警惕！備受推崇的 DeFi 正在威脅以太坊安全_區塊鏈:ETH

作者：HaseebQureshi

翻譯：羅遠航

來源：區塊鏈前哨

導語：?區塊鏈上的借貸市場已經成為了最流行的去中心化金融應用場景，鏈上借貸甚至有潛力取代傳統的借貸方式。但是事實上，鏈上的金融借貸服務正對PoS網絡中的共識機制產生影響，帶來了鏈上的共識機制安全性的降低。

現如今，區塊鏈上的借貸市場已經成為了最流行的去中心化金融應用場景，

通過MakerDAO、Compound以及dYdX產生的借貸總額已經超過了6億美金。鏈上借貸甚至有潛力取代傳統的借貸方式。但是事實看起來要更復雜：它同時還對權益證明共識機制產生著威脅。

權益證明是工作量證明的一種替代共識算法，工作量證明是通過哈希算力來保障區塊鏈的正常運行，而權益證明是通過鏈上抵押的數字資產的數量來保障區塊鏈的共識。去年一年中啟動的絕大多數區塊鏈項目都是采用的PoS共識算法，在接下來一年里還會有更多使用PoS機制的區塊鏈項目。

PoS系統的安全是由網絡中抵押的數字貨幣的數量保障的。在大多數的PoS算法中，只要抵押數量中的2/3是由誠實的參與者擁有的，該區塊鏈系統就可以被認作是安全的。

央視網：警惕虛擬幣市場的“情緒繁榮”:比特幣的暴漲與暴跌，堪稱新世紀最為劇烈的財富神話。全球多個金融機構、政府都警告過，比特幣背后既沒有金本位的內在價值，也沒有法幣的主權信用，更缺乏實際經濟活動的支持和正式的安全保證。本質上，虛擬幣是以共識為基礎的一種商品，雖然被擁躉奉為“數字黃金”，但在當下的市場中，其實際價值、波動性、投機性、無政府性，都使得比特幣不再是一種避險的投資工具，而是投機工具。對虛擬貨幣交易的系統性風險，我們必須保持足夠的警惕，避免成為虛擬幣市場甚至幕后操控者的犧牲品。（央視網）[2021/5/21 22:28:50]

現在試想一下，如果你是一個PoS系統的破壞者，你會怎么做呢？

可以想到有兩種攻擊手段：一種是，你掌控網絡中至少1/3的抵押總量，但是這種方式難以操作并且成本昂貴；另一種方式是，你可以試圖說服當前的抵押者們停止抵押，并且將其投放于其他更易于侵入的網絡中。

第二種方式理論上聽起來很有吸引力，但是你如何才能說服當前抵押者們停止當前的抵押呢？有一個很簡單的辦法，那就是給他們提供更具有吸引力的收益。

騰訊御見：警惕“死神礦工”挖礦木馬攻擊電腦:騰訊安全威脅情報中心檢測到ThanatosMiner（死神礦工）挖礦木馬利用BlueKeep漏洞CVE-2019-0708攻擊傳播。漏洞利用成功后執行木馬svchost.exe，然后利用該木馬下載門羅幣挖礦木馬以及攻擊模塊進行下一輪攻擊。騰訊安全專家強烈建議用戶及時修補BlueKeep漏洞，避免電腦被挖礦木馬自動掃描攻擊后完全控制。[2020/6/29]

PoS能夠正常運行的基礎是抵押者們能夠通過抵押獲得激勵，也就是說他們只有當抵押的激勵獎勵足夠豐厚時才愿意參與抵押。但是，如果他們可以在其他地方獲得更好的回報，那么你應該能夠猜到，一個經濟上理性的抵押者會放棄當前抵押而將抵押的通證放在能夠獲得更高回報的地方。如果系統中的通證源源不斷的從抵押系統中抽出，整個網絡的安全性就會大打折扣。

從字面上理解，鏈上借貸應用是鏈上抵押的直接競爭者，也就意味著它在與整個系統協議的安全性做對抗！

模擬抵押博弈

通過

基于代理人的模擬仿真這一技術是目前能夠對以太坊DeFi項目進行建模模擬的最好手段。使用基于代理人的模擬仿真方法，你可以將模擬大量的代理人采取不同的策略和風險側寫來進行獨立的博弈模擬。通過觀察系統是如何演化的，你可以得到在不同場景下的網絡表現出來的統計學信心值。

深圳南山法院提醒：警惕假區塊鏈數字貨幣傳銷:6月9日，深圳南山法院溫馨提示廣大市民，要警惕假區塊鏈陷阱及傳銷陷阱，學會保護自我，切莫被一時的利益迷了心智。 近期，南山法院對李某發等人組織、領導傳銷活動罪案進行一審公開宣判，被告人李某發、龍某清、林某明、向某良分別因犯組織、領導傳銷活動罪，被判處有期徒刑二年九個月至一年一個月不等的有期徒刑，處十萬元至三萬元不等的罰金。扣押在案的作案工具龍某清手機二部、林某明手機二部，予以沒收，上繳國庫。

據悉，該公司的主要經營模式實行會員層級制度。某付公司推廣GCB幣實行會員層級制度，會員通過上級推薦獲得會員資格，會員賬戶稱為“礦機”，下級會員通過向上級會員購買GCB幣充值，進礦機進行挖礦從而獲得GCB幣。（深圳新聞網）[2020/6/10]

來自Gauntlet的TarunChitra在他最新的論文中對此做了詳盡的討論。

他假定網絡中的抵押者都是經濟學上的理性人，在分析了鏈上借貸與PoS抵押之間的交互關系之后，得出了抵押與鏈上借貸間的競爭均衡。

聲音 | 湖北省處非辦：警惕非法集資蹭區塊鏈熱點:金色財經報道，區塊鏈技術發展受到廣泛重視時，要警惕一些不法分子蹭熱點從事非法集資活動。12月3日，湖北省打擊和處置非法集資工作領導小組辦公室發布風險提示稱，防范假借區塊鏈、虛擬貨幣等名義進行非法集資，做好風險排查，為區塊鏈技術和產業健康有序發展營造良好市場環境。很多披著區塊鏈外衣，蹭著“幣”“鏈”熱點的所謂高收益投資項目，實際上與區塊鏈技術毫無關系，純屬非法集資行為。據介紹，目前打著虛擬貨幣、區塊鏈等幌子的非法集資活動，主要有以下特點：一是網絡化、跨境化明顯，網上交易，風險波及范圍廣、擴散速度快，很多不法資金流向境外，監管和追蹤難度很大;二是欺騙性、誘惑性、隱蔽性強，不法分子利用熱點概念炒作，編造各種虛假項目，以高額回報為誘餌，并且幕后操縱所謂虛擬貨幣價格走勢;三是存在多種違法風險，不法分子通過公開宣傳，舉辦線下活動或在各論壇、微信群里宣傳，并利誘投資人發展人員加入，具有非法集資、詐騙、傳銷等違法行為特征。

我省將本著“打早打小”理念，充分利用網絡監測、大數據篩查、線下摸排等多種手段，加大對“炒幣”“炒鏈”等非法集資風險的監測預警力度，加強風險排查，一旦發現涉及非法集資苗頭及時果斷處置。此外，希望群眾發現相關線索積極向各地打非辦舉報，符合條件的將按照有關政策給予獎勵。[2019/12/4]

抵押中的ETH數量與借出中的ETH數量對比

金色晨訊 | 河北省政府常務會議：把區塊鏈納入省數字經濟“十四五”發展規劃；證券時報頭版：時刻警惕假借區塊鏈名義的違法犯罪:1.北大經濟學博士劉昌用在接受采訪時表示，應加強區塊鏈相關的經濟與法律研究和知識的普及；

2.Circle向以太坊網絡新增發1500萬枚USDC；

3.河北省政府常務會議：把區塊鏈納入省數字經濟“十四五”發展規劃；

4.?證券時報頭版：時刻警惕假借區塊鏈名義的違法犯罪；

5.證券日報刊文“發展區塊鏈技術既要積極又要穩妥”。文章稱，區塊鏈技術并非完美無瑕。全社會應對區塊鏈技術秉持客觀理性的態度；

6.今日在BitMEX用戶數據泄露后，該交易所的推特帳戶遭到了黑客攻擊；

7.以太坊正通過簡單地將區塊大小從大約每10分鐘1MB增加到大約8MB部分解決分片的許多復雜性；

8.馬耳他金融服務管理局：21家加密交易所正尋求授權在過渡期滿后繼續在當地提供服務；

9.蕪湖市跨境金融區塊鏈服務平臺首單業務成功落地；

10.兩名美國國會議員昨日在比特幣白皮書11歲生日時鼓勵基于比特幣的創新；

11.央行：網傳央行數字貨幣工作組會晤相關公司區塊鏈板塊負責人屬造謠；

12.吳忌寒：“詹克團沉默內幕：或涉侵吞公司財產”為不實新聞；

13.朱幼平：數字貨幣和區塊鏈已經成為國際競爭的新賽道；

14.最高法：積極推進區塊鏈現代科技在司法領域深度應用；

15.桐成控股更名“火幣科技控股有限公司”已正式生效；

16.BitMEX：意識到電子郵件隱私問題影響了客戶，已經確定了根本原因。[2019/11/2]

上圖是一種場景下的模擬，它模擬了ETH在Compound上的數量與以太坊網絡中抵押的ETH數量的變化關系，它是建立在類似比特幣的區塊獎勵通縮模型的假設之下的。

這張圖主要說明了：在開始時，大多數的ETH持有者們會將ETH進行投票而不是用于金融借貸。但是隨著時間流逝，抵押能夠獲得的區塊獎勵越來越低，與參與抵押借貸產生的收益比較越來越沒有吸引力，所以幾乎所有用戶都會重新重新平衡自己的投資策略，將ETH投入到Compound的抵押借貸中。

Tarun做出了幾種理論上封閉形式的預測，這些預測已經通過了仿真驗證。但是最重要的是：使用通縮模型的PoS鏈是不安全的。如果PoS鏈上的區塊獎勵數會隨著時間降低，那么長此以往，幾乎所有的資產都會用于抵押借貸，而不是鏈上投票。

我們可以更進一步：如果攻擊者們知道了這點，他們會怎么做呢？

如果攻擊者設計了一個鏈上借貸市場并且提供更豐厚的利率，這會驅使抵押投票的用戶轉向參與抵押借貸。之后，一旦鏈上的抵押投票池被抽干，攻擊者們就可以輕松進入抵押市場并且占據主導地位。

當然了，在Compound中，降低借入利率的方式僅僅需要簡單的從資產池中源源不斷的借出就可以了。之后，風險模型就會自動向上調整利率。只要攻擊者源源不斷的借出資金，借出利率就會不斷上升，就會有越來越多的投票抵押者轉向金融借貸市場，PoS網絡的安全性就會越來越差。這可能會導致雪球效應：當市場觀察者們看著網絡中的總抵押量在降低時，他們會開始做空ETH，這就更加加重了Compound市場上的借貸需求。你可以把整個抵押網絡看作是一件毛衣，攻擊者只需要拉一根毛線：利率。隨著攻擊者拉這根毛線，毛衣開始脫線，這根線越拉越長，不需要太久，攻擊者就會讓整個毛衣脫線。

當然，攻擊者需要通過Compound借入資產才能完成這一攻擊，也就意味著他必須要投入抵押物來進行借貸。但是，如果他們用USDC或錨定比特幣作為抵押，那么攻擊者在攻擊網絡時，ETH對他來說就沒有價格風險。在PoW鏈上采用這種攻擊方式則需要較大的鏈外資產的空頭頭寸。但是在PoS網絡中，攻擊者可以在對沖其所有價格風險的同時執行這類攻擊，所有風險都無需經過任何人的許可，所有的攻擊都發生在鏈上。

這是一個令人震驚的結論！乍看起來DeFi和共識機制是完全正交的兩套機制，但是事實上，鏈上金融借貸市場會對PoS共識的安全性造成很大影響。

這對PoS意味著什么呢？

首先，讓我們花點時間來思考一下：有一句廢話，圖靈完備的區塊鏈系統是十分復雜的！將智能合約加入到區塊鏈系統中看起來應該是一個在應用層的決策。但是智能合約系統催生了像Compound這種復雜的市場，它們以一種潛移默化的方式影響著整條鏈的安全性。我們在聊區塊鏈的時候經常會談到”第一層“或者”第二層“，但是這個概念是不同于傳統計算的OSI分層模型的。就現在而言，區塊鏈設計滿是漏洞百出的抽象模型。

這同時也在提醒我們：我們不能一直假裝區塊鏈是一個封閉的系統，它的激勵系統也不只是面向系統內部的。區塊鏈系統過于復雜，很難在”理想環境“下進行分析。就這方面而言，我們對PoS系統的真正的安全性知之甚少。

只要PoS網絡處于一個開放的生態系統中，任何一個鏈上借貸市場都可以通過提供更高的收益率來影響其安全性。事實上，即便是這個系統不直接支持智能合約，如果該鏈上的抵押資產能被通證化并且能夠跨鏈轉賬，另一條鏈上的通證化借貸市場依然能夠產生同樣的影響！

這到底是不是杞人憂天呢？

我們剛剛已經談過了如何進行主動攻擊，攻擊的資金成本對你來說可能太高了。但是即便是沒有人想要作惡，這一攻擊依舊可能發生！可能只是一個VC投資的項目，想要壓低自己的利率提高競爭力，卻無形之中對整條鏈的安全性造成了影響。不論如何，對系統影響的結果都是一樣的：造成了共識層的不安全。

PoS系統該如何應對呢？

籠統來看，PoS系統有兩個選項可以應對這種攻擊：要么迫使鏈上借貸市場限制其利率；要么提高鏈上抵押的收益率，為抵押者們提供更高的回報，來和鏈上借貸市場進行競爭。

第一種方案看起來太中心化了。這對非聯盟鏈的系統來說是不可能的方案，即便這么做了，借入者和借出者們依舊可以通過鏈下的形式或者側鏈的形式來設立利率。

唯一現實點的策略是，可以防御性地使用靈活的貨幣政策，在必要時提供有競爭力的抵押回報率。任何固定的通貨膨脹機制都容易受到這種攻擊，那是因為攻擊者總是確切地知道他們需要在借貸市場補貼多少利率就可以把網絡中的抵押者們吸引過來。

這種防御性手段類似于中央銀行調整利率以實現其經濟目標。PoS網絡必須將其增發率的調整用作調節實時市場壓力的工具。

從這種意義上來講，以太坊確實處在一個很好的時代，因為它沒有承諾任何固定的貨幣政策。但是從今往后，所有的PoS網絡都應該重視考慮這一權衡。對于社區治理，鏈上治理以及鏈下治理都是可行的，但是如果PoS協議的網絡想要保證長治久安，它必須要采取靈活的貨幣政策。

信息披露：Gauntlet是蜻蜓資本的投資組合公司。

感謝TarunChitra，IvanBogatyy以及JohnMorrow對這篇文章的批評指正。

英文鏈接：

https://medium.com/dragonfly-research/how-defi-cannibalizes-pos-security-84b146f00697

Tags：區塊鏈POSETHCOM工業區塊鏈SafePostBETH幣comp幣發行量

火星幣