使用 DeFi 产品时应该注意该智能合约是否有经过安全审计?治理运作方式是什么样的?以及喂价机制是否有被操纵的可能?

整理:LeftOfCenter

智能合约安全公司 Zeppelin 对去中心化借贷平台 Compound 进行了一次安全审计,该审计报告结果 并未显示 Compound 存在严重的漏洞,但本次安全审计暴露了 DeFi 项目普遍存在的一些风险问题,包括有可能导致平台资产被窃取和操纵的中心化风险,以及不合理的智能合约漏洞可能让矿工产生攻击行为,而清算激励机制在某些情况下可能会使借款人破产的可能性变高。

对于这个锁定资产超过 1 亿美元的第二大 DeFi 项目,这些问题绝对不容小觑。

Compound 安全审计报告:DeFi 项目中心化风险不容忽视

根据 defipulse 数据,截止到目前为止,Compound 锁仓资产约为 1.08 亿美金,是排名第二大的 DeFi 项目,仅次于 Maker。

而且这些风险并不是 Compound 独有的,链闻提醒,使用 DeFi 产品时应该注意该智能合约是否有经过安全审计?治理运作方式是什么样的?以及喂价机制是否有被操纵的可能?

先说中心化风险,主要体现在两个方面:

1. Compound 协议的工作模式是由中心化管理员决定的,这包括出借资产可选项、每一种资产的利率模型、抵押要求等。

该审核报告称,「管理员拥有的这些特权有可能导致冻结市场、审查交易或从系统中窃取所有资产的恶意行为。」

2. Compound 喂价机制是由团队自行控制的,这可能会导致大部分(如果不是全部)资产被窃取。

为了解决以上的两个问题,Compound 团队打算采用更去中心化的治理机制取代现有的管理员角色,并计划按照提议「开发一个开放式预言机系统」取代原来的喂价机制。

此外,此次安全审计还暴露了其他两个问题:

第一个是矿工可能会产生免息的短期贷款攻击。

此次安全审计发现,Compound 的借款人可以在不必支付任何利息的情况下获得小额短期贷款,多次重复此过程,攻击者就可以获取大额、长期无息贷款,并可以将这些贷款再次投资到 Compound 中赚取利息。这种袭击需要消耗大量的 gas 成本,因此,这种攻击仅对矿工来说是有利可图的,因为只有矿工可以实现无需 gas 费的交易。

第二个是清算激励机制可能会使借款人更接近破产。

当借款人抵押资产价值与借入资产价值维持相等时,我们说借款人是有偿付能力的,否则借款人就破产了。 Compound 的清算激励主要是为了激励借款人偿付债务。在大多数情况下,Compound 的清算激励是奏效的,然而,在某些情况下,清算激励机制反而会让 Compound借款人更接近破产。

在 Compound 系统中,随着清算激励和抵押比率变得越来越大,借款人破产的可能性会越高。最糟糕的情形是,折价清算可能导致先前有偿付能力的买家破产。Zeppelin 建议,用户需要审慎选择清算激励抵押比率来减轻这些风险。

所有用户在使用 DeFi 产品时都应该注意,该智能合约是否经过审计?治理运作方式是什么样的?以及喂价机制是否有可能被操纵?

目前,预言机问题似乎是最为棘手的问题,去中心化预言机的替代方案并不多。

Chainlink 是一个越来越受欢迎的去中心化预言机,最大的 DeFi 项目 Maker 则是使用自己的预言机系统。Maker 预言机目前已经成功运行了 2 年多,也是目前为止最为去中心化的,MakerDAO 为智能合约 提供了 14 种不同的独立价格来源,随着多边抵押的 Dai 上线,将会增加价格来源。

来源链接:blog.openzeppelin.com