新闻开发人员企业区块链解释事件和会议新闻时事通讯
订阅我们的新闻.
电子邮件地址
我们尊重您的隐私
主页博客Codefi
通讯5:关于DeFi安全性的想法
妮可·阿达姆(Nicole Adarme)2020年5月12日发布于2020年5月12日
你好朋友,
希望这封电子邮件能使您感觉良好,并适应(或适应)我们的新行为方式。如果您在上周参加了第一次虚拟的以太坊峰会,您会听到很多关于DeFi在以太坊上的重要性以及随着以太坊2.0的发布对网络的未来的了解。因此,对于本月的新闻通讯,我们认为我们将带给您有关这两个方面的最新信息.
DeFi应用程序中的安全性问题
对于以太坊DeFi生态系统来说,2020年是关键的一年。除了庆祝超过10亿美元的DeFi交易额和重要的平台里程碑外,整个行业在新的和已建立的DeFi应用程序中也经常发生次要和重大安全事件。 2月和3月的bZx和Maker事件已经得到了很好的报道,但是我们从Uniswap和Lendf.me协议的最新事件中获取了一些数据和见解,特别是围绕ERC-777令牌标准的妥协,该漏洞使黑客能够4月18日流失了价值2500万美元的加密货币 & 19日.
imBTC令牌是ERC-777令牌,由 Tokenlon, 在0x协议上运行的DEX。在Uniswap和Lendf.me事件中,黑客都利用了由于ERC-777令牌标准与DeFi协议之间不兼容而引起的重入漏洞。广义上讲,重新进入漏洞使黑客能够从本质上重新花费imBTC的初始存款,从而有效地为他们提供了无限的资本来进行交易或借贷。.
Uniswap:
攻击之所以成为可能,是因为Uniswap V1在与ERC-777标准进行交互时没有适当的措施来防止这种类型的重入攻击。黑客总共损失了约30万美元的imBTC和ETH(约14.1万美元ETH +约16万美元的imBTC).
有趣的是,Uniswap或整个加密社区都不知道这种攻击媒介。在Uniswap攻击发生前将近整整一年,ConsenSys Diligence –由ConsenSys提供的安全审核服务– 确定并发布 ERC-777再入攻击向量。 Uniswap制定了解决攻击媒介的计划,如其 3月23日的博文 关于Uniswap V2的功能.
Lendf.me
Lendf.me事件利用了借出协议与ERC-777令牌标准之间不完全兼容所提供的相同的重入漏洞,但取得了更大的成功。在4月19日的攻击中,Lendf.me的资金中近100%(超过2400万美元)被耗尽.
与Uniswap事件不同,被盗资金不仅限于ETH和imBTC。尽管大部分失窃资金是WETH(1,080万美元),但USDT和HBTC还是补足了970万美元,其次是至少16个其他代币。下图显示了导致4月19日攻击的Lendf.me上受损资金的资产分布和每月代币数量.
在意外的事件中,Lendf.me黑客将被盗的资金返还给协议,据称是因为它们 意外暴露了IP地址 在袭击中。下面的Sankey图显示了黑客入侵后的资金流向。资金离开Lendf.me合同(绿色),通过处理程序合同(灰色),再到达黑客的地址(黑色)。公开IP后,黑客将资金转移回Lendf.me管理员地址,该地址随后又将资金转移到恢复地址(均为紫色)。该图的最右边(该图流入许多单独的资金流)标志着Lendf.me的时刻。 退还资金 给个人用户.
这对DeFi意味着什么?
尽管出现了有关DeFi协议的安全事件浪潮,但该行业仍然压倒性地 积极的 关于DeFi的机遇及其为以太坊带来的动力。客观的DeFi统计数据支持积极情绪。为了应对今年的安全事件以及从3月开始的巨大市场压力,锁定的ETH已从2月份的历史高位下降。然而,这一水平仅下降至2019年12月。这些统计数据,即使面对备受瞩目的安全事件,也表明,整个DeFi生态系统已经超过了“无回报”的地步。对新兴的分散式金融范式的总体承诺仍然坚定.
在这些2020年安全事件期间,以太坊社区将注意力集中在预防和应对未来事件的方法上。一般来说,在开放技术上发生的所有这些黑客攻击都有其价值主张。不需要特殊的许可或访问,第三方安全审核员和dapp开发人员便能够自由地分析事件,警告其他弱点并为将来的DeFi应用程序提出修复程序。这些事件揭示了开放软件的合作精神,并为建立更安全的生态系统奠定了基础。特别是:
DeFi监控工具: 利用以太坊区块链的开放性,公众可获得大量与DeFi相关的监控工具,以更自信地与金融应用程序进行交互. Codefi检查 是一个开源工具,用于汇总有关DeFi协议的关键安全信息,包括公共审核,管理员密钥详细信息,oracle依赖项和链上活动。 Codefi的 DeFi分数 是平台风险的价值,可以在各种协议之间进行比较,以便在DeFi应用程序之间进行选择时更好地告知用户决策.
安全透明性: Dapp对确定的安全漏洞越来越开放。 Uniswap在他们的产品中承认了ERC-777问题 2020年3月的博客文章. 来自交易协议Hegic的开发人员 发布了公开的“事后调查” 关于她的代码中的错误,导致一些资金无法使用。 Exchange协议Loopring识别了一个前端漏洞,暂停了交换, 向社区宣布, 并努力解决了这个问题。这种透明性对于在新用户和现有用户之间建立信任以及扩展更安全的DeFi协议网络至关重要.
DeFi保险: 基于区块链的保险已经存在了一段时间,但在过去的几个月中已成为焦点. Nexus Mutual –一位区块链保险业的资深人士–最近 Opyn 在邻近的DeFi行业中已经(重新)成为头号人物。无论是新兴技术还是现有技术,任何技术领域都可能存在安全漏洞。与这些技术并存的保护措施越多,则更容易被广泛采用.
快速Codefi热门歌曲
即将举行的网络研讨会
CBDC和稳定币
2020年5月14日
登记
即将举行的网络研讨会
抵押状态
2020年5月19日
登记
公告内容
-
时事通讯和Codefi的新手? 退房 这个关于ConsenSys Codefi的解释器视频.
-
ConsenSys Codefi反馈:TLDR;我们想去 会更好地了解您,这需要3分钟.
-
Codefi数据API: 借助数据API,开发人员,投资者,企业和DeFi发烧友现在可以以易于集成的格式检索风险数据,从而更好地支持其项目。取得联系以开始使用API.
-
DeFi率: CodeFi推出新的DeFi借贷风险管理工具:检查. 上个月发布的Codefi Inspect是一个开源项目,致力于DeFi中的协议透明性,跟踪所有公共审核,管理员密钥详细信息,oracle依赖项和链上活动.
-
期待以太坊2.0? Codefi Activate创建了一个Eth2计算器,以帮助ETH持有者开始确定他们从网络赌注中可以预期获得的奖励. 计算您的潜在ETH奖励.
-
Codefi Asset的报告关于在COVID-19时代过渡到数字学习时使用区块链为市政教育系统提供支持.
-
ConsenSys Codefi的最新报告检查了以太坊持有人在期待以太坊2.0推出和以太坊入股的机会时的偏好,期望和痛点。阅读Eth2权益生态系统报告.
Codefi Spotlight:
以太坊2.0抵押生态系统报告
2020年推出的以太坊2.0(Eth2)代表了一个关键且人们期待已久的网络里程碑。网络的成功启动将要求ETH持有人选择将其ETH存入新的权益证明网络中。为了了解打算(或不打算)以太坊2.0股权的ETH持有者的动机,偏好和行为,Codefi Activate调查了约300个ETH持有者。这些结论被收集到以太坊2.0权益生态系统报告中.
在所有受访者中,超过65%的人计划购买以太坊2.0。只有17%的人尚未决定(14%)或已决定不入股(〜3%)。在计划进行抵押的受访者中,计划运行自己的验证程序节点和计划使用第三方抵押服务的比例大致为50/50。但是,这两个部门都计划股权约占其自己的ETH的50%.
ETH持有人参与以太坊2.0网络的一个主要诱因是以ETH形式进行区块奖励的潜力。当被问及多少回报率可以验证他们参与Eth2时,计划运行自己的验证器的受访者平均需要(股权ETH)的5.8%回报。但是,那些计划使用第三方服务的人将需要更高的奖励-平均为7.6%。 2%的差异可能来自那些计划使用第三方的人,他们预计这些服务将收取使用费。有趣的是,目前还不确定是否要下注的人将需要更高的奖励才能说服他们开始下注:9.4%。最初的以太坊2.0奖励 可能高达20%, 有很大的潜力吸引这些尚未决定的ETH持有者.
Codefi激活以太坊2.0权益报告的其余部分详细说明了这些ETH持有者细分的偏好,并确定了Eth2服务和客户提供商在向消费者提供产品时应考虑的关键要点。特别值得注意的是,继续需要围绕以太坊2.0的机制,其安全性和经济诱因进行教育。不到35%的受访者表示对以太坊2.0经济学有“健全的”理解.
下载Eth 2.0权益生态系统报告
为了促进教育和理解,ConsenSys启动了以太坊2.0知识库,以不断为技术和非技术受众提供最新的以太坊2.0信息。.
访问Eth 2.0知识库
结束语
感谢您关注本新闻通讯。我们希望您有机会在过去的一周中收看第一场虚拟的Ethereal峰会。如果不是(或者您只是想再次观看您的收藏夹),请在Ethereum和区块链生态系统(包括Codefi)上查看上传的演讲和面板。 空灵的YouTube. 在此期间,请关注我们 推特, 在我们的网站上了解更多信息,并让我们知道您的想法。无论您是想与我们合作,为我们服务还是只想打个招呼,请随时与我们联系.
转发了此消息? 注册 每月更新.
直到下一次,
ConsenSys Codefi团队
订阅我们的时事通讯以获取最新的以太坊新闻,企业解决方案,开发人员资源等信息。