概述
一直以來,安全始終是所有金融平臺的重中之重。在無法保障資金安全的情況下,高收益都是一張張的空頭支票。這一點對于去中心化借貸平臺來說也是一樣的。回顧過去的一年,不少的借貸平臺都發生過安全事故,給用戶帶來了慘重的損失。
1.Venus大額清算事件
2021年5月18日,作為BSC鏈上最大的借貸平臺,Venus清算了超過2百萬的XVS(Venus平臺幣)。這直接導致了大量用戶遭受慘重的損失和清算,壞賬總額高達一億美元。此次安全事故的發生是因為XVS的幣價遭到了大戶的惡意拉升,用價格虛高的XVS為抵押,借出了大量的BTC和ETH。XVS的流動性相對其他主流幣而言較低,被惡意操控的風險更大。此次事故與Venus平臺收錄流動性較差的幣種有著直接的關系,平臺對于潛在風險的忽視也是這次安全事故發生的原因之一。
Stake-to-Earn代幣BTC20 一周內通過預售籌集170萬美元:金色財經報道,Stake-to-Earn 代幣 BTC20 在一周內通過預售階段籌集了超過 170 萬美元。BTC20 ($BTC20) 允許投資者以 1 美元的象征性價格購買代幣,這是對原始比特幣早期的致敬。BTC20 的質押模式允許代幣持有者通過歸屬合約隨著時間的推移獲得獎勵。
受原始比特幣區塊獎勵的啟發,該合約旨在在大約 120 年內向質押者分發 BTC20 美元的代幣。根據 BTC20白皮書,預售結束后,所有未售出的代幣(至少 1495 萬美元 BTC20)將被鎖定在質押合約中。[2023/7/26 15:58:18]
2.Cream閃電貸攻擊
2021年10月27日,CreamFinance在推特上公開承認,他們再次遭受了閃電貸襲擊,總損失金額高達1.3億美元。這已經是該平臺本年度的第三次安全事故,前兩次分別發生在2021年的2月和8月,兩次分別損失了近0.4億和近0.3億美元。CreamFinance本年度的三次安全事故均是遭受的閃電貸襲擊,這是一種近兩年非常常見的針對借貸平臺的黑客攻擊手段。
ZigZag:Discord已被黑客入侵,請勿點擊網絡釣魚鏈接:6月27日消息,ZK Rollup訂單簿DEX協議ZigZag在推特上表示,我們的Discord已被黑客入侵,請注意,ZigZag目前沒有空投活動,請勿點擊網絡釣魚鏈接。我們正在努力解決這個問題,當重新獲得控制權時將提供更新。[2023/6/27 22:02:29]
回顧以上的安全事故,我們不難得出結論,借貸平臺的安全性主要取決于團隊對于風險的控制以及對于潛在風險的審計和測試。
本文將會針對Solana公鏈上的借貸平臺,進行一系列的安全性分析。
Solana公鏈上的主要借貸平臺匯總
表1.Solana鏈上的主流借貸平臺
是否審計
某Moonbirds巨鯨近24小時清倉500枚Moonbirds,虧損719.49ETH:3月12日消息,據Blur行情數據顯示,Moonbirds NFT巨鯨地址(0xb8…551a)自3月11日下午六點左右開始在Blur清倉其持有的Moonbirds NFT,累計清倉約500枚Moonbirds,虧損約719.49ETH。近24小時,Monnbirds交易量超過5500ETH,地板價下跌23.86%至4.66ETH。[2023/3/12 12:58:58]
審計是智能合約安全性的第一道防線,也是對平臺進行安全性分析時的一個重要指標。
審計的作用就像是一個監管的第三方,讓所有利益相關者可以相信平臺運作過程中的透明度,以及平臺是否遵循了目前行業標準的預期。隨著Defi行業的不斷發展和成熟,監管的標準和要求也會更加的規范化,在這個過程中,審計將繼續發揮關鍵的作用。
數據主權同步應用xSync現已支持Twitter,推文可同步至Crossbell鏈上:11月5日消息,由Crossbell團隊開發的數據主權同步應用xSync現已支持Twitter和Medium平臺,可以將用戶發布在Twitter和Medium上的內容自動并且免費的同步至Crossbell區塊鏈上。xSync對于Twitter內容的集成,是針對團隊此前發布的CrossSync升級版本,采用了全新的推文同步方式,提供更便利易用的工具,來保護用戶數據主權。據悉,Crossbell是由RSS3母公司NaturalSelectionLabs 開發的社交Layer1 公鏈。[2022/11/5 12:20:39]
表2總結了上述所有平臺的審計公司。
在上述的六個平臺中,JetProtocol是目前唯一一個在未經審計的主網上運行的平臺。盡管他們的代碼已經經過了Solana基金會所提供的外部白帽子開發團隊的審查,對此還是建議用戶保持謹慎。
Elrond網絡遭黑客攻擊,被盜EGLD價值超165萬美元:6月7日消息,Elrond網絡近日遭黑客攻擊,超165萬美元EGLD被盜,部分并已通過去中心化交易平臺Maiar出售,引發Maiar停機維護,部分發送至Binance。截至目前,無法確定漏洞利用原因,或與交易平臺或網絡端有關。竊取資金后,黑客曾進行地址轉移,暫未采用混幣方案。(U.today)[2022/6/7 4:08:47]
Solen,Apricot,Larix以及Soda都經過了知名知名智能合約審計公司的審計。
其中Soda的審計方Certik是Binance的正式合作或盤,并且得到了包括BinanceLabs,Lightspeed,MatrixPartners,andDHVC在內的知名投資者的支持。
Larix的審計方慢霧科技是目前在區塊鏈行業領先的安全性審計公司,是EOS,Cosmos,Vechain等頂級區塊鏈項目的合作伙伴。慢霧以其強大的EOS智能合約防火墻項目FireWall.X而聞名。
支持幣種
縱觀2021年的借貸平臺安全事故,尤其是以Venus5月份的大額清算事故為例,支持流動性較低的幣種的風險顯而易見。此類幣的價格極其容易被心懷不軌的人惡意操控,隨即借空平臺資產,從而導致大量的壞賬。借貸平臺在上新幣種的時候應該意識到此類風險,進行風險管理并盡最大可能保護其用戶不會成為這些惡意攻擊的受害者,這也是借貸平臺應負的責任。Venus的大額清算事故以慘痛的代價給我們上了這一課。
在本文所分析的六個借貸平臺中,Larix,Jet和Soda僅支持了不易受到市場操控影響的主流幣,大大減小了該類事故發生的風險。其余的三個平臺,Solend支持了SER,MER,SLND(Solend平臺幣),Apricot支持了ORCA,Port支持了MER、FIDA和自己的平臺幣PORT。以上均是流動性相對較低的幣種,其價格存在很大的被操縱空間,為這些平臺的安全增加了一層不確定性。
代碼開源
在評估借貸平臺的安全性時,代碼是否開源是另一個重要的指標。開源意味著所有的代碼都是公開透明的,每個人都有訪問權限。開源的代碼會為平臺增加安全性主要是因為以下幾點。
?由于開源代碼的透明性,更多雙眼睛可以幫助平臺一起尋找并維護代碼
?開源代碼意味著平臺在解決安全隱患時將會更有效率,極高的公眾可見性為解決漏洞增加了緊迫性
?開源代碼意味著開發人員無法在代碼中鑲嵌惡意指令
在本文今天所分析的所有平臺中,只有Larix和Solend在官網上明確表示他們的代碼是開源的,其余平臺的代碼是否開源或部分開源尚不得而知。
預言機
借貸項目最主要的風險來自于兩個方面,第一是私鑰泄露,第二就是報價出錯。其中報價出錯除了支持資產的價格被惡意操縱外,還有很大的風險是來自于預言機的報價錯誤。Solend就曾因為mSOL報價錯誤,導致不少用戶被錯誤清算,損失資產的情況。而Apricot官方近日也緊急下架了LP抵押功能,并承認了其LP計價方式有誤,但還是導致部分用戶被錯誤清算損失了資金。目前這幾家借貸采用的主要還是Pyth的預言機方案,ChainLink還未支持Solana資產的報價。但比較合理的還是中心化和去中心化交易所,以及預言機喂價相互校驗的喂價機制。
漏洞賞金計劃
漏洞賞金是一個為借貸平臺增加額外安全性的機制,為發現漏洞并上報給平臺方的人提供豐厚的賞金,該計劃鼓勵社區和白帽子黑客對智能合同的安全性進行審計。Solend,Larix和Port都有明確的漏洞賞金計劃。2021年11月,Solend和Larix聯手向發現并上報了SPL代幣借貸庫漏洞的Neodyme團隊提供了豐厚的賞金。
總結
在金融中,有一個理論叫做’不可能三角’理論,即高流動性,低風險和高收益是無法同時滿足的。這個理論同樣適用于加密領域的投資,因此,與其不停的追逐更高的收益,我們應該停下來花一點時間來思考我們資產的安全性。畢竟,如果賺了利息,但卻丟了本金,那可就真是撿了芝麻丟了西瓜。切記,挖礦千萬條,安全第一條。
“基于Substrate開發,計劃競拍插槽來成為波卡平行鏈,為波卡生態提供?DeFi?基礎設施的Acala.
1900/1/1 0:00:00在BTC價格跌破42,000美元后,比特幣和大多數主要的山寨幣變得更糟。過去幾天,比特幣(?BTC)的波動性一直在縮小.
1900/1/1 0:00:00撰文:Nansen 編譯:TechFlow 簡介 人人都聽說過以太坊2.0,以及它是如何解決以太坊擴容問題的.
1900/1/1 0:00:00沃爾瑪現在開始正式進軍Crypto領域。去年晚些時候,就有傳言稱,沃爾瑪已經接受LTC作為支付手段,當時沃爾瑪公開否認了這一謠言,并指出,沃爾瑪不接受這種Crypto支付.
1900/1/1 0:00:00當下大家常聽見很多關于ZKRollup如何被認為是通用智能合同系統未來的談論。而我們不同意——這篇文章解釋了原因.
1900/1/1 0:00:00Chainstack是一個區塊鏈PaaS服務平臺,其目標是構建最容易使用區塊鏈技術的平臺,將幫助開發者構建區塊鏈及應用。Chainstack認為,未來輕松啟動去中心化應用程序將成為常態.
1900/1/1 0:00:00