mt logoMyToken
总市值:
0%
恐慌指数:
0%
币种:--
交易所 --
ETH Gas:--
EN
USD
APP
Ap Store QR Code

Scan Download

DeFi月报 | bZx事件大反思,DeFi预言机、保险、治理都怎么做?

收藏
分享

根据Dapp Total的数据,目前已统计的36个DeFi应用锁仓总值为13.4亿美元,其中ETH锁仓量为371万,占ETH总供应量的3.37%;EOS锁仓量为694万,占EOS总供应量的6.83%。锁仓价值分布占比最高的三个项目分别是:Maker、EOS REX和Edgeware,分别占比35.72%、17.92%和12.47%。 屏幕快照 2020-02-29 上午10.58.35

DeFi锁仓额在2月14日达到了17.6亿美元的历史新高。但在15日bZx被首次攻击之后,锁仓数据就开始回落了。

屏幕快照 2020-02-29 上午11.06.16

本月的DeFi大事件,可以总结为DeFi平台连遭攻击,及其引发的关于闪电贷、预言机、保险、治理的思考。

1. DeFi平台连遭攻击,合约安全引发思考

DeFi其实是个比较小众的圈子,但随着它的热度越来越高,吸引了黑客们的注意,继bZx事件后,可能还会发生很多次针对DeFi平台的攻击。

以下是本月DeFi平台出现的几起异常事件。

贷款协议bZx: 本月遭遇两次攻击,攻击者空手套白狼,十几秒套利超百万美金。这个事件已经有太多文章论述了,此处不赘述。点击文章回顾即可: 《别再怪“闪电贷”了,bZx连遭攻击的真凶是它》

合成资产发行平台 Synthetix: 该协议的“快照漏洞”,使得用户可以收到平台奖励的同时,避免了原本需要承担的风险。Synthetix将会在下个版本Betelgeuse中修复该漏洞,并奖励200万枚SNX,给予网络中未利用过“快照漏洞”的账户。

稳定币交易平台 Curve : 出现异常交易,黑客用价值 8.9 万美元的 USDC 兑换了价值 46.5 万美元的 BUSD。攻击手法是利用与Curve合作的iearn.finance 提供的 Zap。在资金池busd.curve.fi未正式宣布时,做了超大额交易,同时 Zap 合约没有检查滑点。所幸,团队检查到异常之后联系一位巨鲸交易者人为干预平衡了资金池,没有造成资金损失。

保险替代方案初创公司Nexus Mutual: 两名安全研究员分别发现了Nexus Mutual协议与bZx的bug相似的漏洞,以及与Nexus Mutual的治理体系有关的漏洞。Nexus Mutual已妥善解决好,并向发现漏洞的研究人员支付7000 美元的奖金。

借贷协议 dYdX : 本周币价大波动行情下,用户通过借贷做空及抢着清算等操作,致使dYdX平台活动数量激增,导致交易处理速度延迟。这并不是一个漏洞,但如果发生在中心化交易所,也是不可忽视的大问题。目前,DeFi平台普遍还没有经历过大行情的考验。

2. “闪电贷”究竟是是天使还是魔鬼?

bZx协议被攻击后,“闪电贷”成为众矢之的,给大家推荐3篇文章。

第1篇: 《全面解读闪电贷:为什么闪电攻击将成为新常态?》 ,这篇文章对“闪电贷”进行了科普,并解释了它诞生的初衷,以及未来可能对DeFi平台带来的安全问题。

第2篇: 《闪电贷:DeFi项目新玩法,如何攻击MakerDao获取7亿美金》 ,这篇文章的撰写者提出了一个非常重要的警示,如果不引入新治理合约的延迟,谁都有可能窃取Maker的所有抵押品,并使用闪电贷发行任意数量的Dai。Maker已在2月21日举行投票启动了治理安全延迟模块,以防止攻击。

第3篇: 《Vitalik:Uniswap v2 价格预言机能够抵御闪电贷攻击》 ,这篇文章是安全分析平台Gauntlet成员,斯坦福博士生Guillermo Angeris撰写的,在bZx连遭攻击后,以太坊联合创始人Vitalik Buterin转发了,并表示“计划中的Uniswap v2 价格预言机设计,能够抵御最近的闪电贷攻击。”

3. DeFi需要怎样的预言机?

由于bZx事件暴露出喂价机制的问题,bZx也在首次攻击发生后,宣布将新增集成预言机平台 ChainLink 作为价格来源之一。

本月11号,Chainlink 曾表示,将为 DeFi 项目推出“Meta Oracle”功能,结合了链上和链下数据。Chainlink 表示,已经可以通过智能合约以去中心化的方式接入链下的可靠数据源,而“Meta Oracle”将聚合所有链上的数据。

不过,2月23日,Chainlink公告披露,XAG/USD因发生一次长达6个小时的喂价故障,导致不到四万美元的损失。事故因一次功能升级时导致,现已恢复正常。

《DeFi所需的预言机应该是怎样的?》 这篇文章推荐大家阅读。

4. 保险——DeFi的最后一道防护墙

可见,没有绝对安全的合约,只有还没有被发现的漏洞。DeFi平台在未来一段时间内,还会面临着更多的安全考验。这个时候,保险构成DeFi平台的最后一道防护墙。比如,bZx被攻击后,保险项目Nexos Mutual认为这次攻击造成的损失符合赔偿条件,因此为其受害者建立了赔偿程序,它将作为第一个赔偿案实施。

而在本月13号,去中心化金融风险管理平台 Opyn 也宣布推出为 Compound 存款提供保险的服务,如果 Compound 合约遭受攻击时用户依旧可以取回本金和利息。Opyn本质上并不是一个保险平台,而是一个由看跌期权组成的双向市场, Opyn 将为加密经济搭建保险层,建立在 Convexity 协议之上。

同样推荐一篇文章: 《DeFi 的守护神:聊聊“保险”这个新赛道》

5. Compound计划发币完善治理机制

bZx被盗后资金流向Compound,当时就有关于Compound是否应该动用管理员密钥的讨论。实际上,很多DeFi协议都会留管理员的后门,包括bZx、Dharma、Synthetix、 Aave、dYdX等,以便开发团队能够在出现合约漏洞时进行优化。但什么时候可以启动后门,是否违背去中心化的理念,始终是一个问题。

不知是否与bZx时间有关,2月27日,Compound宣布推出治理代币COMP。同日启动其实验性治理平台的测试网,并提供其治理代币COMP的试用版。治理代码库已上传至Github,并已经由OpenZeppelin进行了审计。另外的安全审计也正在进行中,并将很快发布。

Compound表示,该公司代币化其DApp,但并不是为了通过这一方式筹集更多资金,而是增强社群治理能力。在权力下放完成之前,COMP 不会对公众开放。Compound员工、创始人和投资者将获得一部分代币,另一部分将通过公司尚未透露的方式在以太坊上分配。在这些都完成后,代币持有者将共同经营Compound。

免责声明:本文版权归原作者所有,不代表MyToken(www.mytokencap.com)观点和立场;如有关于内容、版权等问题,请与我们联系。