概述
一直以来,安全始终是所有金融平台的重中之重。在无法保障资金安全的情况下,高收益都是一张张的空头支票。这一点对于去中心化借贷平台来说也是一样的。回顾过去的一年,不少的借贷平台都发生过安全事故,给用户带来了惨重的损失。
1.Venus大额清算事件
2021年5月18日,作为BSC链上最大的借贷平台,Venus清算了超过2百万的XVS(Venus平台币)。这直接导致了大量用户遭受惨重的损失和清算,坏账总额高达一亿美元。此次安全事故的发生是因为XVS的币价遭到了大户的恶意拉升,用价格虚高的XVS为抵押,借出了大量的BTC和ETH。XVS的流动性相对其他主流币而言较低,被恶意操控的风险更大。此次事故与Venus平台收录流动性较差的币种有着直接的关系,平台对于潜在风险的忽视也是这次安全事故发生的原因之一。
经典游戏“俄罗斯方块”推出Web3忠诚度计划:4月1日消息,经典移动方块益智游戏“俄罗斯方块”宣布推出Web3忠诚度计划,玩家通过参与赢得游戏积分后可以兑换现实世界奖励,比如Apple TV+订阅等,据悉此忠诚度计划由“俄罗斯方块”游戏开发商PlayStudios创建,该公司去年8月成立了区块链部门并宣布投资1000万美元进军Web3市场。[2023/4/1 13:39:09]
2.Cream闪电贷攻击
2021年10月27日,CreamFinance在推特上公开承认,他们再次遭受了闪电贷袭击,总损失金额高达1.3亿美元。这已经是该平台本年度的第三次安全事故,前两次分别发生在2021年的2月和8月,两次分别损失了近0.4亿和近0.3亿美元。CreamFinance本年度的三次安全事故均是遭受的闪电贷袭击,这是一种近两年非常常见的针对借贷平台的黑客攻击手段。
基础设施平台TeleportDAO完成250万美元种子轮融资:金色财经报道,加拿大区块链基础设施TeleportDAO宣布完成250万美元种子轮融资,AppWorks和DefinanceX领投,Quantstamp、Coinlist、Candaq Fintech Group、SNZ Holding Limited和Gate Labs参投。本轮融资将用于产品开发和扩大团队。[2023/3/17 13:08:55]
回顾以上的安全事故,我们不难得出结论,借贷平台的安全性主要取决于团队对于风险的控制以及对于潜在风险的审计和测试。
本文将会针对Solana公链上的借贷平台,进行一系列的安全性分析。
Solana公链上的主要借贷平台汇总
Merit Circle从社区激励分配中销毁2亿枚MC的提案已通过:10月26日消息,Merit Circle DAO已投票通过关于从社区激励分配中销毁2亿枚MC代币的MIP-20提案。
据此前报道,链游公会Merit Circle(MC)社区发起从社区激励分配中销毁2亿枚MC代币的提案。Merit Circle代币MC初始总供应量为10亿美元,分配给社区激励的占比为近30%。MIP-20提案认为,自从创建社区激励钱包以来,这些代币没有任何效用,也没有被花费。根据Merit Circle MIP-7提案,目前社区激励钱包每月有6125000枚代币被销毁,但钱包8中仍有近2亿个MC代币。[2022/10/26 11:44:48]
表1.Solana链上的主流借贷平台
数据:1000枚BTC从Bitfinex转移至Binance交易所:金色财经报道,据Whale Alert数据显示,1000枚BTC从Bitfinex转移至Binance交易所。[2022/8/14 12:24:46]
是否审计
审计是智能合约安全性的第一道防线,也是对平台进行安全性分析时的一个重要指标。
审计的作用就像是一个监管的第三方,让所有利益相关者可以相信平台运作过程中的透明度,以及平台是否遵循了目前行业标准的预期。随着Defi行业的不断发展和成熟,监管的标准和要求也会更加的规范化,在这个过程中,审计将继续发挥关键的作用。
表2总结了上述所有平台的审计公司。
在上述的六个平台中,JetProtocol是目前唯一一个在未经审计的主网上运行的平台。尽管他们的代码已经经过了Solana基金会所提供的外部白帽子开发团队的审查,对此还是建议用户保持谨慎。
科技专家:苹果可能正在扼杀元宇宙的发展:7月29日消息,风险投资机构Epyllion Co.的执行合伙人Matthew Ball认为,苹果可能正在扼杀元宇宙的发展。Ball著有《元宇宙及其将如何彻底改变一切》一书。Ball表示,虽然苹果似乎有能力“在更沉浸式计算的下一个时代蓬勃发展”,但它对分销的控制可能会阻碍整个行业发展。
他称,苹果不允许基于Crypto的虚拟世界,他们成功地阻止了一种特定类型的颠覆性创新和品类。通过避开复杂的虚拟世界,这家科技巨头正在对“什么是可用的,什么是不可用的”施加不适当的影响。(CoinDesk)[2022/7/29 2:45:26]
Solen,Apricot,Larix以及Soda都经过了知名知名智能合约审计公司的审计。
其中Soda的审计方Certik是Binance的正式合作或盘,并且得到了包括BinanceLabs,Lightspeed,MatrixPartners,andDHVC在内的知名投资者的支持。
Larix的审计方慢雾科技是目前在区块链行业领先的安全性审计公司,是EOS,Cosmos,Vechain等顶级区块链项目的合作伙伴。慢雾以其强大的EOS智能合约防火墙项目FireWall.X而闻名。
支持币种
纵观2021年的借贷平台安全事故,尤其是以Venus5月份的大额清算事故为例,支持流动性较低的币种的风险显而易见。此类币的价格极其容易被心怀不轨的人恶意操控,随即借空平台资产,从而导致大量的坏账。借贷平台在上新币种的时候应该意识到此类风险,进行风险管理并尽最大可能保护其用户不会成为这些恶意攻击的受害者,这也是借贷平台应负的责任。Venus的大额清算事故以惨痛的代价给我们上了这一课。
在本文所分析的六个借贷平台中,Larix,Jet和Soda仅支持了不易受到市场操控影响的主流币,大大减小了该类事故发生的风险。其余的三个平台,Solend支持了SER,MER,SLND(Solend平台币),Apricot支持了ORCA,Port支持了MER、FIDA和自己的平台币PORT。以上均是流动性相对较低的币种,其价格存在很大的被操纵空间,为这些平台的安全增加了一层不确定性。
代码开源
在评估借贷平台的安全性时,代码是否开源是另一个重要的指标。开源意味着所有的代码都是公开透明的,每个人都有访问权限。开源的代码会为平台增加安全性主要是因为以下几点。
?由于开源代码的透明性,更多双眼睛可以帮助平台一起寻找并维护代码
?开源代码意味着平台在解决安全隐患时将会更有效率,极高的公众可见性为解决漏洞增加了紧迫性
?开源代码意味着开发人员无法在代码中镶嵌恶意指令
在本文今天所分析的所有平台中,只有Larix和Solend在官网上明确表示他们的代码是开源的,其余平台的代码是否开源或部分开源尚不得而知。
预言机
借贷项目最主要的风险来自于两个方面,第一是私钥泄露,第二就是报价出错。其中报价出错除了支持资产的价格被恶意操纵外,还有很大的风险是来自于预言机的报价错误。Solend就曾因为mSOL报价错误,导致不少用户被错误清算,损失资产的情况。而Apricot官方近日也紧急下架了LP抵押功能,并承认了其LP计价方式有误,但还是导致部分用户被错误清算损失了资金。目前这几家借贷采用的主要还是Pyth的预言机方案,ChainLink还未支持Solana资产的报价。但比较合理的还是中心化和去中心化交易所,以及预言机喂价相互校验的喂价机制。
漏洞赏金计划
漏洞赏金是一个为借贷平台增加额外安全性的机制,为发现漏洞并上报给平台方的人提供丰厚的赏金,该计划鼓励社区和白帽子黑客对智能合同的安全性进行审计。Solend,Larix和Port都有明确的漏洞赏金计划。2021年11月,Solend和Larix联手向发现并上报了SPL代币借贷库漏洞的Neodyme团队提供了丰厚的赏金。
总结
在金融中,有一个理论叫做’不可能三角’理论,即高流动性,低风险和高收益是无法同时满足的。这个理论同样适用于加密领域的投资,因此,与其不停的追逐更高的收益,我们应该停下来花一点时间来思考我们资产的安全性。毕竟,如果赚了利息,但却丢了本金,那可就真是捡了芝麻丢了西瓜。切记,挖矿千万条,安全第一条。
2021年,DeFi以前所未有的速度增长,DEX交易量增加了两倍,锁定总价值翻了两番。随着以太坊交易费用飙升,交易速度更快、手续费更便宜的L1新公链崛起,,使以太坊的市场份额在一年内下降了三分之.
1900/1/1 0:00:00最近几个月,加密货币市场表现出令人难以置信的吸引力。散户投资者多年来一直期待机构投资者的到来。而现在NEWXX数字矿业即将到来,应用“0风险无损挖矿”的模式,还未上市就在市场上引起了不小的反响.
1900/1/1 0:00:00以太坊联合创始人VitalikButerin要求提供并收到了大量推特和其他地方针对他的"最疯狂和最失控的批评"的例子.
1900/1/1 0:00:00热烈祝贺阿波罗公链正式开源,官网、钱包等已出来,接下去阿波罗会着重建设生态。目前所有的阿波罗矿工正在迁移公链账户,本次账号迁移共分为四步,需准备好空白纸张和书写笔,于系统内“我的”界面开始操作:.
1900/1/1 0:00:00原文标题:《TheYearinEthereum2021》作者:JoshStark;EvanVanNess文章翻译:Blockunicorn以太坊是数字文明的基础它是坚固、安全和可靠的.
1900/1/1 0:00:002022年1月13日—机构级加密货币交易所AAX宣布与TheTie达成合作伙伴关系,为其用户提供又一种加密货币分析工具.
1900/1/1 0:00:00