查看原文
其他

一分钟了解DeFi(系列二)| DeFi,真的是「黑客提款机」吗?

CertiK CertiK 2021-02-05





“即便是创造比特币的中本聪,他也会为DeFi的诞生而鼓掌。”

——某不知名人士





2020年,DeFi锁仓资金如同过山车一般,一月内从创历史新高至跌入谷底
DeFi 颠覆了如今的传统银行业模式

DeFi应用在逐渐深入到人们的生活里。之所以DeFi的概念如此迅速的深入人心,离不开其为社会带来的惠利

然而,任何技术的出现,必定伴随着一定的挑战。技术安全是传统金融以及所有区块链行业所面临的的风险和隐患,DeFi也难以避免。

本系列的第一篇文章【一分钟了解DeFi(系列一)| V神亲自回复特斯拉创始人,对DeFi划重点】为大家分享了DeFi的基本科普,介绍了DeFi的基本概念,及它与传统金融之间的联系和区别。那么现在我们可以来深入探讨DeFi的应用和其面临的安全风险问题。



基于以太坊区块链的DeFi企业,市值据称已经超过了百亿美金。这些企业和项目的出现向人们证实了DeFi设想的可行性。

行业专家们为这些DeFi企业进行了系统的分类:

  • 支付类
支付类的DeFi企业提供的是付款转账的金融服务。它们自主建立或直接使用区块链上的去中心化资产,允许用户通过这些资产进行自由的交易转账。
  • 贷款类
DeFi的贷款申请是另一种去中心化金融的新尝试在传统的贷款中,你需要向银行或金融机构提交申请及抵押,银行机构直接审批决定你能不能贷款和能贷到多少钱。

而在DeFi贷款中,因其去中心化的性质,解决了效率和监管问题这两大“拦路虎”,用户直接面向更广泛的自愿放款人,便捷同时节省了成本。

  • 稳定币类
稳定币可以为用户提供诸如交换媒介和价值储存等服务,也可以作为其他加密货币的价值标识。
  • 资产Token化类
这一类金融服务相对较少,因为它受到的监管要求更明确也更严格。它使用区块链的加密资产对现实世界的商品或服务进行数字化,前段时间热议的STO就是此类金融服务的代表之一。
  • DEX交易平台
当用户把资产存入中心化交易所时,实际上用户就失去了对资产的实际控制权。资产的安全性取决于交易所的信誉。往年,卷币跑路的例子不在少数。

而在DEX里,一旦抵押的资产需要移动,需要交易双方和交易所的共同许才可以做到,你的资产安全从最大限度上得到了保障。


人类对于技术总是抱着期待和恐惧的矛盾心理。当蒸汽机、火车还是手机的出现时,都曾经在人们的质疑甚至对抗中不断发展。

法语中的「Defi」意味着「挑战」

与所有伟大的技术刚刚出现时一样,DeFi面临挑战也是必然。

今年早些时候,流行病带来的全球资产暴跌为DeFi的未来发展蒙上了阴影。这场流动性危机对金融市场产生了巨大影响。

同时,DeFi的安全性问题逐渐变得更加突出。这为整个DeFi开发人员和DeFi应用程序用户敲响了警钟。

随着DeFi的发展,黑客行为也在激增:

三个DeFi项目接连遭遇黑客,资产被盗,震动了行业。光是其中一个平台,就损失了659万美元。而这并非个别现象。

2020年2月15日,bZx协议上发生了闪电贷款攻击事件。攻击者通过复杂手段赚了35万美元。

两天后,攻击再次发生,这次攻击者获利65万美元。在3月12日和3月13日,MakerDAO的清算活动导致协议损失567万美元。

DeFi是否已经成为了黑客的提款机?

然而,事情很快出现了转机。

Lendf.Me被盗事件想必大家都有所耳闻,在此次事件发生后没多久。被盗资产,几乎已全部被黑客返还。

此事暂且不提,但你是否好奇,是什么让DeFi在黑客面前变得如此脆弱,不堪一击?


  • 利用智能合约漏洞进行黑客攻击

对bZx攻击的最终调查结果表明,代码本身的漏洞是产生此次攻击的根本原因。

  • DeFi贷款的结构性缺陷

在传统的金融贷款市场中,为了资金的分配合理,仅有的几家第三方垄断机构进行竞争角逐。他们垄断了市场,因此具有很大的优势。

然而,去中心化贷款协议没有这样的优势,因此目前存在结构效率低下的问题。

要解决此问题,去中心化应用程序必须解决其面临的集中式身份验证,隐私屏障等障碍。

  • 超级管理员

大多数DeFi协议允许「超级管理员」通过强硬的手段来干扰协议的运行。

如果管理员滥用职权/管理员地址被黑/私钥被泄露,那么在大多数情况下,DeFi协议中承诺的所有资产可以轻松被窃取。

用户应仔细分析管理员权限的特定划分以及链上治理的方式,以确定DeFi协议对管理员造成的风险。

  • 潜在的市场操纵风险

bZx攻击,不仅是网络黑客攻击,而且是复杂的套利和市场操纵计划。因此,代码可以正确运行,并且不能保证系统百分百的安全。

  • 依赖风险

许多DeFi协议本身是基于其他一些现有的基本合约。要了解协议本身是否安全可靠,还需要知道协议所依赖的其他合同是否安全可靠。

  • 流动风险

为了判断流动性风险,必须注意协议资产的利用率。用户应充分了解DeFi项目的机制,并在决定所获得平台的收益是否值得承担平台上的流动性风险。

DeFi平等对待所有参与者,这是Defi的发展目标和初衷。
由于DeFi缺乏身份验证和信用系统,技术仍处于早期阶段以及其他因素,其生态目前仍然面临一定的风险。
最近几个月经历的动荡,包括MakerDAO的清算,bZx和Curve攻击。在这些攻击之下,DeFi的安全缺陷已被突出显示,这使我们不得不认真讨论DeFi应用程序面临的安全问题。
下一期一分钟了解DeFi(系列三)将会与大家探讨DeFi的安全隐患解决办法以及DeFi的未来。

了解更多

General Information: info@certik.org

Audit & Partnerships: bd@certik.org

Website: certik.org

Twitter: @certik.org

Telegram: t.me/certik.org

Medium:medium.com/certik

币乎:bihu.com/people/1093109


往期回顾


请点击“阅读原文”访问CertiK基金会官方网站

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存