POS:警惕！备受推崇的 DeFi 正在威胁以太坊安全

作者：HaseebQureshi

翻译：罗远航

来源：区块链前哨

导语：?区块链上的借贷市场已经成为了最流行的去中心化金融应用场景，链上借贷甚至有潜力取代传统的借贷方式。但是事实上，链上的金融借贷服务正对PoS网络中的共识机制产生影响，带来了链上的共识机制安全性的降低。

现如今，区块链上的借贷市场已经成为了最流行的去中心化金融应用场景，

通过MakerDAO、Compound以及dYdX产生的借贷总额已经超过了6亿美金。链上借贷甚至有潜力取代传统的借贷方式。但是事实看起来要更复杂：它同时还对权益证明共识机制产生着威胁。

权益证明是工作量证明的一种替代共识算法，工作量证明是通过哈希算力来保障区块链的正常运行，而权益证明是通过链上抵押的数字资产的数量来保障区块链的共识。去年一年中启动的绝大多数区块链项目都是采用的PoS共识算法，在接下来一年里还会有更多使用PoS机制的区块链项目。

PoS系统的安全是由网络中抵押的数字货币的数量保障的。在大多数的PoS算法中，只要抵押数量中的2/3是由诚实的参与者拥有的，该区块链系统就可以被认作是安全的。

DigiDaigaku超级碗活动期间出现钓鱼链接，用户需警惕资产被盗:2月13日消息，推特用户Tedtheeast表示，DigiDaigaku上了超级碗，吸引了一批流量到NFT圈，同时也导致很多人被钓鱼链接盗NFT。如果被盗可以采取下列措施：

1. 首先确保是因为签名（signature）而不是授权（approval）导致的被盗，区别在于是否支付Gas费。可以在区块链浏览器检查。也可以在http://revoke.cash上取消任何看起来可疑的授权，同时http://revoke.cash也有针对浏览器的钱包插件，可以提示恶意网站。

2. 确保助记词没有泄露，如果是助记词泄露，那除了换钱包没有任何其他办法。

3. 因签名导致的NFT和ETH被盗，是一次性的。毕竟对于很多人来说，钱包不是随便说换就换的，通常除了NFT以外还有其他的DeF代币在stake或者还没unlock，还有其他链上的资产。

4. 对于已经被盗的资产，it is what it is，最重要的还是提高自身的安全意识，点任何链接/授权/签名之前，一定要仔细查看。

慢雾科技创始人余弦评论称，“听说DigiDaigaku超级碗活动这两天很火，好些人因为其中夹带的钓鱼信息给盗走了不少资产。一定要冷静，尤其是热闹的活动。简单分析了下，这波和之前怀疑‘朝鲜黑客’的那波没直接关系。但签名钓鱼手法上，各组织越来越卷，该有的手法都逐步会有，总有一款适合你……”

据此前报道，NFT项目DigiDaigaku母公司Limit Break称，将铸造限量Dragons NFT，并斥资650万美元在2月12日超级碗LVII上播放30秒的互动广告，届时将向限量观众发放免费的NFT。[2023/2/13 12:03:53]

现在试想一下，如果你是一个PoS系统的破坏者，你会怎么做呢？

区块链DeFi实验室安全提醒：警惕HSC链上假冒ETS项目方的信息:在2021年5月1日虎符智能链HSC主网上线后，区块链DeFi实验室检测发现，有人假冒ETS项目方在HSC相关社群发布广告，宣称与Pudding官方合作，诱导大家购买代币。据了解，Pudding官方已经辟谣，此事为子虚乌有。并提醒广大用户，避免上当受。[2021/5/5 21:26:38]

可以想到有两种攻击手段：一种是，你掌控网络中至少1/3的抵押总量，但是这种方式难以操作并且成本昂贵；另一种方式是，你可以试图说服当前的抵押者们停止抵押，并且将其投放于其他更易于侵入的网络中。

第二种方式理论上听起来很有吸引力，但是你如何才能说服当前抵押者们停止当前的抵押呢？有一个很简单的办法，那就是给他们提供更具有吸引力的收益。

PoS能够正常运行的基础是抵押者们能够通过抵押获得激励，也就是说他们只有当抵押的激励奖励足够丰厚时才愿意参与抵押。但是，如果他们可以在其他地方获得更好的回报，那么你应该能够猜到，一个经济上理性的抵押者会放弃当前抵押而将抵押的通证放在能够获得更高回报的地方。如果系统中的通证源源不断的从抵押系统中抽出，整个网络的安全性就会大打折扣。

Synthetix：警惕声称可提供OTC交易服务的冒牌核心贡献者:合成资产平台Synthetix发推称：“最近有一些子冒充Synthetix的核心贡献者，假装可提供场外（OTC）交易服务——这些都不是真的，Synthetix的贡献者永远不会为你提供交易。电报群上也不会有Synthetix空投活动。”[2020/7/18]

从字面上理解，链上借贷应用是链上抵押的直接竞争者，也就意味着它在与整个系统协议的安全性做对抗！

模拟抵押博弈

通过

基于代理人的模拟仿真这一技术是目前能够对以太坊DeFi项目进行建模模拟的最好手段。使用基于代理人的模拟仿真方法，你可以将模拟大量的代理人采取不同的策略和风险侧写来进行独立的博弈模拟。通过观察系统是如何演化的，你可以得到在不同场景下的网络表现出来的统计学信心值。

来自Gauntlet的TarunChitra在他最新的论文中对此做了详尽的讨论。

他假定网络中的抵押者都是经济学上的理性人，在分析了链上借贷与PoS抵押之间的交互关系之后，得出了抵押与链上借贷间的竞争均衡。

声音 | 浙大陈建海：警惕区块链被用来“乱讲故事”:浙江大学智能计算&系统实验室区块链负责人陈建海博士最近指出，区块链作为新生事物确实容易让别有用心的人乱讲故事，所以政府、企业应加强学习。如果能够用好区块链技术，就能在信息披露等方面更好实现监管。有了区块链，互联网传过来信息是受保护的、可溯源的、可信的。纵观一、二、三产业，从互联网到互联网+，第三产业得到快速发展，第一、二产业相对滞后，目前迫切需要第一、二、三产业的互联互通。[2019/11/11]

抵押中的ETH数量与借出中的ETH数量对比

上图是一种场景下的模拟，它模拟了ETH在Compound上的数量与以太坊网络中抵押的ETH数量的变化关系，它是建立在类似比特币的区块奖励通缩模型的假设之下的。

分析 | BCH警惕下降通道上轨压力:分析师K神表示，BCH消息刺激，放量突破19年6月顶点至近期的中期下降趋势线，一度涨至接近300美元附近再小幅回落到290美元上方，形态上前面9月25日大跌触及下边线支撑后，接下来到10月25日一个多月的时间，日线走出一个双底结构，10月25日跟随BTC强势反弹，直接突破上方240美元颈线位压制，近几天迎来了快速拉升，一直冲至通道上边阻力线附近，若再次强势突破并维持放量，将持续拉大反弹空间，均线上当前价格已站上90日均线，中短期均线多头排列，整体后续有进一步走强的趋势，持续拉升短线指标超买，价格已涨至前期筹码密集成交平台，一次性突破的可能性不大，预计近期将处于90日均线附近震荡整理，蓄势后再尝试上攻，支撑278美元，压力位300美元。[2019/10/29]

这张图主要说明了：在开始时，大多数的ETH持有者们会将ETH进行投票而不是用于金融借贷。但是随着时间流逝，抵押能够获得的区块奖励越来越低，与参与抵押借贷产生的收益比较越来越没有吸引力，所以几乎所有用户都会重新重新平衡自己的投资策略，将ETH投入到Compound的抵押借贷中。

Tarun做出了几种理论上封闭形式的预测，这些预测已经通过了仿真验证。但是最重要的是：使用通缩模型的PoS链是不安全的。如果PoS链上的区块奖励数会随着时间降低，那么长此以往，几乎所有的资产都会用于抵押借贷，而不是链上投票。

我们可以更进一步：如果攻击者们知道了这点，他们会怎么做呢？

如果攻击者设计了一个链上借贷市场并且提供更丰厚的利率，这会驱使抵押投票的用户转向参与抵押借贷。之后，一旦链上的抵押投票池被抽干，攻击者们就可以轻松进入抵押市场并且占据主导地位。

当然了，在Compound中，降低借入利率的方式仅仅需要简单的从资产池中源源不断的借出就可以了。之后，风险模型就会自动向上调整利率。只要攻击者源源不断的借出资金，借出利率就会不断上升，就会有越来越多的投票抵押者转向金融借贷市场，PoS网络的安全性就会越来越差。这可能会导致雪球效应：当市场观察者们看着网络中的总抵押量在降低时，他们会开始做空ETH，这就更加加重了Compound市场上的借贷需求。你可以把整个抵押网络看作是一件毛衣，攻击者只需要拉一根毛线：利率。随着攻击者拉这根毛线，毛衣开始脱线，这根线越拉越长，不需要太久，攻击者就会让整个毛衣脱线。

当然，攻击者需要通过Compound借入资产才能完成这一攻击，也就意味着他必须要投入抵押物来进行借贷。但是，如果他们用USDC或锚定比特币作为抵押，那么攻击者在攻击网络时，ETH对他来说就没有价格风险。在PoW链上采用这种攻击方式则需要较大的链外资产的空头头寸。但是在PoS网络中，攻击者可以在对冲其所有价格风险的同时执行这类攻击，所有风险都无需经过任何人的许可，所有的攻击都发生在链上。

这是一个令人震惊的结论！乍看起来DeFi和共识机制是完全正交的两套机制，但是事实上，链上金融借贷市场会对PoS共识的安全性造成很大影响。

这对PoS意味着什么呢？

首先，让我们花点时间来思考一下：有一句废话，图灵完备的区块链系统是十分复杂的！将智能合约加入到区块链系统中看起来应该是一个在应用层的决策。但是智能合约系统催生了像Compound这种复杂的市场，它们以一种潜移默化的方式影响着整条链的安全性。我们在聊区块链的时候经常会谈到”第一层“或者”第二层“，但是这个概念是不同于传统计算的OSI分层模型的。就现在而言，区块链设计满是漏洞百出的抽象模型。

这同时也在提醒我们：我们不能一直假装区块链是一个封闭的系统，它的激励系统也不只是面向系统内部的。区块链系统过于复杂，很难在”理想环境“下进行分析。就这方面而言，我们对PoS系统的真正的安全性知之甚少。

只要PoS网络处于一个开放的生态系统中，任何一个链上借贷市场都可以通过提供更高的收益率来影响其安全性。事实上，即便是这个系统不直接支持智能合约，如果该链上的抵押资产能被通证化并且能够跨链转账，另一条链上的通证化借贷市场依然能够产生同样的影响！

这到底是不是杞人忧天呢？

我们刚刚已经谈过了如何进行主动攻击，攻击的资金成本对你来说可能太高了。但是即便是没有人想要作恶，这一攻击依旧可能发生！可能只是一个VC投资的项目，想要压低自己的利率提高竞争力，却无形之中对整条链的安全性造成了影响。不论如何，对系统影响的结果都是一样的：造成了共识层的不安全。

PoS系统该如何应对呢？

笼统来看，PoS系统有两个选项可以应对这种攻击：要么迫使链上借贷市场限制其利率；要么提高链上抵押的收益率，为抵押者们提供更高的回报，来和链上借贷市场进行竞争。

第一种方案看起来太中心化了。这对非联盟链的系统来说是不可能的方案，即便这么做了，借入者和借出者们依旧可以通过链下的形式或者侧链的形式来设立利率。

唯一现实点的策略是，可以防御性地使用灵活的货币政策，在必要时提供有竞争力的抵押回报率。任何固定的通货膨胀机制都容易受到这种攻击，那是因为攻击者总是确切地知道他们需要在借贷市场补贴多少利率就可以把网络中的抵押者们吸引过来。

这种防御性手段类似于中央银行调整利率以实现其经济目标。PoS网络必须将其增发率的调整用作调节实时市场压力的工具。

从这种意义上来讲，以太坊确实处在一个很好的时代，因为它没有承诺任何固定的货币政策。但是从今往后，所有的PoS网络都应该重视考虑这一权衡。对于社区治理，链上治理以及链下治理都是可行的，但是如果PoS协议的网络想要保证长治久安，它必须要采取灵活的货币政策。

信息披露：Gauntlet是蜻蜓资本的投资组合公司。

感谢TarunChitra，IvanBogatyy以及JohnMorrow对这篇文章的批评指正。

英文链接：

https://medium.com/dragonfly-research/how-defi-cannibalizes-pos-security-84b146f00697

标签：POS区块链ETHCOMPOS币玩区块链的都是什么人ethnographyasamethodusedcommunity

pepe最新价格热门资讯