聯盟分析-政策法規 | DeFi閃電貸遭攻擊背後——DeFi智能合約安全...

2020-12-06 金色財經

|合規聯盟原創出品 |

11月的DeFi市場就像經歷了一場「浩劫」,多起攻擊輪番「轟炸」,造成了巨大的資產損失。僅11月DeFi項目就發生了5起典型的安全事故。DeFi項目的安全問題令人堪憂,這可能與對協議的核心環節缺乏足夠重視有關。拋開這些,黑客的攻擊並不會停歇,面對嚴峻的安全形勢,主動防範的心態和行動至關重要。DeFi安全事件主要是由於其智能合約安全漏洞的問題,在此大背景下,本文對DeFi智能合約安全漏洞的相關法律問題進行研究。

01

DeFi與DeFi產品的定義  

DeFi,即Decentralized Finance,被稱作分布式金融或者去中心化金融,去中心化交易所、網絡借貸平臺、保險平臺、去中心化錢包等都是屬於DeFi範疇。DeFi產品主要是散布於世界各地的人以點對點的方式參與金融活動的平臺,如消費、借款、貸款、交易,甚至賭博,在不依賴銀行和政府等中介機構下完成,因此備受去中心化擁護者的追捧,尤其是去年到今年,它一度成為活躍於金融領域的關鍵力量。DeFi產品在區塊鏈平臺上運作,大量且頻繁的交易主要依賴於部署在鏈上智能合約進行自動化處理。比如在以太坊上,數字貨幣的發行和流通、借貸、投票、拍賣等,都使用已有現成的智能合約模塊,當然各種新的智能合約也由程式設計師不停編寫和部署。

02

DeFi智能合約的安全漏洞  

DeFi 智能合約的本質就是計算機代碼,主要部署於區塊鏈上,在交易達成預設條件時自動執行。DeFi 智能合約在自動化執行、效率等方面具備了其他執行方式所不可比擬的優越性。但是,基於其計算機代碼的本質,DeFi 智能合約也存在一定的局限性,主要有代碼漏洞與執行的問題。

(一)代碼漏洞問題

由於計算機代碼人類編寫,就不可避免存在漏洞。這些漏洞,就會成為黑客攻擊的切入點,用戶財產損失和信息洩露的問題就會發生。

(二)執行問題

DeFi 智能合約與普通合同最大的區別是其能夠做到不可逆地自動執行。憑藉區塊鏈不易篡改的技術特點,部署於區塊鏈的智能合約所儲存和運行的方式也是不易修改的。但是這一優點也帶來了一些弊端:一方面,自動執行增加了相較於傳統合同雙方當事人更高的違約成本;另一方面,一旦存在安全漏洞,智能合約的漏洞修補將會非常困難。即使有管轄權的司法機關作出有效的裁決或判決,由於部署在區塊鏈的智能合約由區塊鏈自動運行,法院或其他第三方也無法強制修改。換言之,區塊鏈的智能合約,其數據被分布記載於全鏈節點,如若修改某一個節點上的數據,是無法實現全鏈記錄的變動的,無異於隔靴止癢。

(三)DeFi智能合約的安全審計分析

如前文所述,DeFi智能合約存在安全漏洞問題有很大的概率,此時,一些區塊鏈安全服務商隨及推出了智能合約安全審計服務。在智能合約上線運行前,由區塊鏈安全服務商對於智能合約的安全性進行審查,評估是否存在代碼安全漏洞問題,並出具報告。

實際上智能合約的安全審計作用有多大呢?

1. 從技術角度來說。專業區塊鏈安全服務商對於智能合約的安全審計確實能夠發現安全漏洞,但實際具體發現數量多少與改進建議主要取決於審計人員的專業水平和時間的充裕度。應當注意到,安全審計人員是不可能在很短的時間內窮盡發現所有漏洞的。

2.從成本角度來說。聘請區塊鏈安全服務商提供安全審計業務,必然會增加項目的經濟成本,最終轉嫁給用戶。但是DeFi產品的最大的優越性就是成本低,這種額外的成本項目方與用戶是否願意承擔呢?再者安全審計後,修改安全漏洞必然推遲項目上線,諸如DeFi閃電貸這種系列產品,唯快不破。項目方不一定願意修改全部已知漏洞。一些DeFi產品只是在修改了部分安全漏洞後為了趕時間匆忙上線。。

可見,在唯快不破、低成本的DeFi產品界,DeFi智能合約的安全審計業務並不能發揮出其真正的作用。下期文章,筆者與大家分享DeFi智能合約的安全漏洞法律責任與救濟措施。

全球區塊鏈合規聯盟

「設立區塊鏈行業標準,加強行業自律,共同維護良好的市場秩序和行業環境,為行業健康發展提供理論指導,推動行業健康可持續發展」。

全球區塊鏈合規聯盟提供相關企業業務合規資質服務,歡迎通過郵箱service@gbcuf.com或公眾號BC_ComplianceUnion與我們進行更詳細的業務溝通。

聲明:本文由入駐金色財經的作者撰寫,觀點僅代表作者本人,絕不代表金色財經贊同其觀點或證實其描述。

提示:投資有風險,入市須謹慎。本資訊不作為投資理財建議。

相關焦點

  • DeFi 挖礦:Balancer遭閃電貸攻擊與金融模型漏洞
    Balancer: 閃電貸+恆定積損失50萬美金2020年6月29日,Balancer遭受閃電貸攻擊,Balancer是使用恆定積進行的AMM市場,池子中的Assets在遵守恆定積的前提下可按池子當時的利率進行交換,本次閃電貸攻擊利用了該原理,將一種Asset掏空後,用另一種Assets以很低的價格獲取,由此獲利接近50萬美金。
  • 為什麼DeFi「閃電貸」攻擊者不斷歸還部分利潤?
    為了理解這種行為背後的原因,我們需要先知道閃電貸究竟是怎麼回事。什麼是閃電貸?在閃電貸的案例中,攻擊者從 DeFi 協議中接收貸款,花費貸款資金,並在同一智能合約交易中全部歸還貸款。由於貸款的全部過程發生在同一筆智能合約交易中,因此不需要抵押品。
  • 金色硬核 | 一文讀懂DeFi上的閃電貸(附如何利用閃電貸套利)
    正如bZx所說,這種「攻擊」是所見過的最複雜的攻擊之一,只有對每種DeFi協議及其各種工具有非常深入的了解才有可能,傳統金融體系中沒有類似的東西。什麼是閃電貸(flashloans)?怎麼利用閃電貸(flashloans)來套利?本期金色硬核(Hardcore)綜合編譯AbitrageDAO和PeckShield最早和最新的閃電貸套利研究。
  • 紅岸基金任駿菲:DeFi作為早期賽道還有很多值得改進空間和機會
    會上紅岸基金創始人任駿菲在被問及DeFi道路上哪些細分領域有長期布局的機會時,表示「目前預言機的商業模式,通過抵押提供可信數據,質押夯實幣價,提高作惡成本,網絡更安全,吸引更多智能合約參與和更多數據需求,這樣的良性閉環還沒有徹底形成,有可塑空間。DeFi作為早期賽道還有很多值得改進的空間和機會。」
  • 紅岸基金任駿菲:DeFi作為早期賽道有很多值得改進的空間和機會
    會上紅岸基金創始人任駿菲在被問及DeFi道路上哪些細分領域有長期布局的機會時,表示「目前預言機的商業模式,通過抵押提供可信數據,質押夯實幣價,提高作惡成本,網絡更安全,吸引更多智能合約參與和更多數據需求,這樣的良性閉環還沒有徹底形成,有可塑空間。DeFi作為早期賽道還有很多值得改進的空間和機會。」
  • 詳解:DeFi學習筆記——DeFi真的能吞噬金融世界嗎?
    而在區塊鏈世界的去中心化借貸,是通過稱為智能合約的計算機協議來實現的,其允許在沒有第三方的情況下進行可信交易,用戶的資金存放到以太坊區塊鏈上的智能合約,並由其負責管理。儘管這個願景聽起來非常的美好,但要真正去實現,實際並沒有那麼容易。
  • 一文帶你玩轉DeFi 宇宙最全的Defi攻略來了
    去中心化,無需任何中介搭建信任關係,直接通過智能合約完成交易b. 數據上鏈,公開透明,任何人都有訪問權限c. 協議開源,任何人都可以在原有協議上合作構建新的金融產品,並在網絡效應下加速金融創新3.相比傳統的中心化金融系統,DeFi也具有幾大劣勢:d. 相對小眾,準入門檻和教育成本較高e.
  • 使用Multicall 加速 DeFi查詢調用
    如果我們想同時獲取大量數據,用來在儀錶板上顯示或進行分析,我們必須調用合約的不同函數或者用不同參數調用相同函數, 這些都可能會導致查詢時間很長。另外,當我們使用像Infura[4]這樣的節點提供商,也很容易達到發送請求數量的限額。什麼是 Multicall?Multicall[5]是一個 npm 軟體包,可將多個 HTTP 調用分為一個組。
  • 圖解DeFi 閃電貸攻防:以 bZx 事件為例
    小編:記得關注哦來源:慢霧科技原文標題:圖解 DeFi 閃電貸攻防:以 bZx 事件為例慢霧科技高級安全工程師 yudan 和 Kong 認為,DeFi 安全形勢嚴峻,安全審計是目前保護項目安全最高性價比的方式。
  • 閃電貸與預言機防篡改性的重要意義
    閃電貸可以讓任何人在單筆交易的時間期限內充分募集到資金,盤活了價值幾億美元的流動性。這為套利交易、抵押品互換和槓桿交易打開了大門,但同時也產生了一定風險,特別由於是DeFi生態仍在發展初期,因此各個DeFi協議的去中心化程度和安全性都有所不同。智能合約開發者應該充分了解這些風險,這樣才能為用戶開發出更加穩健的應用。
  • DeFi項目頻頻遭受損失,bZx最受黑客「青睞」?|得得精譯
    假設用戶在ETH價格為500美元時購買了一份期權合約,那麼該合約能夠保證用戶在某個時間窗口內以500 DAI的價格出售ETH。倘若ETH價格跌至400美元,用戶可以安全地執行合約,並以500 DAI進行平倉。 然而4月25日,在該協議剛剛上線兩天後,Hegic發布了一個警告稱,由於其智能合約中存在一個漏洞,導致未執行合約中的資金被凍結。
  • 阿貝爾ABEL沒有大動作豈敢驚動您,上所前首款DeFi應用ABEL BANK...
    ABEL BANK是基於Abel Network發布的去中心化數字銀行,支持數字資產活期存借,隨存隨取,隨借隨還,存借款利率通過智能合約自動調節。市場分析人士指出,ABEL在今年5月28日用戶已經突破百萬,目前用戶在200萬左右,如今ABEL攜百萬用戶入局DeFi,為當前繁榮的DeFi市場帶來怎樣的效應,值得持續關注。
  • 2020攻擊事件總結
    而區塊鏈領域內,智能合約及相關節點的安全率只有89%,且損失往往處於600萬至6,000萬人民幣之間,這是需要幾個大卡車都運不下的天價資產。一次來自於區塊鏈領域的損失資產,也許就是傳統網絡損失資產的千倍以上。因此,CertiK安全專家盤點了2020年較為典型的23個區塊鏈項目,分析了其受攻擊的原因和黑客使用的攻擊方式,以作為業內安全事故警示的參考。
  • DeFi普惠金融—Cosmos生態項目ANATHA
    相比之下,在DeFi世界中,無需央行,眾多的數字貨幣均可以作為支付手段,我們熟悉的BTC、ETH、USDT均可;區塊鏈有智能合約,Code is law,所有的法務及監管角色都可以用智能合約代替,更不用合同,只需把智能合約部署好,到期就自動執行,消除糾紛。
  • 火星人許子敬:如何正確的參與 DeFi 項目投資?
    參與defi挖礦可以獲取高額的收益,但是也存在巨大的風險。因此了解風險領域規避風險並保持安全很重要。這裡有7個小貼士,將幫助你做出更好的收益率耕作決策:1. 高APY(年化收益率)不一定意味著高收益:人們首先最喜歡的就是高APY。許多項目提供的初始APY都超過1000%。這似乎是一種快速增加你資金的方式。
  • 波場TRON DeFi挖礦項目整理
    持幣地址數:98,491審計機構:慢霧科技項目簡介:太陽幣SUN是一個專注于波場DeFi建設的社會實驗,其定位是波場的比特幣,完全依靠社區與開源的智能合約。:成都鏈安項目簡介:陽光牧場跟上時代,共建波場生態,為TRON的DEFI 貢獻自己的力量,打造TRON中的SUSHI 零 VC 投資,零私募投資,零預挖,零團隊預留,完全依靠社區與開源的智能合約。
  • 歐科雲鏈OKLink行業觀察:遭黑客兩連擊,DeFi生態鳴起喪鐘還是進入...
    北京時間4 月 19 日上午 8 點 45 分,國產 DeFi 借貸協議 Lendf.Me 被曝遭受黑客攻擊。這是繼 4 月 18 日 Uniswap 被黑客攻擊損失 1278 枚 ETH(價值約 22 萬美元)之後,DeFi生態出現的又一重大安全事件 。最新動向兩起安全事件接連爆發後,項目方、區塊鏈安全公司紛紛跟進。
  • 以太坊2.0存款合約地址存入105000 ETH,超過25%被3名大鯨持有
    以太坊2.0存款合約地址存入105000 ETH,超過25%被3名大鯨持有目前以太坊2.0存款合約地址的105,000 ETH 中,超過25%的存款來自於3名大鯨持有者。根據Bison Trails協議專家Viktor Bunin的分析,其中,一名ETH大鯨於11月14日存入17,088 ETH,這些ETH為2017年牛市期間以300美元的價格購入,並在不同的地址持有了三年以上。另一名ETH大鯨則存入5,504 ETH,這是四年前開始囤積的 ETH。還有一個 ETH大鯨存入5,024 ETH,這些是持有三年的 ETH,該名大鯨還持有另外1.5 萬 ETH。
  • 起底Compounder.finance惡性DeFi跑路案,項目方收割超1200萬美元
    攻擊分析這次攻擊事件的罪魁禍首,是項目方在完成審計後在其代碼庫中添加了7個惡意策略合約。策略合約中的非惡意withdraw函數如下所示:注意,我們有了一些檢查,比如:這些檢查在7份惡意策略合約中是缺失的。
  • MMMDeFi(MDF)智能合約到底是什麼
    DeFi是區塊鏈智能合約領域中誕生的新詞彙Decentralized Financial的簡寫。 去中心化是區塊鏈智能合約思想和精神的全面整合,這是人類渴望的最高生命形式。 MMMDefi(MDF)智能合約是原MMM運營團隊整合多國技術人才及業內精英,按照馬夫羅季先生思想和積累多年的互助理論基礎+數學流動運算邏輯實際推演+去中心化智能合約技術支持+世界廣泛認可的文化思想等集成的。經過13個月的精心籌備從2019年7月開始設計與不斷地完善、反覆精算推演內測與修改。