概述
一直以來,安全始終是所有金融平臺的重中之重。 在無法保障資金安全的情况下,高收益都是一張張的空頭支票。 這一點對於去中心化借貸平臺來說也是一樣的。 回顧過去的一年,不少的借貸平臺都發生過安全事故,給用戶帶來了慘重的損失。
- Venus大額清算事件
2021年5月18日,作為BSC鏈上最大的借貸平臺,Venus清算了超過2百萬的XVS(Venus平臺幣)。 這直接導致了大量用戶遭受慘重的損失和清算,壞賬總額高達一億美元。 此次安全事故的發生是因為XVS的幣價遭到了大戶的惡意拉升,用價格虛高的XVS為抵押,借出了大量的BTC和ETH。 XVS的流動性相對其他主流幣而言較低,被惡意操控的風險更大。 此次事故與Venus平臺收錄流動性較差的幣種有著直接的關係,平臺對於潛在風險的忽視也是這次安全事故發生的原因之一。
- Cream閃電貸攻擊
2021年10月27日,Cream Finance在推特上公開承認,他們再次遭受了閃電貸襲擊,總損失金額高達1.3億美元。 這已經是該平臺本年度的第三次安全事故,前兩次分別發生在2021年的2月和8月,兩次分別損失了近0.4億和近0.3億美元。 Cream Finance本年度的三次安全事故均是遭受的閃電貸襲擊,這是一種近兩年非常常見的針對借貸平臺的駭客攻擊手段。
回顧以上的安全事故,我們不難得出結論,借貸平臺的安全性主要取決於團隊對於風險的控制以及對於潛在風險的稽核和測試。
本文將會針對Solana公鏈上的借貸平臺,進行一系列的安全性分析。
Solana公鏈上的主要借貸平臺匯總
錶1. Solana鏈上的主流借貸平臺
(1)是否稽核
稽核是智慧合約安全性的第一道防線,也是對平臺進行安全性分析時的一個重要名額。
稽核的作用就像是一個監管的協力廠商,讓所有利益相關者可以相信平臺運作過程中的透明度,以及平臺是否遵循了現時行業標準的預期。 隨著Defi行業的不斷發展和成熟,監管的標準和要求也會更加的規範化,在這個過程中,稽核將繼續發揮關鍵的作用。
錶2總結了上述所有平臺的稽核公司。
在上述的六個平臺中,Jet Protocol是現時唯一一個在未經審計的主網上運行的平臺。 儘管他們的程式碼已經經過了Solana基金**提供的外部白帽子開發團隊的審查,對此還是建議用戶保持謹慎。
Solend,Apricot,Larix以及Soda都經過了知名智慧合約稽核公司的稽核。
其中Soda的稽核方Certik是Binance的正式合作夥伴,並且得到了包括Binance Labs,Lightspeed,Matrix Partners,and DHVC在內的知名投資者的支持。
Larix的稽核方慢霧科技(Slowmist)是現時在區塊鏈行業領先的安全性稽核公司,是EOS,Cosmos,Vechain等頂級區塊鏈項目的合作夥伴。 慢霧以其强大的EOS智慧合約防火牆項目FireWall. X而聞名。
(2)支持幣種
縱觀2021年的借貸平臺安全事故,尤其是以Venus 5月份的大額清算事故為例,支持流動性較低的幣種的風險顯而易見。 此類幣的價格極其容易被心懷不軌的人惡意操控,隨即借空平臺資產,從而導致大量的壞賬。 借貸平臺在上新幣種的時候應該意識到此類風險,進行風險管理並盡最大可能保護其用戶不會成為這些惡意攻擊的受害者,這也是借貸平臺應負的責任。 Venus的大額清算事故以慘痛的代價給我們上了這一課。
在本文所分析的六個借貸平臺中,Larix,Jet和Soda僅支持了不易受到市場操控影響的主流幣,大大减小了該類事故發生的風險。 其餘的三個平臺,Solend支持了SER,MER,SLND(Solend平臺幣),Apricot支持了ORCA,Port支持了MER、FIDA和自己的平臺幣PORT。 以上均是流動性相對較低的幣種,其價格存在很大的被操縱空間,為這些平臺的安全新增了一層不確定性。
(3)程式碼開源
在評估借貸平臺的安全性時,程式碼是否開源是另一個重要的名額。 開源意味著所有的程式碼都是公開透明的,每個人都有存取權限。 開源的程式碼會為平臺新增安全性主要是因為以下幾點。
由於開源程式碼的透明性,更多雙眼睛可以幫助平臺一起尋找並維護程式碼
開源程式碼意味著平臺在解决安全隱患時將會更有效率,極高的公眾可見性為解决漏洞新增了緊迫性
開源程式碼意味著開發人員無法在程式碼中鑲嵌惡意指令
在本文今天所分析的所有平臺中,只有Larix和Solend在官網上明確表示他們的程式碼是開源的,其餘平臺的程式碼是否開源或部分開源尚不得而知。
(4)預言機
借貸項目最主要的風險來自於兩個方面,第一是私密金鑰洩露,第二就是報價出錯。 其中報價出錯除了支持資產的價格被惡意操縱外,還有很大的風險是來自於預言機的報價錯誤。 Solend就曾因為mSOL報價錯誤,導致不少用戶被錯誤清算,損失資產的情况。 而Apricot官方近日也緊急下架了LP抵押功能,並承認了其LP計價管道有誤,但還是導致部分用戶被錯誤清算損失了資金。 現時這幾家借貸採用的主要還是Pyth的預言機方案,ChainLink還未支持Solana資產的報價。 但比較合理的還是中心化和去中心化交易所,以及預言機喂價相互校驗的喂價機制。
(5)漏洞賞金計畫
漏洞賞金是一個為借貸平臺新增額外安全性的機制,為發現漏洞並上報給平臺方的人提供豐厚的賞金,該計畫鼓勵社區和白帽子駭客對智慧契约的安全性進行稽核。 Solend,Larix和Port都有明確的漏洞賞金計畫。 2021年11月,Solend和Larix聯手向發現並上報了SPL代幣借貸庫漏洞的Neodyme團隊提供了豐厚的賞金。
總結
在金融中,有一個理論叫做’不可能三角’理論,即高流動性,低風險和高收益是無法同時滿足的。 這個理論同樣適用於加密領域的投資,囙此,與其不停的追逐更高的收益,我們應該停下來花一點時間來思考我們資產的安全性。 畢竟,如果賺了利息,但卻丟了本金,那可就真是撿了芝麻丟了西瓜。 切記,挖礦千萬條,安全第一條。
Author:BticoinKOL,Source:https://bitcoinkol.com/archives/597