Ebe Cainse Leaf New:对金融存在协议和资产担保的分散化进行测试。
最后更新:2021-10-29 08:35:37 手机定位技术交流文章
金融与经济链在10月20日晚上发布了“展望新未来”——全世界观察线上的第四期沙龙,题目是“什么是下放金融权力?一般趋势是什么?”
沙龙活动的特点是,在Ebe新首席执行官离任之后,系统地分享安全关切和下放金融权的问题,以及两名重量级客人,即清华大学行政学院数字金融资产研究中心主任Ding Fei Peng和北京法律办公室主任Ding Fei Peng的参与,他们从两个独立的财政和法律角度阐述了各自的观点。
本条将分享和调查与分权金融(DeFi)有关的安全问题:
电子连锁公司CEO YE新主题:金融权力下放方面的安全威胁和问题
DeFi,即分散融资,是一种将我们一些日常金融服务,如交易、贷款等纳入公共链的金融,通过智能合同等程序方法自动实施。 用户可以自己拥有数字资产,与DeFi协议互动,并参与相关的金融活动。
IMakerDAO是第一个DeFi协议,已经存在了三年多。 超过十几个DeFi协议在不到十几个初级连锁系统上运作,总锁定资产以惊人的速度超过了1600亿美元,与传统的金融银行系统相比是惊人的。
然而,银行权力下放是一个发展迅速的早期部门,但由于其开放的来源和接近资金,银行自然成为黑客的目标,成为许多行业安全事件旋涡的中心。
总的来说,我认为,分散财务的增长受到两个基本安全因素的阻碍:分散财务协议的安全以及用户资产管理的安全。
一、《经济、社会、文化权利
根据分析机构CifferTrace最近的八月报告,截至2021年8月,DeFi协议的完全关闭再次达到1 00亿美元。 与DeFi有关的黑客袭击数量现已达到所有数字资产领域主要黑客袭击的76%。 DeFi黑客袭击与2020年相比增加了约2次。 损失总额达到3次。
简言之,在智能合同下执行的不同分散协议的安全性,无论是通过项目开发商因剥削漏洞而黑入,还是通过剥削者的主观行为,如一些欺诈者利用DeFi的热度进行欺诈,都可能导致平台资产被抹去,玩家失血。
一般来说,对DeFi协议的攻击主要是多种原因造成的:
1) 叉子在各项目中更为常见,危险与代码“标本”有关。
由于福克现象在大多数DeFi项目中司空见惯,其他相关项目也可能在黑客入侵项目时受到附带威胁。 此外,金融市场本身有相对复杂的商业逻辑,同样的代码可能会在不同的商业情景中引发新的风险;开放源码特征似乎允许人们在以前的人种植树木后冷静下来,事实上是一种双刃剑,如果新项目在黑客袭击面前不深刻了解原始代码,则很容易成为祸害。 例如,最近的项目就是在uniswap v2的基础上修改收费,结果就是从每笔交易中移除所有流动资金。
2) DeFi项目间组合带来了大量与“包装缺口”有关的未知危险。
DeFi 行业的快速增长是由于项目的多样性、市场和用户的共享而得以实现的。只要一个新项目是技术开发的,它甚至不需要太多的操作和复制,而一个成熟经营的项目组合可以捕捉市场的一大部分。 这是DeFi行业的最大特征,不同于传统融资,也是DeFi行业持续发生安全事件的主要原因。 简而言之,由于DeFi项目之间的串通性属性,在使用组合时,一些单独使用无问题的代码特征可以作为一个空白符来攻击。 我很抱歉, Lendf.I'm一个典型案例,Lendf.Me和IMBTC合并了业务。 仅看IMBTC使用的ER 77标准本身并没有什么问题,但在Lendf。 在我的项目的这一侧面,黑客们使用Tonsend界面来呼吁重新进入攻击。
(3) 与该方案的喂养方法有关的危害
由于一项智能合同的触发或执行,外部情况,如MakerDAO、化合物和各种DEFi贷款等,可以用来评估用户的贷款是否要参照资产要约来清偿。 类似这样的资产要约是来自另一个世界的“来源”。 当这种“来源”不可靠或由黑客控制时,就会发动攻击,例如经常的电光攻击,其中多数与电光攻击有关。
闪贷款主要是为了在交易中借款和偿还,目的是促进用户更有效地利用链链。 然而,黑客利用链中某些交易池交易的深度,在很短的时间内,黑客在特定资产的价值上产生巨大的反常波动,交易的后续进程利用这一改变的数据作为进料价格,完成
除此以外,还存在若干潜在的安全威胁,例如故意在代码中留下后门,项目方泄露私人钥匙,并涉及对链下服务器的攻击。 然而,目前,DeFi项目的总体安全意识有所提高,在项目上线之前进行了安全审计,一些由DeFi控制风力的预警相关熔炼服务在减少DeFi协议的安全风险方面大有裨益。 用户的参与、协议是否须经过市场时间测试(以及一次是多次袭击),以及是否由专业安保公司审计,都是重要的考虑因素。
二. 用户资产管理安全
用户必须能够安全地管理其从储存到核准使用的数字资产,以便参与分权融资。
我们知道,在连锁数字世界中,私人钥匙反映了当事人的数字身份所有权。 当数字资产仅仅用于价值存储时,私人钥匙代表了某种数字身份转移价值的权利,即转让。 当私人钥匙所代表的数字身份拥有更多权利,例如授权、抵押等业务时,分散化融资的发展从数字资产价值的存储扩大到交易、借贷甚至保险。
因此,用户应了解以下几点:
1) 私人钥匙存储不应披露,例如:不将私人钥匙信息储存在邮箱、谷歌文档等,或通过通信软件发送,将信息泄漏到渔场等。 如果有,使用带安全芯片的硬件钱包维持私人钥匙是一种更安全的办法。
3) 存在相当大的危险,即某些项目伙伴在主观目标方面,如改进用户经验、避免用户重复或恶意目的,可能获得用户无限的许可,即使用户正在参加这种协议,风险也尽可能避免,相关地址的资产也会减少。
(4) 最后,要强调的是,在整个DeFi协议的互动过程中,用户特别关注“中期攻击”的发生。 中间攻击(麻省理工学院,中度攻击中的人)是一种网络攻击,黑客在通信的两侧安插自己,试图拦截和篡改重要信息。
在DeFi的相互作用中,我们希望更加关注一些重要的交易信息是否“发生了错误 ” 。 在Uniswap V3协议中,真正的UNI合同地址、合同交易的价值、合同交易的价值,如果Swap目标地址被篡改,用户需要特别关注和匹配,以免与其他carfuli的相互作用成对,我们希望更加关注一些重要的交易信息是否“发生了错误 ” 。 在Uniswap V3协议中,真正的UNI合同地址、合同交易的价值,以及如果Swap目标地址被篡改,用户需要特别关注和匹配,以免与其他人结婚。
从开放持续的内容平台“赢家”来看,本文仅提供了作者的观点,不是在链条上官方立场的“赢家”一文。 作者保证材料的原创性和有效性,以及复制、伪造等的法律影响,是作者的责任。
本文由 在线网速测试 整理编辑,转载请注明出处。
