作者:?AmeenSoleimani
翻譯&校對:?Aisling?&阿劍
來源:以太坊愛好者
你可能聽說過區塊鏈初創企業Compound。他們基于以太坊創造了compound.finance,個人可以在該市場中出借所持有的ETH,DAI,USDC及一些其他ERC20數字資產并以此賺取利息。
Today,theinterestrateofferedtoDAIlendersis10%,whichishighenoughtoturnEthHeads’heads(seecoverphoto).
如今,DAI出借方的利率是10%,足以讓ETH持有者側目。
作為SpankChain的CEO,管理包括近50萬DAI的公司儲備是我的職責。如果不把我們的DAI放到Compound平臺上,按照10%的年利率,那么我們將每個月損失近4000美元。這是相當大的一筆機會成本。但是投資需要牢記的是:天下沒有免費的午餐。所有的投資都有風險,在Compound平臺上放貸也不例外。
上個月,我花了一些時間對通過Compound平臺放貸存在的幾類風險進行了評估:
智能合約安全風險
中心化單點故障
銀行擠兌風險
我將調查研究分成了以下幾類,但是在此之前首先需了解的最重要的事情是:
智能合約安全近乎完全沒問題。
Compound是一個
HyperGraph 項目信息和交易統計在CoinMarketCap上線:據官方消息,HyperGraph 交易數據已經被CoinMarketCap 收錄并展示。同時,HyperGraph與CoinMarketCap 聯合開展空投活動正在進行中,空投HGT當前總價值超過10萬USDT,此外,HyperGraph 的Telegram社群成員已經突破20000人。[2021/5/12 21:53:39]
托管系統,
如果借貸池管理員的私鑰泄漏,則所有借貸池中的資產將都可能被盜走。
在Compound上放貸
不保證能隨時提取資產。如果您嘗試提取您的資產,但是當時所有資產都鎖定在未償還的貸款中,那么您的提款交易將失敗。
-我希望這些投資者人能夠了解這些風險...圖源:
https://defipulse.com/compound-
合約安全
已有多家知名的智能合約安全公司對Compound進行了審計。
OpenZeppelin審計報告
TrailofBits審計報告
Certora審計報告
此外,Compound還為嚴重漏洞專門提供了上限為25萬美元的懸賞,據我所知,目前還沒有獨立安全研究人員獲得這筆賞金。
Mina Blockchain在CoinList代幣銷售中籌集了1870萬美元:據CoinDesk消息,Mina Blockchain在CoinList代幣銷售中籌集了1870萬美元。CoinList銷售主管Mike Zajko表示,團隊最終將mina的購買上限設定為500美元,而不是最初的1000美元,這給了更多買家購買機會。[2021/5/5 21:26:35]
該合約保存的資產至少有六個月超過2000萬美元,至少有兩個月超過5000萬美元,當前該合約里保存的資產超過1億美元。對我個人而言,合約安全最重要的指標是合約持有總資產×合約保存資產時間,到目前為止,Compound的安全性已經得到了大量公共資產的證明。
基于以上因素,我目前認為Compound智能合約是安全的。
中心化單點故障
由于我自己并不是一名智能合約安全專家,因此我向samczsun尋求幫助——samczsun以發現了0x合約中一個關鍵bug而出名,他也因此獲得了10萬美元的報酬。關于Compound的中心化單點故障,他提供的報告如下:
Compoundv2有四種不同的管理職能,由三個地址分別承擔:
每種cToken都有一個管理員。目前,所有cToken的管理員都被設置為?0x8B8592E9570E96166336603a1b4bd1E8Db20fa20
每種cToken都有一個監察員,目前都被設置為?0x3d9819210A31b4961b30EF54bE2aeD79B9c9Cd3B。Unitroller也有一個管理員,目前被設置為?0x8B8592E9570E96166336603a1b4bd1E8Db20fa20
Covalent將于4月29日在CoinList進行公募:官方消息,區塊鏈數據服務提供商Covalent宣布將從北京時間4月29日上午8點開始在CoinList進行公募,公開銷售其代幣CQT。據悉,本次公募不對美國和加拿大用戶開放。[2021/4/15 20:22:52]
當前的價格預言機都有一個錨點管理員和一個poster,分別為設置為0xF06e41aDD8A7E7A8aD81a07C0ACA291E4573ca50?和?0x3c6809319201b978D821190Ba03fA19A3523BD96。
只要能獲得一種cToken的管理員資格,攻擊者就可以替換監察員實現,然后執行以下一項或者多項操作:
通過transferAllowed函數返回false防止轉移現有cTokens
通過transferAllowed函數返回true轉移作為抵押品的cTokens
通過mintAllowed函數返回false防止生成新的cTokens
通過redeemAllowed函數返回false防止贖回已有cTokens
通過repayBorrowAllowed函數返回false防止償還現有貸款
通過liquidateBorrowAllowed函數返回false防止清算貸款
通過seizeAllowed函數返回true竊取用戶cTokens
通過borrowAllowed函數返回false防止借入底層資產
Bloxian Technology與企業軟件公司R3達成合作,在Corda區塊鏈平臺上為商業開發創新產品和解決方案:3月6日,Bloxian Technology與企業軟件公司R3達成了合作,將在Corda區塊鏈平臺上為商業開發創新產品和解決方案。Bloxian Technology是一家位于悉尼,專注于將企業與分布式記賬技術聯系起來的專注于企業的新創公司。自去年起投資并投入開發 Corda 產品及解決方案,目前已有超過20位開發專家。并在3月7日的Corda東京大會上分享其 Corda成果。[2018/3/8]
通過borrowAllowed函數返回true來吸干所有底層資產
通過cToken的管理員資格,攻擊者還可以替換利率模型,從而實現:
將借貸成本提升至0.0005%/區塊
若能獲得Unitroller代理的管理員資格,攻擊者可以:
對于所有使用Unitroller的cTokens,通過替換Unitroller實現與替換cToken監察員一樣的攻擊
通過更改清算激勵機制,在清算時獲得更多的代幣
通過更改價格預言機,以低于實際的價格進行cTokens借貸
通過更改某種cToken的質押信息,結合新增cToken以及更改價格預言機的能力,攻擊者可以通過他們創造的代幣進行抵押借款,實現竊取系統全部資產。
若能獲得價格預言機的錨點管理員資格,攻擊者可以:
使得某一資產的價格偏離其真實價格的10%
XEM暫時無法在Coincheck提幣:XEM官方發布消息,在Coincheck上的日元提款已經恢復,但仍未提供數字貨幣的提取。今年1月日本數字貨幣交易所Coincheck被盜5.23億枚XEM,成史上最大數字貨幣被盜案。因此事影響,XEM在多個交易所的充提均受到短時影響。[2018/3/1]
若能獲得價格預言機的poster資格,攻擊者可以:
每個小時都讓資產價格偏離其存儲價值的10%
若能同時取得對價格預言機的管理員資格和poster資格,攻擊者就可以:
將資產價格設為任意值
總結一下samczsun的報告:Compound合約被設計為可以通過中央管理員進行適當的升級。最重要的合約是代理合約,其指向包含了邏輯實現的邏輯合約地址,管理員擁有隨意修改地址指針的權利。
由于所有的cTokens使用相同的管理員,如果管理員私鑰泄露了,那么所有質押在Compound中的資產都可以被輕松竊取。
sam的報告中也提到了一些更為狡猾的攻擊,如果攻擊者有這樣的機會——比起實施更為復雜的攻擊,這樣可以更快的卷走所有錢。
OpenZeppelin在他們的Compound審計概要中進行了有效總結。
然而,惡意管理員或者被竊取私鑰的管理員手中擁有凍結市場、審查交易甚至從系統中竊取全部資產的能力。
類似地,控制資產價格預言機即便不能竊取系統的全部資產,也可以竊取大部分。當前,所有實時市場的管理員都是同一個外部賬戶。
但是有趣的是,TrailofBits團隊沒有在任何相關材料中提及這一點。此外,Compound的FAQ還低估了管理員特權,并沒有提供任何關于管理員有可能竊取所有資產的警告:
協議的開發者CompoundLab,Inc,目前控制著以太坊地址:0x8b8592e9570e96166336603a1b4bd1e8db20fa20,即管理員地址。管理員地址擁有新增資產、更新價格預言機、更新利率模型以及更新協議風險模型的權利。
另一件需要注意的事情是,Compound當前的托管設置本身并不會導致系統的不安全。他們會極力維護管理員密鑰安全,并且很有可能他們正在與820萬美元種子輪融資可以買到的最好的托管供應商合作。不過毫無疑問,在決定存入50萬DAI時,我會將這一點放在心上。
銀行擠兌風險
Dharma首席運營官之前的的這條關于競爭性貸款平臺的推特,帶我打開了新世界的大門,讓我明白了Compound這類平臺的銀行擠兌風險。
上述推特中顯示的利用率高達98.62%,這意味著在當時,出借方存儲的98.62%的DAI都已經借出。只有1.38%的DAI還可取出,所以,在當時,只有相當小一部分出借方可以隨自己心愿收回其存入的DAI。
如果有足夠多的DAI債權方在同一時刻想要收回他們存入的DAI,他們的提款操作將耗盡所有可用DAI,并使得DAI利用率提升至100%,從而阻止進一步的提款操作。試圖提款的出借方將只能看到交易失敗,并且不得不等到更多的借款方歸還貸款后才能進行提款。
由于存在cDAI提款卡殼的可能性,人們將會對此有所顧慮,并且他們的擔憂可能會自我實現。就是說,當一部分cDAI持有者試圖一次取出其存入的全部DAI時,銀行擠兌將有可能發生,因為有很多cDAI持有者都擔心這種情況的發生。
陷入cDAI銀行擠兌的出借方可以選擇等之后再取出其DAI,也可以通過出售cDAI以獲得DAI,但是這樣會產生手續費,而且,如果有許多其他出借方也在出售cDAI,那么價格可能會更差。?如果出借方選擇等待危機結束并繼續持有cDAI,在此期間他們仍可以享受到出借資金所得的利息。
Compound是如何解決這個問題的?
Compound團隊對這種流動風險的處理都很直接,他們在白皮書中進行了相關介紹:
該協議不保證流動性;相反,它依靠利率模型進行激勵。在資產需求極度旺盛的的時期,協議的流動性將減少;在這種情況下,利率會上升,從而刺激供應并抑制借貸。
Compound基于cToken特定的“利率合約”為每種cToken確定借款人的利率。該合約目前實現了cDAI的利率模型。公式為:借款人年利率=基本利率+
對于cDAI而言,基本利率=5%,乘數=15%。利用率為100%時,借款人支付的利息為20%。這意味著當DAI利用率最大時,借款人的資金成本也只是20%——因此,如果他們相信ETH這一年的漲幅會超過20%的話,他們就沒有動力償還貸款。?這可能會導致很多cDAI持有者在很長一段時間內還將繼續持有cDA。
Compound唯一能處理這一問題的工具就是使用中心化管理員升級利率模型,這就是6周前,利用率升到99%時他們所采用的方案。
綜上所述,利用率達到最大時存在流動性危機以及迫在眉睫的銀行擠兌風險,而出借方唯一能做的事就是希望Compound使用管理員特權更新并且增加利率,從而激勵借款方償還貸款進一步提高想要退出的出借方所需的流動性。
<結論
像Compound這樣的協議在中心化和去中心化中保持著微妙的平衡,它需要權衡快速升級的能力和由此必然引入的中心化單點故障。
我不覺得Compound選擇中心化的方式引導其產品是錯的,但是我確實希望智能合約中包含1000萬~1億美元的項目能夠按照最高標準進行,尤其是在向用戶傳達風險和提供警告方面。
基本上,我們應該支持、鼓勵項目做與RobertLeshner相反的事情:
中心化在技術上可能是正確的,但是我們都知道攻陷管理員的辦法有很多...
現在我依舊沒有想好是否要將我管理的DAI存儲到Compound中。可能我會先用10萬個DAI試試水?會出什么問題呢...InCompoundWeTrust!
感謝EvaBeylin的反饋以及編輯!
原文鏈接:
https://medium.com/@ameensol/what-you-should-know-before-putting-half-a-million-dai-in-compound-fafdb2645f77
作者:?AmeenSoleimani
翻譯&校對:?Aisling?&阿劍
歡迎閱讀第二期以太坊2.0開發進度更新。原文作者是來自ethereum.org的DannyRyan.
1900/1/1 0:00:00先說說比特幣實現了什么?根據之前所說的非對稱密碼學和單向散列函數,加上經濟結構就有了比特幣的基本形態。而這個基本形態能做到價值的傳遞,互聯網做到的是信息的傳遞.
1900/1/1 0:00:00作者:談幣論金 第六屆世界互聯網大會在烏鎮召開,聯合國副秘書長劉振民在開幕式發言表示,互聯網的發展正改變人們的生活,涌現了人工智能、大數據、區塊鏈、物聯網等新技術,盡管這些技術仍處在發展階段.
1900/1/1 0:00:00作者:秦曉峰 來源:星球日報 OKEx行情顯示,今年6月27日,BTC創下年內高點,接近1.4萬美元。隨后價格開始下行,最低跌至7700美元左右,最大跌幅超過45%.
1900/1/1 0:00:00原文標題:《除了金融創新,區塊鏈將如何通過改變人們的生活而帶來更多的價值?》 原創:?Wayne? 毫無疑問,區塊鏈是一項令人振奮的技術,具有變革許多行業的潛力.
1900/1/1 0:00:0010月25日下午,現任盛大網絡旗下ActozSoft(亞拓士)董事長兼CEO、大幣網Dcoin交易所天使投資人郭海濱做客鏈節點ChainNode進行AMA.
1900/1/1 0:00:00