小心，DeFi 有可能侵蝕 PoS 區塊鏈的安全_區塊鏈:比特幣

編者按：本文來自

鏈聞

，撰文：HaseebQureshi，區塊鏈投資機構DragonflyCapital合伙人，編譯：詹涓，Odaily星球日報經授權轉載。

剝繭抽絲，一步步說明為什么競爭性的借貸市場對PoS的安全性具有重大影響。

鏈上借貸已經成為當今最流行的去中心化金融應用。MakerDAO、Compound、dYdX和NuoNetwork這些借貸市場都在去年急劇成長。但鏈上貸款可能不僅顛覆了傳統借貸，它還可能顛覆權益證明(PoS)共識。

權益證明是工作量證明(PoW)之外的另一種選擇，在PoS中，區塊鏈由已質押的加密資產保護，而不是由算力來保護。去年推出的許多主流網絡都是PoS網絡，比如Tezos、Algorand、Cosmos等，下一年預計還有更多這樣的網絡上線。

當大量代幣在網絡中處于質押狀態時，PoS系統就是安全的。在大多數PoS算法中，只要所有抵押資產的2\u002F3歸誠實的參與者所有，該區塊鏈就是安全的。

Jim Cramer：狗狗幣或被監管認定為證券，投資者需小心:金色財經報道，1 月21 日，CNBC知名主持人Jim Cramer發推表示，投資者應該非常小心狗狗幣（DOGE），因為它會被認定為證券并受到監管，監管將會了解市場上有多少流通的DOGE，每天有多少DOGE被創造出來并進行交易。

不過，Jim Cramer這一言論遭到DOGE創始人的Billy Markus的質疑，他表示Jim Cramer最好先了解一下區塊鏈的工作原理，每天有多少DOGE被創造出來，其實都寫在公鏈代碼里，所有人都可以查看。在“證券”問題上，Billy Markus稱DOGE是一種工作量證明加密貨幣，原理和比特幣一樣，而且DOGE99.5% 的代碼與比特幣相同。[2022/1/21 9:03:25]

現在假設你是一名試圖破壞某個PoS系統的黑客。你會怎么做？

在較高的層次上，有兩種攻擊途徑：一種方法是，你可以累積所有已發行權益的三分之一，但這么做不僅難度大，而且成本高昂。第二種方法是，你可以說服當前的這批質押者停止抵押，然后接管這個便宜得多的網絡。

一南非男子不小心刪除了20個比特幣的密鑰:根據MyBroadband的報道，一名叫邁克爾斯南非男子在十年前開采了20個比特幣，但弄丟了密鑰致使再也無法找回比特幣。在撰寫本文時，比特幣的交易價格約為46500美元，20枚BTC的當前價值超過93萬美元。“我相信我使用了原始的比特幣錢包軟件，它需要錢包密鑰和密碼才能訪問。”邁克爾斯說，他在電腦上的一個文本文檔中備份了錢包的私鑰和密碼，但隨后在清理設備時刪除了該文檔。?“我記得收集了房子里所有的硬盤、記憶棒、CD和DVD，并仔細檢查了它們。這花了大約一周的時間。我還嘗試在主硬盤上運行數據恢復軟件，但這沒什么用。到那時，該驅動器已被多次格式化和重復使用。”邁克爾斯現在是一名合格的電子工程師，目前擁有少量的各種加密資產。（dailyhodl）[2021/8/20 22:25:34]

第二種方法在原則上聽起來很有吸引力，但是怎么才能使當前的這批質押者停止抵押呢？有一個簡單的方法：在其他地方給他們提供更有吸引力的收益。

只有在持幣者被激勵去質押的情況下，PoS才會運轉起來，而且，持幣者只有在獎勵足夠豐厚的情況下，才會被激勵起來去質押。但如果他們能在其他地方獲得更好的回報，那么可以想見，一個理性的投資者會將他們的資產解除質押，并將其轉移到任何一個能獲得更高回報的地方。如果這種虹吸效應吸走了抵押的資產，那么，該網絡的安全性就會降低。

騰訊御見：小心網絡游戲《魔域》私服客戶端捆綁傳播挖礦木馬:騰訊安全威脅情報中心檢測到網絡游戲《魔域》私服客戶端捆綁傳播挖礦木馬和遠程控制木馬。據悉，木馬首先偽裝成游戲保護進程TQAT.exe隨著游戲啟動而執行，隨后釋放大灰狼遠控木馬DhlServer.exe，并利用遠控木馬的下載執行功能繼續下載門羅幣挖礦木馬ws.exe。而門羅幣挖礦木馬運行之后，會增加系統資源消耗，影響游戲軟件的流暢運行。[2020/5/19]

從字面意義上說，鏈上貸款市場直接與質押競爭——這意味著，它們與協議的安全性在直接競爭！

這種直觀的推斷很簡單。那么，我們能模擬出發生這種情況的可能性有多大嗎？

模擬質押游戲

要模仿像以太坊DeFi這類復雜的經濟系統，最佳方法是通過一種被稱為「基于代理人的模擬」的技術。在基于代理人的模擬中，你需要對一大批有不同策略和風險偏好的代理人進行建模，然后讓它們彼此獨立決策。通過觀察這個初生系統如何演化，你就可以獲得數據上的確信，知道該網絡在不同場景下會如何運作。

公告 | 寶二爺辟謠沒有創辦“國際交易所火網”提醒人們小心上當:近日，網絡上流傳“寶二爺創辦了國際交易所火網”消息，對此，寶二爺發布微博稱沒有創辦該交易所，并提醒說，“大家小心上當”。[2019/3/8]

區塊鏈網絡模擬平臺Gauntlet的創始人TarunChitra在他的最新論文《質押和鏈上借貸之間的競爭均衡》(Competitiveequilibriabetweenstakingandon-chainlending)中正是這么做的。他分析了鏈上借貸如何與PoS質押相互作用，前提是假設押注者在經濟上是理性的。

!webp\"data-img-size-val=\"1080,726\"\u002F\\>

質押ETH的供應量與借貸ETH供應量的對比

上圖是一個單一的模擬，假定在比特幣式區塊獎勵通縮的情況下，Compound中的ETH和質押的ETH是如何隨時間變化的。

圖中所表達的意思大概如此：最初，大多數ETH的持有者都質押他們的ETH。但隨著時間的推移，區塊獎勵下降，相比借貸給Compound，質押ETH的回報不再那么有吸引力，所以幾乎所有人都將他們的ETH轉入Compound。

聲音 | 慢霧安全團隊：門羅幣不小心創造了一個網絡和平世界:據火訊財經報道，慢霧安全團隊表示：“門羅幣不小心創造了一個網絡和平世界，因為其CPU/GPU算力友好，對抗職業礦機（比如ASIC芯片），且門羅是最早的一批，算是匿名幣的龍頭，地下黑客入侵大量服務器，以前是勒索、竊取機密，現在大規模做CPU挖礦，所發布的典型蠕蟲病修補了相關漏洞入口，殺掉了蠕蟲對手，安全加固了相關機制，然后它僅挖礦，不少企業入侵事件的發現不是因為發現蠕蟲，而是發現服務器或主機卡了，這些蠕蟲挖的主要就是門羅。”[2018/7/3]

Tarun做了幾個理論上的封閉式預測，并通過模擬試驗得到了驗證。其中最重要的一點是：PoS鏈不能安全地使用通縮貨幣政策。如果PoS區塊的回報隨著時間的推移而減少，那么它的長期均衡將是：幾乎所有的資產被借出，而不是被質押。

讓我們更進一步。知道這一點后，攻擊者能做什么呢？

如果攻擊者補貼了某個鏈上借貸市場，并支付一個更好的長期利率，這將會使質押者從質押轉向借貸。然后，一旦鏈上質押枯竭，他們就可以進入并控制這個業已貧瘠的質押市場。

以Compound為例，要想壓低借款率，攻擊者只需要從池子里借錢。其風險模型會自動向上調整利率。隨著攻擊者不斷借錢，越來越多的質押者轉向借貸，PoS的安全性也慢慢地被耗盡。這可能會導致滾雪球效應：旁觀者看到協議的安全性正在耗盡，他們會想著做空這一代幣，這會進一步增加Compound的借貸需求。

你可以把這個質押網絡想象成一件毛衣，攻擊者拉著一根線頭：利率。當攻擊者開始拉線頭，毛衣會對壓力做出反應，線越拉越長，沒過多久，攻擊者就會將整件毛衣拆散。

!webp\"data-img-size-val=\"800,400\"\u002F\\>

當然，要完成這一點，攻擊者需要借Compound里的資產，這意味著他們必須提供抵押品來借貸。但是，如果他們用USDC或代幣化的比特幣作為抵押，那么，攻擊者在攻擊網絡時就不會承受對ETH的價格敞口。類似這種攻擊如果發生在PoW鏈，將需要在鏈下占用大量空頭頭寸。但是在PoS中，攻擊者可以在執行這種攻擊的同時對沖所有的價格風險，而且所有操作不需要任何人的許可，且完全在鏈上實現。

這是一個令人驚訝的結果！看起來DeFi和共識是完全垂直的領域，但是實際上，競爭性的借貸市場對PoS的安全性具有重大影響。

好吧，這對PoS意味著什么？

首先，讓我們花點時間反思一下：天啊，圖靈完備的區塊鏈實在太復雜了！將智能合約添加到區塊鏈似乎應該是一個純粹的應用層決定。而智能合約使Compound這樣的復雜市場得以誕生，后者以不那么顯而易見的方式與區塊鏈的底層安全性進行交互。我們經常談論「第1層」或「第2層」，但是與傳統計算的OSI模型不同，區塊鏈其實布滿了有裂痕的抽象。

它還提醒我們：我們不能繼續假裝區塊鏈是封閉系統，其唯一的激勵因素在于協議內部。區塊鏈太過復雜且相互連接，因而無法在真空中進行分析。在這方面，人們對PoS的實際安全性仍然知之甚少。

只要PoS網絡處于開放的生態系統中，任何鏈上借貸市場都可以通過提供更高的收益來蠶食其安全性。事實上，即使某系統不直接支持智能合約，但只要質押資產可以代幣化且跨鏈轉移，那么，另一條鏈上的代幣化借貸市場也會受到同樣的影響！

擔心這個是不是很傻？

我們討論了主動攻擊可能是什么樣子，當然，這種攻擊的資本成本可能太高，所以不太現實。但即使沒有人做惡，這種情況也可能發生。比方說，有某些風投資助的項目開始補貼各自的利率，試圖相互競爭，這可能會無意中降低了網絡安全。最終結果將是一樣的：一個危險而不安全的共識層。

PoS系統該如何防范這種情況？

在較高的層面上，一個質押網絡有兩種選擇：要么迫使鏈上貸款市場設定利率上限，要么通過向質押者提供有競爭力的回報，與貸款市場展開競爭。

第一種策略類似于實施資本管制。這在無需許可的區塊鏈上顯然是不可能的——即使存在資本管制，借款人和貸款人也可以在鏈下或通過相鄰的互操作鏈建立相同的市場。

唯一現實的防范方法是，在必要時使用靈活的貨幣政策，提供有競爭力的利率。任何固定的通貨膨脹制度都容易受到這種攻擊，因為攻擊者總能精確地知道，在貸款市場上提供多少補貼就可蠶食押注者。

這種防御類似于央行調整利率以實現其經濟目標。一個PoS網絡必須使用它的發行率作為工具，以實時應對市場壓力。

從這個意義上說，以太坊目前的基礎還算不錯，因為它沒有承諾任何固定的貨幣政策。但進一步說，所有的PoS網絡都必須考慮到這一權衡問題。鏈上治理和鏈下治理的方法都可以發揮作用，但是如果PoS協議想要永遠保持安全，那么它必須具有自適應的貨幣政策。

要了解更多的細節，請查看這篇文章。它有一些很酷的圖表，我沒有收入本文。我也要向Tarun和Gauntlet團隊的出色工作致以極高的敬意。

Gauntlet是DragonflyCapital的投資組合公司。感謝TarunChitra、IvanBogatyy和JohnMorrow對本文的反饋。

Tags：POS區塊鏈COM比特幣pos幣開源區塊鏈的幾個大騙局COMA幣比特幣行情圖歷年

比特幣最新價格