DeFi Score | bZx 事件报告

时间:2021-07-04 18:27来源:www.elfgpf.com作者:未知点击:

导读:
扫描关注公众号

自审核以来,未报告紧急漏洞

除去上述对去中心化的金融Score改进和对某些特定原因的网站权重进行重新分配外,平台还将会在下面的几个月有其他的改变:

假如类似事件第三发生,大家应该怎么样提醒用户?

在下面的几周中,大家将推出一系列针对去中心化的金融Score模型的更改,以更好的解决协议安全性和其他攻击媒介的问题。因为这部分更改基于现有风险框架,因此大家会第一将其传达给社区,然后再投入实践之中。

改进去中心化的金融评分:更严格的规则和更多需要

该模型本身没办法辨别出黑客或操纵行为,但当用户从bZx平台上提取资金时,它对很多资金外逃作出了反应。这种“银行挤兑”现象会致使评分降低,资金池中的流动性降低而借助率暴涨。

主网normalizedTime没漏洞

近期针对协议的攻击为更好地评估风险提供了机会,ConsenSysCodefi团队将致力于促进该范围的透明度和风险管理,加速去中心化的金融生态系统的进步。

有赏金计划和信息安全披露

去中心化的金融Score在bZx事件中表现怎么样?

为了使全球金融服务将逐步转向开源可编程区块链,ConsenSysCodefi正在构建一套模块,以使其具备直接关系的顾客和机构都可以更安全地进行这种过渡。为此,大家推出一种评估去中心化的金融借贷代码和财务风险开源解决方法去中心化的金融Score,期望借助该解决方法提升透明度,并提高外面对去中心化的金融贷款市场有关技术和财务风险理解。

现在大家每六个小时计算一次去中心化的金融评分,这对于大家的每天评分跟踪器譬如去中心化的金融ScoreTwitterBot而言是很有用的。

近期12个月进行了一次审核,或者自上次审核以来对代码进行了最少量的更改

审核结果需要公开发布

自该风险评估模型发布后的六个月以来,这部分分数首次进行这样显著地调整。并且这也是单个事件首次产生这样重大的影响。

对于大家而言,去中心化的金融Score需要维持社区主导,这一点尤为重要。尽管内部团队可以提出变更建议,但最后还是要由社区来确定,评估并最后批准评分框架的任何重大更新。

去中心化的金融Score会依据协议的代码是不是由信誉好的安全团队审核来给出评分。但迄今为止,在该指标上一直都是二进制的,即“是”或“否”。它不会考虑实行审核的时间,并且无需对升级后的主要协议重新进行审核。另外,并不是所有审查都是平等的,且对智能合约进行多方面的审核都能够帮助确定底层协议的安全性。这部分均是大家现在尚未考虑到的细微之处。

对智能合约审核拟定更严格的规则

大家期望经济审核将成为任何去中心化的金融协议安全计划的规范组成部分。大家应付协议进行市场风险审核,并应进行大规模重压测试,以评估其用户的经济安全性。Gauntlet对Compound协议的详细风险评估则是该类审核的一个实例。

你可能已经知道过bZx平台上的两次“闪电贷”攻击,导致的损失约100万USD。去中心化的金融是一个仍在日趋成熟和进步的新兴行业,像如此的漏洞借助是生态系统进步必不可少的进步难点,但最后将使其变得更强大。一个没问题的行业就像是一所没课程的的学校一样,可见这部分问题对于处在起步阶段的行业特别具备价值。打造严格且适应性强的步骤比首次就完美无缺更为要紧,并且上周的事件促进ConsenSysCodefi团队检查和改进去中心化的金融评分办法。

这件事件表明,去中心化的金融Score风险评估模型的健全仍需要投入一些工作,以更准确地评估和传达去中心化的金融风险。在本文中,大家将研究怎么样改进有关模型。

但第一,可以先看一下在攻击发生后,目前的模型是怎么样调整bZx评分的,大家为其反应成效感到自豪,当然也意识到大家会有方法继续改进它。

假如没的话,大家在评估模型中没考虑到什么?

比如,若该评分系统注意到上次对智能合约的审查是2018年进行的,它就会大大减少该项的评分。

更频繁的发布评分

第一的bZx事件是因为智能合约的漏洞才发生的,该漏洞则借助了代码检查失败的缺点。然而,技术漏洞仅表示了协议安全性的一个方面,正如大家在第二次bZx事件中所看到的那样,攻击者可以在不借助任何漏洞的状况下操纵市场。这次攻击致使NexusMutual支付了其初次的赎回请求。

后续步骤:其他升级,更高的透明度和API的推出

现在,去中心化的金融ScoreAPI处于私人Beta版。

去中心化的金融Score风险评估模型是不是有能力做到事前预测?

在Alpha版本中,这种发布频率并没有那些问题。但自发布以来的过去五个月中,大家看到大家的办法和数据对于愈加多的人和项目来讲是有价值的,并且对它们的需要也愈加大。为了更好地服务于这个用户社区,大家3月份的目的是每10分钟计算一次评分。大家的长期目的是使这部分分数尽量接近实时。

大家已经确定了一些大家觉得可以改变去中心化的金融评分系统的更新。

在去中心化的金融范围中,“时间锁”即为协议更变后的最短延迟时间,这是宣布协议升级与其实质推行之间的强制性“等待阶段”。时间锁定是一件好事,它可以通过允许协议用户在进行协议更改之前清理仓位来减少风险。因为大家很重视去中心化和操作安全,当协议在合约中启动时间锁时,会发放奖励积分。

经济安全审核的需要

刚开始的改进手段:减少bZx的中心化评分

下个月,大家将开始推出去中心化的金融ScoreAPI的初始公开版本,以便开发职员可以以编程方法检索各个评分和其他数据点,以集成到其他系统中或呈现给用户。新的API还包括正常运行时间保证,报告与一系列附加协议和数据池。

改变大家的API商品

整个社区的参与和批准是大家团队工作的基本原则,但大家同样认识到这部分改进是时间敏锐的,加入社区批准这一环节也只能促进最后的发行。因此,大家承诺将尽所有努力与社区维持相同的节奏。

大家对获得审核的有关评分需要的建议如下:

伴随API的发行,大家还将开始在链上推送去中心化的金融Score数据。这将使智能合约可以依据去中心化的金融Score生成的风险数据创建自动买卖。

bZx闪电贷事件

另一个代表性不强的攻击媒介是对Oracle的操纵。现在,去中心化的金融Score解决了Oracle的风险,但也仅涉及到去中心化。目前的中心化评分不是集中在是不是可操作价格数据出处,而是集中在单个实体能否轻松地操纵价格本身上。本质上是对Oracle的中心化程度进行评分,而这并不可以讲解针对于其可操纵性的其它不有关的度量。

重新审视用Oracle的办法

也就是说,针对于取消时间锁的行为而言,大家的评分系统只能对小事件起用途而不可以预见危机的发生。因此,这其中还有不少工作要做,以使评分变得愈加稳健,透明且对智能合约的风险愈加敏锐。

至少有4个工程周专门用于审核

因此去中心化的金融Score在一定量上发挥了用途,但它也引出了其他问题:

尽管已经有一些同行提出了可达成的解决方案,但有关操纵Oracle的研究仍然是一个相当新的范围。到现在为止,UMA去中心化的“证明诚实”Oracle设计好像已经为以后可抗操纵Oracle提供了设置标准。同样值得一提的是,Uniswap的v2推行可能包括对Oracle弹性的改进,并且有传言称将会引进价格移动平均线,从而提升Oracle价格操作的本钱。

大家承认,需要做更多的研究来更好地知道针对Oracle的操纵与怎么样评估风险,这是ConsenSysCodefi团队后续一直要做的事情。

将评分置于链上

到现在为止,大家提出了一个更稳健和细微的框架,以反映智能合同审核的每个方面,从而更好,更透明的对合同进行评估。大家觉得这部分新指南将更好地说明去中心化的金融协议应怎么样处置安全性问题。

2月18日,bZx用其管理员密钥从其智能合约中去除去时间锁,但此操作促进系统自动地将其协议管理评分从2更改为1,从而致使其所有验证池的评分降低。

bZx事件表明,开源风险框架对去中心化的金融的增长至关要紧。ConsenSysCodefi团队通过改进评分模型,鼓励社区参与与提供工具和服务来大力进步社区风险意识,并提供商品用户可以在去中心化的金融风险方面做出明智的决定。

相关文章
推荐文章

热门标签

区块链入门教程_区块链技术攻略_区块链资料汇总_币圈网

Copyright © 2002-2021 币圈网 (http://yzycqj.com) 网站地图 TAG标签 备案号:

声明: 本站文章均来自互联网,不代表本站观点 如有异议 请与本站联系 本站为非赢利性网站