这是狂野的西方年代——黑客和漏洞无处不在。
对于参与者来讲,知道ETH的漏洞历史尤为重要。从Dao到奇偶校验黑客攻击,这类协议级别的事件影响ETH契约的安全性。伴随愈加多的应用程序的构建,攻击事件的数目也在增加。
这在DeFi中特别这样。
大家不必在资金上相信其他人,但大家需要相信代码。
大家需要相信,代码的设计没任何缺点——包含错误、经济风险、预言机操作,甚至中心化风险。这非常难。大家是人,大家会犯了错误(知道更多关于3种DeFi风险的信息)
这是大家的救星:代码暴露的时间越长,锁定的值越多,代码就越强大。大家称之为林迪效应。有朝1日,假如没意料之外,大家离不可信赖金融的愿景就更遥远了。
休·卡普是研究黑客和漏洞的人之一(但他一个人也被黑客攻击了)
ETH的早期开发经验促进Karp打造了nexus mutual,这是一种去中心化的保险替代策略。
作者是休·卡普。
DeFi黑客攻击的简史
DeFi提供了一个机会的地方。尽管所有传统的金融家都称之为“骗局”,由于它的收益率是两位数,但你可以发现并创造财富。同时,那些走在前列的人一直在挣钱。
虽然有风险可以一定,但市场效率仍然非常低,在银行提供0%利率的年代,在进一步研究之前,至少暂时抛开旧的偏见是值得的。
在传统金融中,大多数风险源于需要用你的钱信赖其他人。
尽管很多人说DeFi消除去信赖,但它事实上将信赖从个人、机构和周围的法律体系转移到了法典中。理论上,这意味着假如大家可以信赖代码按预期运行,那样大家就可以“移除”信赖。不幸的是,非常难100%准确地编码(即便在审计之后)。大部分长期用ETH的用户在这段旅程中至少历程过一个痛点。
为了让你知道编码的准确性,以下是每行代码的错误数:
行业平均每1000人15-50人
每出货1000个软件中有1-25个
美国航天局0.1/1000
编码并困难。人类一直在犯了错误误。问题是ETH和去中心化金融存在不少风险。
这种风险比相信其他人怎么样?当然,但目前太早了。
以下是一些历史漏洞事件,为你提供背景信息
早期
ETH中编码错误的第一个要紧例子是Dao。Dao项目遭到攻击后,社区对怎么样“修复”产生了分歧,致使ETH出现分歧,ETH经典(etc)应运而生。
下一个主要的漏洞事件是ETH奇偶校验推广客户端错误。在这个bug中,广泛用的多重签名遭受了两个单独的漏洞事件,这致使了当时价值数百万USD的以太币的损失,并从哲学的角度进一步导致了后果。
总之,这类漏洞是ETH历史上第一个重大安全事件。目前,大家觉得它们是有逻辑错误的代码,它们根本不可以按预期工作。
这两个事件也是nexus mutual首款商品智能合约封面的主要想法出处。
预言的年代
第二波主要的WiFi黑客攻击是由预言机在链上的操纵引起的,一般是闪电贷款引起的。
这种攻击实行起来很复杂,但其模式却很像,即依赖价格供给的系统会临时操纵价格供给,扭曲协议的内部核算。这类资金随后以打折利率存入,并在预言机恢复正常价值后立即以另一种货币或同一种货币提取。
尽管在大部分状况下或许会触发潜在的逻辑错误,但状况并不是一直这样。然后是一个社区讨论:这类事件是黑客攻击还是协议的经济逻辑被借助了?
但总的来讲,假如你想让DeFi更成功,这类类的问题需要防止。
收成筹资:一位技术熟练的农民用美元C和美元C资金池中的3380万USD的迅速贷款
价值概念:损失7000000。这是闪贷的另一个惨痛教训。
奶酪银行:黑客通过AMM预言机攻击拿走了330万USD
原产地协议:通过闪贷和假币再入境获得800万USD。
乐高年代的货币
在过去的几年里,愈加多的DeFi协议被发布,并且继续相互依靠。这就是开放金融和可组合性的美妙之处——大家可以用现有些协议来构建新的应用程序。缺点是如此自然会开始扩大攻击范围。
因为DeFi的强大优势,协议之间的相互依靠性愈加强,但这也会使风险成倍增加。
第三波攻击总是中心化在收入聚合器上,这类聚合器一般基于很多其他WiFi协议。
这类协议一般BiKi本协议具备更高的风险,由于它们具备更大的攻击地区。作为一个开发职员,比较容易对另一个协议怎么样工作做出假设,但有时集成边缘的细微差别会致使问题。
中心化风险
这段简短而有趣的历史主要关注编码风险。假设DeFi是完全去中心化的,编码风险将覆盖大多数风险。但事实并不是这样。很多协议仍然离得远远的去中心化,由于DeFi中的很多风险不只来自智能合约错误,还来自中心化。
所有DEFI中最广泛的风险可能与稳定币失败有关。这可能包含USD兑泰铢的联系汇率损失或政府没收资金。使道氏傣族联系失败也将致使重大问题,但更可能是因为经济勉励或风险管理监管的失败。
假如你加入DeFi,任何主要稳定币的常见失败都将是灾难性的。这对整个行业来讲可能是一个重大风险,特别是在它还处于起步阶段的时候。
回到DeFi协议,当与大部分较新的协议交互时,总是存在高度中心化的风险,由于团队一般大概升级合同,或者在最坏的状况下“运行”并窃取协议的流动性。所以请注意这个!在你存款之前,试着找出是不是有任何内置的时间延迟或其他保护手段。
在一些主要的DeFi协议中仍然存在较低的中心化风险。总大概发生治理攻击,恶意组可以升级系统。大家还没见过不少如此的案例,但完全大概。
代币持有者的类型越多、分布范围越广越好。
经济勉励风险
另一个需要警惕的主要类别是经济勉励机制的失败。有几个DeFi协议正在测试新的经济游戏,以达到肯定的成效,这一般需要平衡的勉励来鼓励正确的用户行为。
很多动机游戏并没被证明比其他游戏更具风险性,我正在研究算法的稳定性。因此,用户应注意协议在多大程度上依靠经济勉励来正常工作。
Defi是一个机会
尽管听起来非常吓人,但对于那些想承担更高风险的人来讲,DeFi有着巨大的回报。DeFi的风险收益率非常大,但市场效率仍然非常低。
如此做有哪些好处是,对于那些想承担进一步风险的人来讲,效率低下对应着机会。
DeFi的吸引力之一是可以从稳定币或现有些数字货币持有者(如比特币或以太币)那里挣钱。
在本例中,风险范围非常低,我称之为风险来自底层协议本身:UNI、compound、AAVE、mkr和balancer。
这类协议比其他协议去中心化得多,因此风险一般更局限于智能合约风险、经济勉励失败和潜在的治理攻击。这类协议在主网上已经用了相当长的时间,价值数十亿USD,这意味着它们已经在适当的范围内进行了测试,并且表明它们可以相对不受大部分此类风险的威胁,而潜在的治理攻击尚未得到充分的测试。
假如你想从银行竞价推广账户收入的0%提升到更高的水平(比如,在4-10%的范围内),这可能是最好的起点。
假如你想保护你在DeFi中的资金,Nexus mutual还提供智能合约风险保护。更妙的是,从4月26日起,nexus mutual将扩展到一款名为“协议覆盖”的新品,涵盖智能合约风险、预言机操纵、经济勉励失败和治理攻击。这是在DeFi挣钱最安全的办法之一。
有不少东西要学,你可以在DeFi写一整本关于风险管理的书。
重要是从你能承受的损失开始,并伴随时间的推移而学习。为了防止过度的风险,请确保你在分配更大的头寸以应付任何策略或风险时可以管理。
Defi是一个需要完全自主的旅程,这既危险又可能带来高额收益。适合地管理你的风险会叫你感到舒服。
