代码漏洞、黑客、市场波动、套利者：DeFi风险管理的范式

作者：NEST爱好者_九章天问DeFi是指用智能合约实现的去中心化金融协议，包括资产交易、借贷、保险、各种衍生品等等；除信用服务外，现实中的金融服务都可以通过DeFi协议实现。这些协议都是去中心化、自动运转的，没有第三方机构在管理和维护，所以合约的风险控制便成为行业难题。DeFi兼具了金融和科技双重属性，主要包含以下风险：1.代码风险。包括以太坊底层代码风险，智能合约代码风险，钱包代码风险等。比如当年著名的DAO事件，近期的Uniswap漏洞攻击问题，各类钱包被盗事件，都是代码风险造成的。2.业务风险。主要是业务设计过程中留有漏洞，被人合理攻击或操纵。比如当年FOMO3D被堵塞攻击，又比如dZx错误使用了不抗攻击的Uniswap预言机，被合理打压价格盗取资产，这类人称之为套利者。套利者对一个DeFi项目既有不利的一面，也有有利的一面。3.市场波动风险。DeFi在设计时缺少一些应对变量，导致市场极端情况发生出现穿仓。比如MakerDao在312的表现，主要就是市场极端波动风险造成的。4.预言机风险。预言机提供全局变量，是大部分DeFi的基础，如果预言机遭遇攻击或者出现停摆，则下游DeFi会陷入崩溃。我们认为预言机将成为未来DeFi最重要的基础设施，带有任何中心化风险的预言机，最终都会走向消亡。5.“技术代理”风险。主要是指对智能合约和区块链不熟悉的普通用户，使用了中心化团队开发的“便利”交互工具，这一工具本身可能存在风险。

BM：B1将于接下来几周推出质押池代码以征询社区反馈:3月18日，有推特网友发推称，由于BM回归EOS治理，因此对EOS又有信心，并询问BM关于EOS的DeFi计划及质押池（staking pool）时间表。BM对此回应称，B1应该在接下来的几周内提出代码和系统，以征询社区反馈。我知道很快了。

此前3月13日消息，EOS创始人BM提出EOS社区治理提案草案。该草稿概述了审查和任命个人以控制EOS代币分配的过程。[2021/3/18 18:55:41]

莱特币MimbleWimble隐私协议代码将进行测试:由莱特币基金会资助的Grin开发者DavidBurkett发推称，莱特币MimbleWimble协议初始代码将完成，预计将在3月15日完成审核。注：莱特币基金会于2019年10月发布莱特币改进提案草案LIP-0002和LIP-0003，旨在为莱特币网络整合MimbleWimble协议，以建立隐私功能，该提案的作者包括莱特币创始人李启威、AndrewYang、DavidBurkett。该提案计划通过扩展区块（EB）将MimbleWimble协议实施为一种可选的莱特币新交易格式，并将扩展模块与主链同时运行。[2021/2/2 18:43:47]

任何DeFi项目在设计时，都应将以上风险考虑进去。完整的流程不仅仅是文档内做好提示，还需要一些风险管理手段。这些手段大部分以去中心化的方式进行，少量以社区治理的方式完成。这里我们提出一个DeFi风险管理框架，主要分为事前、事中和事后：事前：主要是对合约代码进行形式化验证，包含弄清楚合约使用的方法、资源甚至是指令的边界，以及这些方法、指令、资源在组合过程中的相关性影响，没有经过论证的方法或没有找到边界的组合坚决使用。这不是传统软件开发测试的思维，这是一个接近数学论证的理念。好的合约开发应该建立在已经论证过的方法组合上。事中：事中主要是停机设计和异常触发设计，即合约对攻击行为能进行识别与干预，包含自动停机设计和治理停机设计。而异常触发是对合约运行过程中，超预期现象的一种控制管理；异常触发一般是自动的，通过异常触发修正一些风险管理变量。可以参见NEST预言机系统中的beta系数和防堵塞攻击设置，这是行业内率先考虑停机及异常触发的一个实践。事后：事后风险管理包含几个部分，首先是代码出现漏洞，需要进行修正，一般通过链上治理，即DAO治理的方式。其次是治理资产本身遭遇攻击，此时需要进行合约分叉！这是一个行业忽视的盲点。其次是通过保险机制，对合约可能的风险进行保险，从而降低损失。最后，社区可以通过链上数据的追踪，与各类机构合作追踪损失。关于链上治理和合约分叉，可以参见NEST的设计，这是一个创新。

声明：EOS 还是 EOS，代码中修改为SYS仅为方便开发者:据金色财经合作媒体IMEOS 报道，关于 EOS 令牌名称更改的消息，引用自佳能社区 Bean 的解释如下：

“令牌名称从 EOS 变为SYS，只是在程序上把写定的代码改成容易修改的配置参数，希望别人用EOS源码的时候，可以不用 EOS，所以改成SYS。原意就是把写死的代码 ，改成容易修改的配置文件 ，希望别人用EOS源码的时候，可以不用EOS，所以改成SYS。如果不改，那些拿来叫用的，代币全是 EOS。EOS主链上线，肯定还会改成EOS。代码不是拿来直接用的，至少要手动改一个配置。\"

也就是说 eosio system 系统里面的代码默认符号，改成了 sys 改成可以任意配置的了，原先是写定。EOSIO Dawn 4.1 发布更新，将系统中所用的代币名称从人们所熟知的“EOS”，更改为“SYS”。

这一变动并非心血来潮，根据IMEOS独家报道，开发过程中，block.one开发团队成员 gleehokie 曾提议，未来使用EOSIO 软件所创建的各个区块链，可能有需要变更代币名称，为了方便改动，需要将系统代币名称的配置放在单独的文件中。这一建议得到了采纳。因此，现在上线的版本中，如果想将名称更改为其他名称，可以在“CMakeLists.txt”文件中查看CORE_SYMBOL_NAME，并作出改动即可。[2018/5/19]

漫画网站被植入挖矿代码:近期大量动漫迷反映，在“快看漫画网”上浏览网页过程中，电脑会出现卡慢甚至异常发热的情况。根据360安全卫士报警提示，这是网站植入了挖矿代码，利用访问者电脑的CPU资源挖门罗币导致的。该网站也是目前最活跃的挖矿站点，360对其挖矿网页的拦截量达到日均百万次以上。[2018/2/23]

以上是我们对DeFi安全的一个系统框架，仅供大家参考。目前行业内对安全的理解，过于早期，也过于传统；如果不能转变思维，将边界、完备性、一致性、形式化验证、停机、异常触发、治理、分叉等新的思想引入，是不能适应未来发展的。

标签：EOSEFIDEFIDEFNEOS价格MarhabaDeFiDefi GoldPieDAO DEFI Small Cap

火星币热门资讯