样稳定的数字资产,对于释放区块链技术的潜力来说是必不可少的。与其他稳定币机制不同,DAI是完全去中心化的。用户可以从币商或交易所购买DAI,而DAI的持有者则可以利用DAISavingsRate(DSR-多抵押模式)来获得稳定、低风险的投资回报。

金色沙龙 | MXC集团副总裁:穿仓原因有一大部分是平台流动性或者技术等原因造成:今日举行的金色沙龙圆桌讨论中,针对“交易所如何设计合理的风控机制、设计原则是什么”的问题,MXC集团副总裁Henry表示,确实穿仓原因有一大部分是部分平台流动性或者技术等原因造成,不是主观的。这个问题上,个人觉得有几点:

1. 交易所加强自身内部风控流程管理,特别是涉及到资产端建立严格的流程机制。

2.交易所保持中立,维护市场公平公正,不以用户为对手盘。这个需要交易所的自律。

3.技术层面。网络环境安全、业务信息安全、防钓鱼攻击和工作流程规范,都是比较重要的方面。

4. 赔付机制。建立投资者保护基金。[2020/2/26]

Maker是基于Ethereum上的一个智能合约平台,通过一个动态的抵押债仓系统CollateralizedDebtPositions(CDPs)、自主反馈机制以及外部参与者,来稳定DAI的价值。Maker使任何人都可以利用他们的Ethereum资产在Maker平台上生成DAI。一旦生成,DAI可以像其他任何加密货币一样被使用:可以自由地与他人交换,用于购买商品和服务的支付,或者作为长期储蓄。重要的是,DAI的生成也为去中心化借贷平台的健全,创造了所需的组件。

?发行日期:2017年12月17日?支持资产:ETH、DAI、MKR(随着多抵押DAI的发布,可以支持更多资产)?借入APR:DAI——19.5%?总ETH锁仓:1,791,044ETH/$448,038,639.00?DAI总供应量:81,211,832DAI(截至2019年5月20日)?监管:开源智能合约?安全措施:MakerDAO的单抵押DAI智能合约,已经通过了3个独立组织的智能合约审核:Whitehat,TrailofBits和BokConsulting。所有的安全报告已经公布:在这里。

金色沙龙 | 犇睿资本创始人:衍生品交易满足了机构投资者希望从价格下跌中获利方法:今日举行的金色沙龙圆桌讨论中,针对“目前越来越多的衍生品交易所出现,主要原因有哪些”的问题,犇睿资本创始人褚康表示,衍生品交易所火爆的原因主要在于两点,一是交易所本身,加密货币市场的发展是传统金融市场发展的缩影,不仅仅是金融机构本身,包括监管、产品设计等多方面都是在借鉴传统金融市场进行发展。作为核心机构的交易所本身,自然会成为主要追逐的对象。二是衍生品本身,加密货币衍生品从2018年开始兴起,进入了一定阶段的低迷时期,机构投资者希望从价格下跌中获利或者是找到对冲的方法,衍生品交易满足了这项需求,而衍生品交易的高额潜在利润,同样吸引了大批投资者,特别是在欧美国家。[2020/2/26]

智能合约安全和最佳安全实践,一直是DAI发展中的绝对优先事项。代码库已经经历了三个独立的安全审核,这些审核是由区块链行业中最优秀的安全研究人员完成的。除了良好的项目和最佳安全实践之外,防御黑客攻击最强大的工具是形式验证。形式验证意味着创建系统预期行为的数学规范,同时提供数学证明,证明代码库实现的行为与预期行为相同,没有意外的副作用。DAI是第一个经过正式验证的去中心化的应用程序的代码库。短期目标是创建一个完整性证明,这是一个数学证明,它表明除了系统的数学规范之外,不可能创建任何其他行为。

MakerDAOCEORuneChristensen对安全性和形式验证的评论

概述:MakerDAO是最著名的加密项目之一,他们非常重视智能合约安全。由于超过1.5%的ETH(约430,000,000美元)被锁定在CDP中,任何违反智能合同的行为都将是自DAO黑客事件以来对以太坊生态最具灾难性的事件,并且将对加密技术的声誉造成巨大损害。由于涉及的风险很大,Maker团队正在通过完成多次审核来公开发布代码,并开源代码,通过不同媒体与社群接触,并在发布前对MCD(Multi-CollateralDai)进行核实,出色的降低黑客攻击风险。

SPACE ID:.bnb域名将于9月13日13时开启公开注册:9月5日消息,全链域名服务商SPACEID发文宣布,.bnb域名将于北京时间9月13日13时开启公开注册。同时将于9月7日13时开始向公众举行为期5天的上线发布会。[2022/9/6 13:10:19]

此外,为了促使合理运用智能合约,他们打算发布相关的形式验证技术的教育材料,以便区块链开发人员可以重复使用。这对整个生态系统做出巨大贡献,使整个行业向前发展。

自2017年12月推出单一抵押品DAI以来,该系统运行正常,没有对用户的资金构成任何重大风险。本月早些时候,Zeppelin发现了Maker公司治理投票合约中的一个严重漏洞,使MKR被锁定在这个特定的合约中,但绝不会危及DAI稳定币系统的安全。为了进一步降低风险,MakerDAO使用了其他机制,如债务上限机制和全球清算,做为阻止系统变得过大而停止运转的手段。

全球清算系统停止了正常功能,取而代之的是允许DAI和CDP持有者,在激活全球清算时,索赔相当于其DAI或CDP净值的固定数量的ETH。

Compound

简介:Compound是一个基于Ethereum、区块链的货币市场协议,允许个人、机构和应用程序在无需与交易对手或同行协商的情况下,获得利息或借贷加密资产。每个市场都有动态利率,随着市场条件的调整,利率会实时浮动。

?发行日期:2018年9月27日?支持资产:BAT,DAI,ETH,REP,USDC,ZRX(Compoundv2)?借入APR:BAT—2.33%,DAI—13.11%,ETH—1.55%,REP—2.03%,USDC—8.94%,ZRX—2.3%?借出APR:BAT—0.02%,DAI—7.98%,ETH—0.11%,REP—0.00%,USDC—3.59%,ZRX—0.02%?贷款年利率:BATー0.02%,DAIー7.98%,ETHー0.11%,REPー0.00%,USDCー3.59%,ZRXー0.02%?总供应量:30,734,385美元?借款总额:5,542,339美元(截至2019年5月24日Compoundv1)?监管:开源智能合约?安全措施:Compound协议已经过独立机构的两次智能合约审核。(Compoundv1)

乌克兰执法机构关闭哈尔科夫地区的加密矿场:金色财经消息,乌克兰主要执法机构在哈尔科夫地区发现的非法加密采矿场,目前已关闭该加密矿场。执法机构表示,加密矿场的运营商一直在使用大量偷来的电力铸造硬币,威胁到关键基础设施的能源供应。[2022/7/21 2:27:54]

在将协议部署到Ethereum主网之前,该协议由TrailofBits和Certora审核。所有合约代码和余款均可公开验证。

概述:Compound是首批在Ethereum、区块链上引入去中心化贷款和借用加密类资产的信贷平台之一。由于提供了一种与货币市场打交道的简单方式,它很快就受到了大众的欢迎,对于任何希望获得流动资金池而无需创建账户和核实的人来说都是理想的选择。

动态利率和定期分期付款吸引了许多用户存入资金,仅仅推出8个月后,智能合约中就持有约2400万美元的加密资产。到目前为止,还没有资金损失的情况,但在2018年12月,人们发现该协议确实存在一个技术缺陷,导致借款停止。在一位社群成员的提醒下,Compound团队迅速做出反应,消除了用户资金的风险,没有产生任何损失。

Compound的主要优势之一是与社群进行公开和透明化的沟通。该团队经常在Discord上活跃,并欢迎用户对其产品和开发的作出反馈。

Compound自发布以来,使用一切必要手段来确保用户的资金安全。尽管代码是公开的,安全审核的发布会是一个优势。随着v2的推出,预计该协议将进一步发展,所以安全性是至关重要的。

截止2019年5月23日:Compoundv2已发布。

Compoundv2由TrailofBits审核,该方案与Certora正式合作验证。

与所有智能合约平台一样,可能存在未被发现的问题——如果发现任何不妥之处,Compound将会为你指出的问题给予奖励。

建议谨慎使用任何新推出软件,因为是在早期阶段,不明错误可能会出现。

Dharma

简介:Dharma是一个p2p(peer-to-peer)借贷市场,它能使用户轻易地从世界任何地方借出和借入加密货币,即时且准入门槛低,同时保持用户对资金的完全控制。

?发布日期:2019年4月8日(公开发布)?支持资产:ETH,DAI,USDC?借入APR:ETH—2.5%,DAI—11%,USDC—8%?借出APR:ETH—2.5%,DAI—11%,USDC—8%?可供应量:1,687,0007美金?未偿还借款额:8,300,000美金,在过去30天,共发放了971笔贷款,本金为4,407,005美元(截至2019年5月20日)?监管:开源智能合约?安全措施:Dharma经过独立机构3次智能合约审核。

放款人方面确实面临着技术风险,因为他们把资金放入了我们的智能合约。因此这些合约已经由Zeppelin、TrailofBits和ZKLabs进行审核。

概述:Dharma是基于以太坊的去中心化信贷市场,类似于Compound,允许任何人进入。只需创建一个帐户,用户就可以立即借出或借入加密资产。然而,在每个协议的设计中都有一些关键的差异。

Dharma使用点对点模式,一旦双方达成一致,智能合约将确保贷款协议得到执行,债务人的抵押品得到保管。目前,Dharma支持90天的最长期限和固定利率(将来会改变,为用户提供更多的灵活性)。

尽管Compound有一个汇总合约地址,存放着所有的资金,但Dharma仍为每位用户提供与协议交互的个人合约地址,这在一定程度上保障了用户安全性,因为如果发现并利用了一个漏洞,资金将被分配到多个合同地址。这使得清空过程比全部放在一个地址上要复杂得多。然而,这是有代价的,因为系统的设计方式存在一定程度的中心化。

在Medium上的KylejKistner对项目解释得很好:

当借款人或贷款人将资产发送到提供的地址,以启动Dharma服务器上的贷款合约时,接收地址包含了与中心化Dharma服务器上守护者脚本交互的合同。如果观察者的过程中断或者在重定向资金时没有使用正确的gas价格,资产可以被阻止,直到交易被重新提交,这目前是由Dharma小组完成的。虽然这意味着Dharma用户可能暂时失去对资金的控制权,因为他们的资产可能位于等待处理的智能合约系统中,但Dharma团队无法窃取资金,因为他们不控制用户的私钥。

Dharma计划在未来的某一天,如果用户愿意的话,允许他们自己处理交易。

这意味着目前在系统设计中存在单点故障。如果Dharma的服务器或团队无法重新提交交易,则用户的资金可能会存在潜在风险。一旦他们发布了用户自己处理交易的方式,这个风险将得到消除。

自推出以来,Dharma运转正常,并处理了价值数百万美元的贷款。该团队积极响应并活跃于Telegram。上面概述的技术风险,该团队已经设法建立了一个可靠且利于用户的平台,这解释了为什么他们的受欢迎程度迅速上升。

说在最后

去中心化的信贷市场是一个新颖的实验,但它们可以让我们看到摆在我们面前的现状。根据世界银行的数据:

在全球范围内,仍有17亿成年人没有银行账户,但其中三分之二拥可以帮助他们获得金融服务的手机,数字技术可以利用现有的现金交易将人们带入金融系统。

如今,更多的金融服务渠道正逐渐成为现实。几乎所有能够访问互联网的人,都可以购买一个代币化USD(DAI,USDC),可以通过去中心化的KYC/AML等协议贷款来赚取利率,而无需通过任何信用审查。尽管在无障碍性方面仍然存在许多难题,但这是为实现全民普惠金融取得重大进步。

虽然这些发展都是非常令人兴奋的,但新技术带来的风险因素需要格外谨慎。在这种情况下,三个协议MakerDAO,Compound和Dharma在以太坊上使用开源智能合约。如果说历史教会了我们什么的话,那就是在他们目前的状态下,智能合约仍然天生难以建立,而且容易出现可被不良行为者利用的漏洞。

毫无疑问,在过去的几年里,我们已经看到在智能合约安全方面和技术知识研究中取得的巨大进步,结果是显而易见的:智能合约黑客越来越少。业界的安全标准已经相当成熟,这将获得使用该技术的机构、组织或人员的信任。

尽管如此,尽管这些协议背后的团队已经在测试流程、审核和漏洞奖励方面采取了所有必要的措施,但是问题威胁仍然存在,所以建议谨慎行事,正如经典谚语所说:

Neverinvestmoneythatyoucan’taffordtolose.永远不要投资你输不起的钱。

附注:最近推出的项目对于DeFi协议有着有趣的启示。如果出现任何资金损失,NexusMutual将提供智能合约保险。了解更多关于它的工作原理。

第2部分将介绍CryptoCredit和LendingPlatforms的中心化替代方案,如BlockFi、Celsius、Cred和Nexo。

来源链接:medium.com

本文来源于非小号媒体平台:

Chinanews

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/4091826.html

安全

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

PlusToken团伙被捕后又有2.85万BTC异动,还留下了彩蛋

下一篇:

慢雾:门罗币锁定转账攻击可锁定交易所XMR流动性,但不会导致资金损失

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:0ms0-7:670ms