Lagunas en el código, piratas informáticos, volatilidad del mercado, arbitrajistas: el paradigma de la gestión de riesgos de DeFi

DeFi se refiere a un protocolo financiero descentralizado implementado con contratos inteligentes, que incluye transacciones de activos, préstamos, seguros, varios derivados, etc.; a excepción de los servicios de crédito, todos los servicios financieros en realidad se pueden realizar a través de protocolos DeFi. Estos acuerdos están descentralizados y se ejecutan automáticamente, y no existe una organización de terceros para administrarlos y mantenerlos, por lo que el control de riesgos de los contratos se ha convertido en un problema difícil en la industria.

DeFi tiene atributos tanto financieros como tecnológicos, e incluye principalmente los siguientes riesgos:

1. Riesgo de código. Incluyendo el riesgo de código subyacente de Ethereum, el riesgo de código de contrato inteligente, el riesgo de código de billetera, etc. Por ejemplo, el famoso incidente de DAO en ese entonces, el reciente ataque de vulnerabilidad de Uniswap y varios incidentes de robo de billetera son causados ​​​​por riesgos de código.

2. Riesgo empresarial. La razón principal es que existen lagunas en el proceso de diseño empresarial, que pueden ser atacadas o manipuladas razonablemente. Por ejemplo, cuando FOMO3D fue bloqueado y atacado, o dZx usó por error la máquina del oráculo Uniswap que no era resistente a los ataques, y el precio se suprimió razonablemente para robar activos, a estas personas se les llama arbitrajistas. Los arbitrajistas pueden ser tanto malos como buenos para un proyecto DeFi.

Solana ha agregado el código de idioma de Move al repositorio de Github: Golden Financial News, Solana ha agregado el código de idioma de Move al repositorio de Github para la compatibilidad con LLVM IR. Se informa que varias nuevas empresas en Meta están utilizando Move para construir nuevas cadenas de bloques. [2022/9/3 13:06:41]

3. Riesgo de volatilidad del mercado. El diseño de DeFi carece de algunas variables de afrontamiento, lo que lleva a la ocurrencia de situaciones extremas en el mercado. Por ejemplo, el rendimiento de MakerDao en 312 se debe principalmente al riesgo de volatilidad extrema del mercado.

4. Riesgo de Oracle. La máquina Oracle proporciona variables globales, que son la base de la mayoría de las DeFi. Si la máquina Oracle es atacada o apagada, la DeFi descendente colapsará. Creemos que la máquina Oracle se convertirá en la infraestructura más importante de DeFi en el futuro, y la máquina Oracle con cualquier riesgo de centralización eventualmente se extinguirá.

Dinámica | Bitmain: La noticia relevante sobre el código de cotización de Bitmain no es cierta: el automedio "Wu Shuo Blockchain" dijo hoy en Weibo que después de la cotización de Canaan, ¿cuándo se cotizará Bitmain, cuya participación de mercado es varias veces la de Canaan? atención. Hoy, Xueqiu lanzó el código temporal BTDL de Bitmain, mientras que el grupo WeChat rumoreaba que el código BTC apareció repentinamente en la lista, lo cual es una tontería. El responsable de Bitmain respondió que la noticia no era cierta. [2019/11/26]

5. Riesgo de "Proxy tecnológico". Se refiere principalmente a usuarios comunes que no están familiarizados con los contratos inteligentes y las cadenas de bloques, y utilizan las herramientas interactivas "convenientes" desarrolladas por el equipo centralizado. Esta herramienta en sí puede ser riesgosa.

Noticias | Schnorr puede convertirse en el mayor cambio de código de Bitcoin desde SegWit: noticias del 16 de julio, Schnorr puede convertirse en el mayor cambio de código de Bitcoin desde SegWit Intensa competencia en la comunidad de divisas. A nivel técnico, el soporte de Schnorr brindará a los usuarios de bitcoin una nueva forma de generar las claves que necesitan para almacenar y enviar bitcoin. Aparte de eso, también aborda la privacidad y la escalabilidad. [2018/7/16]

Los riesgos anteriores deben tenerse en cuenta al diseñar cualquier proyecto DeFi. El proceso completo no es solo un recordatorio en el documento, sino que también requiere algunos métodos de gestión de riesgos. La mayoría de estos métodos se llevan a cabo de manera descentralizada, y una pequeña parte se completa en forma de gobernanza comunitaria (principalmente en referencia a la gobernanza en cadena). Aquí proponemos un marco de gestión de riesgos de DeFi, que se divide principalmente en antes del evento, durante el evento y después del evento:

De antemano: es principalmente para verificar formalmente el código del contrato, incluida la aclaración de los límites de los métodos, recursos e incluso las instrucciones utilizadas por el contrato, así como la correlación y el impacto de estos métodos, instrucciones y recursos en el proceso de combinación. No existe un método probado o no Encuentre la combinación límite y utilícela con resolución. Este no es el pensamiento de las pruebas tradicionales de desarrollo de software, este es un concepto cercano a la argumentación matemática. El buen desarrollo de contratos debe basarse en una combinación de métodos que se hayan demostrado.

En el evento: En el evento es principalmente el diseño de apagado y el diseño de activación anormal, es decir, el contrato puede identificar e intervenir en el comportamiento del ataque, incluido el diseño de apagado automático y el diseño de cierre de gobierno. El disparo anómalo es un control y manejo de fenómenos inesperados durante la operación del contrato, el disparo anómalo es generalmente automático, y algunas variables de gestión de riesgos se corrigen a través del disparo anómalo. Puede consultar el coeficiente beta y la configuración de ataque antibloqueo en el sistema Oracle NEST, que es la primera práctica en la industria que considera el tiempo de inactividad y la activación anormal.

Posterior al evento: la gestión de riesgos posterior al evento incluye varias partes. Primero, hay lagunas en el código que deben corregirse, generalmente a través de la gobernanza en cadena, es decir, la gobernanza DAO. La segunda es que los activos de gobierno en sí mismos son atacados, ¡y se requiere la bifurcación del contrato en este momento! Este es un punto ciego que la industria ignora. La segunda es asegurar los posibles riesgos del contrato a través del mecanismo de seguro, reduciendo así las pérdidas. Finalmente, la comunidad puede cooperar con varias organizaciones para rastrear pérdidas a través del seguimiento de datos en la cadena. Con respecto a la gobernanza en cadena y las bifurcaciones de contratos, puede consultar el diseño de NEST, que es una innovación.

Lo anterior es el marco de nuestro sistema para la seguridad de DeFi, solo para su referencia. La comprensión actual de la seguridad en la industria es demasiado temprana y demasiado tradicional; si no puede cambiar su forma de pensar e introducir nuevas ideas, como límites, integridad, consistencia, verificación formal, apagado, activación de excepciones, gobernanza y bifurcaciones, es imposible adaptarse. al desarrollo futuro.

Autor: NEST Enthusiast_Nine Chapters Tianwen

Tags：

Bitcoin