
代码漏洞、黑客、市场波动、套利者:DeFi 风险管理的范式
作者:NEST爱好者_九章天问
DeFi是指用智能合约实现的去中心化金融协议,包括资产交易、借贷、保险、各种衍生品等等;除信用服务外,现实中的金融服务都可以通过DeFi协议实现。这些协议都是去中心化、自动运转的,没有第三方机构在管理和维护,所以合约的风险控制便成为行业难题。
DeFi兼具了金融和科技双重属性,主要包含以下风险:
1. 代码风险。包括以太坊底层代码风险,智能合约代码风险,钱包代码风险等。比如当年著名的DAO事件,近期的Uniswap漏洞攻击问题,各类钱包被盗事件,都是代码风险造成的。
2. 业务风险。主要是业务设计过程中留有漏洞,被人合理攻击或操纵。比如当年FOMO3D被堵塞攻击,又比如dZx错误使用了不抗攻击的Uniswap预言机,被合理打压价格盗取资产,这类人称之为套利者。套利者对一个DeFi项目既有不利的一面,也有有利的一面。
3. 市场波动风险。DeFi在设计时缺少一些应对变量,导致市场极端情况发生出现穿仓。比如MakerDao在312的表现,主要就是市场极端波动风险造成的。
4. 预言机风险。预言机提供全局变量,是大部分DeFi的基础,如果预言机遭遇攻击或者出现停摆,则下游DeFi会陷入崩溃。我们认为预言机将成为未来DeFi最重要的基础设施,带有任何中心化风险的预言机,最终都会走向消亡。
5. “技术代理”风险。主要是指对智能合约和区块链不熟悉的普通用户,使用了中心化团队开发的“便利”交互工具,这一工具本身可能存在风险。
任何DeFi项目在设计时,都应将以上风险考虑进去。完整的流程不仅仅是文档内做好提示,还需要一些风险管理手段。这些手段大部分以去中心化的方式进行,少量以社区治理的方式完成(主要是指链上治理)。这里我们提出一个DeFi风险管理框架,主要分为事前、事中和事后:
事前:主要是对合约代码进行形式化验证,包含弄清楚合约使用的方法、资源甚至是指令的边界,以及这些方法、指令、资源在组合过程中的相关性影响,没有经过论证的方法或没有找到边界的组合坚决使用。这不是传统软件开发测试的思维,这是一个接近数学论证的理念。好的合约开发应该建立在已经论证过的方法组合上。
事中:事中主要是停机设计和异常触发设计,即合约对攻击行为能进行识别与干预,包含自动停机设计和治理停机设计。而异常触发是对合约运行过程中,超预期现象的一种控制管理;异常触发一般是自动的,通过异常触发修正一些风险管理变量。可以参见NEST预言机系统中的beta系数和防堵塞攻击设置,这是行业内率先考虑停机及异常触发的一个实践。
事后:事后风险管理包含几个部分,首先是代码出现漏洞,需要进行修正,一般通过链上治理,即DAO治理的方式。其次是治理资产本身遭遇攻击,此时需要进行合约分叉!这是一个行业忽视的盲点。其次是通过保险机制,对合约可能的风险进行保险,从而降低损失。最后,社区可以通过链上数据的追踪,与各类机构合作追踪损失。关于链上治理和合约分叉,可以参见NEST的设计,这是一个创新。
以上是我们对DeFi安全的一个系统框架,仅供大家参考。目前行业内对安全的理解,过于早期,也过于传统;如果不能转变思维,将边界、完备性、一致性、形式化验证、停机、异常触发、治理、分叉等新的思想引入,是不能适应未来发展的。
来源:韩拾贰
比推快讯
更多 >>- 数据:德林控股港股涨超 65%,此前公司拟代币化最高 5 亿元资产
- Sharplink Gaming 增持 5072 枚 ETH,总持仓超 21 万枚 ETH
- 数据:普量能量涨超 240%,认购 HashKey A 轮股份最高持股达 5%
- YZi Labs 将支持投资机构 10X Capital 成立赴美上市 BNB 财务公司
- 纽约男子因涉嫌操纵 700 万美元加密货币投资计划被判处四年监禁
- Nansen CEO:已在天使轮投资了 58 个项目,8 个大胜,19 个归零
- 巨鲸合约交易员 AguilaTrades 加仓其 20 倍做多 BTC 合约,仓位价值超 3 亿美元
- 数据:萨尔瓦多比特币持仓盈利近 4 亿美元
- Abraxas Capital 过去 12 小时从 CEX 提币 29,741 枚 ETH
- 美 SEC 委员:代币化证券本质上还是证券,发行方必须遵守证券法规定的信息披露义务
- 内幕交易员@qwatio 账户仅剩余 6.7 万美元,损失超 1620 万美元
- 某巨鲸/机构再次通过 Wintermute 和 Coinbase 卖出 3 万枚 ETH
- 希腊首次查获与朝鲜 15 亿美元 Bybit 黑客案相关加密资产
- 某鲸鱼地址花费 2750 万 U 买入 ETH 和 AAVE
- 美众议院筹款委员会将于 7 月 16 日的听证会上探讨数字资产税收政策
- Thumzup 扩展加密财务战略,小特朗普入股
- 数据:“三战 ETH 100% 胜率鲸鱼”平仓 5 万枚 ETH 空单,亏损 71 万美元
- 日本 Minna no Bank 计划在 Solana 上开展稳定币应用探索
- 巴西总统称将对等回应美关税
- 昨日 REX-Osprey SOL 现货 ETF 净流入 3350 万美元
- 加密恐慌指数升至 71,市场贪婪情绪升温
- 美国证交会官员:代币化证券必须遵守规则
- 金融科技公司 Revolut 正在洽谈以 650 亿美元估值融资 10 亿美元
- 当前主流 CEX、DEX 资金费率显示市场并未全面看多
- 美联储会议纪要:与会者对通胀前景看法不一,仅少数人愿考虑 7 月降息
- 特朗普宣布对巴西征收50%的关税
- 美股收盘:纳指涨近1%,Coinbase(COIN.O)涨超5%
- 比特币刷新历史新高
- ARK Invest报告:BTC长期持有者的持仓量创历史新高
- BTC突破110000 USDT,24H涨幅0.92%
- 美 SEC 确认 Bitwise 现货比特币和以太坊 ETF 关于实物赎回的修正案
- 孙宇晨:我们承诺购买 1 亿美元的 TRUMP,TRUMP 和 TRON 将是加密货币的未来
- FLOKI 上线美国知名零售加密交易平台 Webull Pay
- ETH突破2700 USDT,24H涨幅3.2%
- 分析:会议纪要显示美联储内部分裂为三大阵营
- 美联储会议纪要:经济的风险和不确定性普遍存在,是影响决策的重要因素
- 美联储会议纪要:大多数官员认为关税可能导致持续的通胀风险
- 美联储会议纪要:所有与会者都认为将联邦基金利率维持在当前目标区间是适当的
- 消息人士:OpenAI 计划推出 AI 网页浏览器
- 特朗普:有机会在本周或下周达成加沙停火协议
- 特朗普长子投资持有加密货币储备的社交媒体公司 Thumzup
- 特朗普:关税公式基于常识制定,将发布更多关税通知函
- Circle 与 Bybit 达成 USDC 收益分成协议
- 微软:35%的新产品代码由 AI 编写,已通过 AI 技术节省 5 亿美元
- 数据:疑似 ConsenSys 于 45 分钟前向 SharpLink 转入 5071 枚 ETH,约 1347 万美元
- London BTC Company Limited 正筹集 100 万至 500 万英镑,部分将用于增持比特币
- 投银 Piper Sandler:特朗普关于美联储需要降息的观点是正确的
- OpenAI 开放语言模型即将问世
- Cyvers Alerts:ZKSpace 疑遭攻击,约 400 万美元被转出
- pump.fun创始人:PUMP代币将赋能创作者掌控财务,会探索潜在收购交易
比推专栏
更多 >>观点
比推热门文章
- 数据:德林控股港股涨超 65%,此前公司拟代币化最高 5 亿元资产
- Sharplink Gaming 增持 5072 枚 ETH,总持仓超 21 万枚 ETH
- 数据:普量能量涨超 240%,认购 HashKey A 轮股份最高持股达 5%
- YZi Labs 将支持投资机构 10X Capital 成立赴美上市 BNB 财务公司
- 纽约男子因涉嫌操纵 700 万美元加密货币投资计划被判处四年监禁
- Nansen CEO:已在天使轮投资了 58 个项目,8 个大胜,19 个归零
- 巨鲸合约交易员 AguilaTrades 加仓其 20 倍做多 BTC 合约,仓位价值超 3 亿美元
- 数据:萨尔瓦多比特币持仓盈利近 4 亿美元
- Abraxas Capital 过去 12 小时从 CEX 提币 29,741 枚 ETH
- 美 SEC 委员:代币化证券本质上还是证券,发行方必须遵守证券法规定的信息披露义务