咖说 | 哪怕遭受攻击,DeFi协议也很快能“春风吹又生”?

收集一众行业大咖观点,探索区块链商业及应用。百家争鸣、百花齐放,说理、解密、预测和八卦,了解行业内幕,看咖说就够了!
投稿请联系 :tougao@conflux-chain.org
本文转

“巴比特

,Mira Christanto,编译:屏风


对于 DeFi 的发展,安全攻击风险始终是不能掉以轻心的。保守主义者因为这一点,始终不会倾注大量资产在DeFi的参与上。Messari 分析师 Mira Christanto 在一则分析中指出,比起单次攻击,行业整体的增长对 DeF i协议的影响更大。似乎在遭到攻击之后,DeFi 协议都比较快地“春风吹又生”,这可能是一个蓬勃发展中的领域容错率高的表现。对于新兴领域,也许我们应该在谨慎中多一分乐观。
以下是分析原文:
虽然很多 DeFi 项目从过去的错误中吸取教训,漏洞攻击事件的发生频率放缓,但黑客的规模却一直在增加。就在一周多以前,DeFi 经历了有史以来最大的一次漏洞,Alpha Homora 在本次事件中损失了 3750 万美元。
这就一定是坏事吗?
指责说 DeFi 的风险特别大是不公平的。即使是比特币,在早期也有需要核心开发者修补的 bug。例如,2010 年 8 月,一个区块包含了 920 亿 BTC;在 2013 年 3 月,比特币 core 0.8 版本与之前的版本不兼容;2014 年 7 月还发生过一次攻击,矿池 gHash.IO 的算力短暂超过了网络的 50%,导致矿池自愿承诺减少在网络中的份额。
如果 DeFi 协议要想承载数千亿甚至数万亿美元的价值,就必须经过实战检验。过去的攻击可以看作是赏金计划,降低 DeFi 变得 “大而不倒“风险。每次发生了攻击事件,协议都会以安全为第一考虑。下一次的黑客攻击也会是这样。
以下是过去几年的主要的攻击事件:
咖说 | 哪怕遭受攻击,DeFi协议也很快能“春风吹又生”?
漏洞攻击是负面事件,但拉到一个更大的环境来看,它涉及的金额是微不足道的。自 2019 年 7 月以来,攻击事件损失的总金额为 2.85 亿美元。平均每起黑客和合约失败的损失金额为 1200 万美元。平均到每天损失是 2 万美元。
咖说 | 哪怕遭受攻击,DeFi协议也很快能“春风吹又生”?
自 2019 年 7 月以来,攻击事件损失额平均占当天行业 TVL 的 0.3%。自从 DeFi 盛夏的爆发以来,黑客攻击或失败造成的协议预期损失仅为 0.1%。
损失金额与占该协议 TVL 的平均比例为 9%。大多数协议会冻结处于风险中的资本池。然而,市场还是对于攻击事件作出了很敏感的反应,而且反应(比 TVL 的变化)要大得多。一个协议在攻击之后的一天 TVL(按资产数量计)平均下降 39%,锁定资产的总价格也下降了 31%;而在之后的一个月,价格平均恢复了 5%,比起最初的攻击日期 TVL 仍然是下降 31%。然而来到现在,按协议计算的 TVL 和价格平均分别上升了 +215% 和+133%,主要是由于整个行业的资产增长。因此,整个行业的增长情况对比单次的攻击事件影响是更大的。
咖说 | 哪怕遭受攻击,DeFi协议也很快能“春风吹又生”?
最有可能的攻击方式是预言机与闪电贷组合。代码缺陷是第三大常见的漏洞,占 23%。
预言机:在去中心化的预言机网络项目中,Chainlink 已经成为希望外包预言机的项目的事实选择。它们从多个数据资源中策画 feeds,并使操纵参考数据变得更加困难和昂贵。
闪电贷:发起闪电贷攻击并不一定需要大量的资金,当攻击成功时却会有巨大的回报。有人呼吁禁用闪电贷功能。但是,在去中心化的社区中,我们并不能取消或禁止一个产品。如果有闪电贷的需求,协议则会提供主要的功能。再说,如果没有闪电贷,这些攻击也是可能发生的(尽管成本更高)。可以说,在更大的流动性进入 DeFi 之前,闪电贷就已经暴露了安全的弱点。
咖说 | 哪怕遭受攻击,DeFi协议也很快能“春风吹又生”?
三分之一的攻击者出于道德或法律原因退还了全部或部分资金。一名攻击者将 5 万元返还给一名在攻击中损失 10 万元后提出恳求的用户;另一个例子是,对 Eminence Finance 攻击造成损失 1500 万美元后,攻击者返还了 800万美元;可能是由于由于社区的道德舆论,Sushiswap 最初创始人道歉并返还了 1400 万美元。这些可能会成为人们为攻击者正名的例子,从全局的角度看,他们通过暴露漏洞,帮助整个 DeFi 生态系统更能自如应对攻击。
有几种方法可以避免漏洞做造成的波动性,让这些智囊团(发动攻击者)和协议站在同一阵线上:
1. 创建一个奖励性的 bug 赏金计划。这样做会有利于生态系统的安全,而不会出现短期的恐惧、恐慌或价格波动。
2. 在奖励计划中提供补助和治理权力,让智囊团一起帮助协议;
3. 招募第三方审计和白帽黑客。虽然很多协议都采用了这种方式,但审计人员很难检查所有可能的攻击方式。此外,从经济收益角度而言,攻击协议甚至可能比审计代码收获更大。再者,如果有的漏洞审计人员遗漏了没有检查出来,他们也不会受到经济处罚;
4. 提供保险。在这方面 Nexus Mutual 是基于以太坊的一个先行者,它为智能合约风险提供保障,有社区驱动的治理和保险理赔。Yearn 与 Nexus Mutual 合作推出 yInsure,然后在 2020 年 11 月与 Cover Protocol 合并。Cover 将成为 Yearn 产品套件和其他 DeFi 协议的保险提供商。
结论
DeFi 不适合胆小的人。这个领域对攻击的抵御能力越来越强,但发展的速度之快让人不得不承受发展的痛苦。目前一些工作正在推进,以控制攻击带来的对行业声誉的损害和用户的损失。协议可以购买保险,也可以通过提供“漏洞赏金即服务”(bug-bounties-as-a-service)来应对。这样做可以邀请社区中最优秀的人才做出贡献,激励他们一起来对协议进行建设,而不是攻击。
END

作者:,来源:Conflux中文社区

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

留言与评论(共有 0 条评论)
   
验证码:
微信号已复制,请打开微信添加咨询详情!