(博森科技)DeFi安全风险解析:闪电贷、价格操纵攻击和降低风险的协议设计思路
在数字货币行业,DeFi 成为了一个关键发展的趋势。但是,伴随着其市场份额的提高,DeFi 服务平台正面临着越来越多安全风险。 近期,Moremoney 的联合创始人兼产品负责人 Sirmoremoney 在 Twitter Spaces 上探讨了一些关于 DeFi 安全性讨论的话题,尤其是针对抵押品价钱操纵和闪电贷攻击等方面风险性。Revelo Intel 归纳了本次 Spaces 的回答,并探讨怎样采取有效措施来减轻这些风险。 涉及到合同系统漏洞的攻击/闪电贷攻击闪电贷攻击涉及到利用短时间不用质押就可以贷款的水平来操纵价格或盗取资金。以 Platypus 攻击为例子来阐述涉及到合同系统漏洞的攻击。 攻击者从 Aave 借出去了 4400 万美元雷电连接点,把它存进 Platypus,并借出去 4200 万美金。随后,她们利用合同里的系统漏洞展开了应急提现,提取了原始储蓄并保留了借款。此次攻击造成了 Platypus Finance2 亿美元资金损害。 但是,她们仅以大概 850 万美元价钱互换剩下的 4200 万美元 USB。Platypus 的安全顾问和内部的精英团队可以取回 240 万美金,而 Feather 和 Circle 则冻结卡住合同里的资金。攻击者之后还在法国的被逮捕。 此次攻击是通过低等网络黑客发起,到现在为止已有 70%的失窃资金早已被讨回。 从此次攻击中获得教训是,协议书必须要有适度的安全措施,比如限定谁能够启用应急提现作用,并执行债务上限以限定很有可能带来的损失。 应急提现作用比如,Moremoney 有一个需要由协议书自身或整治调用的紧急救援作用。 她们阐述了限定谁能够启用此功能的必要性,就像是在 Platypus 的本次状况中并没有这么做。 抵押品价钱操纵攻击价格操纵攻击涉及到操纵去中心化交易所(DEX)上货币的价钱,以借出去比抵押品内在价值更多资金。 以 Mango 和 Loadstar 的攻击为例。这种攻击导致用户遭遇了巨大损失,并显示监管抵押品价格与实施举措以避免价钱操纵的必要性。 在两种情况下,攻击者操纵了 DEX 上货币的价钱,以借出去比抵押品内在价值更多资金。挑选价钱预言机针对协议书安全性尤为重要,应用期货价格预言机一直一个尴尬的想法,由于爆跌或其它价格调整可能造成巨大损失。 缓解风险对策这些措施还有对区块链智能合约进行全面的财务审计,执行多种因素认证和别的安全防范措施,及其防护与不同资产和借款池有关风险。 隔离 CDP 池隔离的 CDP(质押负债交易头寸)池针对协助缓解与多种因素池有关风险至关重要。 她们强调,每一个质押财产全是隔离,这就意味着假如攻击者可以利用其中一个财产,他将不能从全部池中获取资金。 隔离债务限制隔离债务限制能够限定针对每个质押财产能够筹集资金金额。 在他们看来,这有助于避免攻击者筹集资金很多资金,并缓解与多种因素池有关风险。 全局性债务限制协议书能够执行全局性债务限制,限定软件上全部资产筹集资金总金额。 这有助于避免服务平台过多杠杆化,同时减少一切单独攻击潜在危害。 |
