POS:警惕!备受推崇的 DeFi 正在威胁以太坊安全

作者:HaseebQureshi

翻译:罗远航

来源:区块链前哨

导语:?区块链上的借贷市场已经成为了最流行的去中心化金融应用场景,链上借贷甚至有潜力取代传统的借贷方式。但是事实上,链上的金融借贷服务正对PoS网络中的共识机制产生影响,带来了链上的共识机制安全性的降低。

现如今,区块链上的借贷市场已经成为了最流行的去中心化金融应用场景,

通过MakerDAO、Compound以及dYdX产生的借贷总额已经超过了6亿美金。链上借贷甚至有潜力取代传统的借贷方式。但是事实看起来要更复杂:它同时还对权益证明共识机制产生着威胁。

权益证明是工作量证明的一种替代共识算法,工作量证明是通过哈希算力来保障区块链的正常运行,而权益证明是通过链上抵押的数字资产的数量来保障区块链的共识。去年一年中启动的绝大多数区块链项目都是采用的PoS共识算法,在接下来一年里还会有更多使用PoS机制的区块链项目。

PoS系统的安全是由网络中抵押的数字货币的数量保障的。在大多数的PoS算法中,只要抵押数量中的2/3是由诚实的参与者拥有的,该区块链系统就可以被认作是安全的。

慢雾:警惕ETH新型假充值,已发现在野ETH假充值攻击:经慢雾安全团队监测,已发现存在ETH假充值对交易所攻击的在野利用,慢雾安全团队决定公开修复方案,请交易所或钱包及时排查ETH入账逻辑,必要时联系慢雾安全团队进行检测,防止资金丢失。建议如没有把握成功修复可先临时暂停来自合约地址的充值请求。再进行如下修复操作:1、针对合约ETH充值时,需要判断内联交易中是否有revert的交易,如果存在revert的交易,则拒绝入账。2、采用人工入账的方式处理合约入账,确认充值地址到账后才进行人工入账。同时需要注意,类以太坊的公链币种也可能存在类似的风险。[2020/5/23]

现在试想一下,如果你是一个PoS系统的破坏者,你会怎么做呢?

可以想到有两种攻击手段:一种是,你掌控网络中至少1/3的抵押总量,但是这种方式难以操作并且成本昂贵;另一种方式是,你可以试图说服当前的抵押者们停止抵押,并且将其投放于其他更易于侵入的网络中。

第二种方式理论上听起来很有吸引力,但是你如何才能说服当前抵押者们停止当前的抵押呢?有一个很简单的办法,那就是给他们提供更具有吸引力的收益。

安全公司:警惕EOS账号买卖中通过多签提案回收EOS账号风险:在EOS账号买卖市场中,已知的回收账号的方式是通过在账号卖出前使用该账号发起一笔修改账号权限延时交易,待账号成交后延时交易触发,账号权限被改,达到回收账号的目的。

据慢雾区伙伴“红石”的情报,目前存在一种新型的回收账号攻击。攻击者可事先利用卖出账号发起一笔更改权限的多签提案,并使用卖出账号和攻击者控制的另一个账号同意此提案,由于通过提案与执行提案两个动作可分开执行,此时先不执行提案,等账号卖出后,使用任意账号执行此提案,更改卖出账号权限,即可达到回收账号的目的。[2020/4/9]

PoS能够正常运行的基础是抵押者们能够通过抵押获得激励,也就是说他们只有当抵押的激励奖励足够丰厚时才愿意参与抵押。但是,如果他们可以在其他地方获得更好的回报,那么你应该能够猜到,一个经济上理性的抵押者会放弃当前抵押而将抵押的通证放在能够获得更高回报的地方。如果系统中的通证源源不断的从抵押系统中抽出,整个网络的安全性就会大打折扣。

从字面上理解,链上借贷应用是链上抵押的直接竞争者,也就意味着它在与整个系统协议的安全性做对抗!

人民财评:警惕“虚拟货币是超越金银的避险资产”消费陷阱:受新冠疫情的影响,国际金融市场近期波动巨大。在这种特殊时期,普通民众特别容易受到虚假信息的蛊惑,给违法犯罪分子更多的可乘之机。一些交易平台借机炒作“虚拟货币是超越黄金白银的避险资产”,其实质是投机分子哄消费者参与虚拟货币交易,借以牟利的消费陷阱。投资者要清醒地认识到,虚拟货币交易市场是一个游离在常规监管视线外的彻彻底底的投机市场,市场操纵等违法问题严重。一些虚拟货币交易平台通过将服务器架设到海外、注册地变更到海外,同时创始人和团队主要成员常驻海外等方式规避国内监管。但交易资金仍来自国内、投资人也大多是国内普通投资者。由于缺乏有效监管,股票二级市场上存在的那些投机炒作的方法,在虚拟货币市场上更加突出,杠杆投资、场外配资等形式普遍存在。甚至,还有一些平台通过各种手段直接操纵市场价格、单方面改变交易机制、冻结侵吞客户资金等等。我们呼吁,在不断加强投资者教育的基础上,监管和执法部门应进一步严惩围绕虚拟货币开展的非法集资、金融以及等违法行为;加大对相关领域宣传推广内容的管理;构建顺畅、快捷和有效的投诉举报渠道,为金融消费者的合法权益筑牢防火墙。(人民网)[2020/4/5]

模拟抵押博弈

动态 | 新华社:一些人借区块链之名炒作行值得警惕:新华社文章指出,区块链技术的火热,也让一些假借区块链之名、行之实的恶行死灰复燃。当前,不少上市公司有意搭上区块链这班快车。据统计,3000多家A股上市公司中,超过500家自称同区块链有关联,但真正披露具体区块链业务内容且属实的只有不到40家。“蹭热点”现象十分突出。[2019/11/18]

通过

基于代理人的模拟仿真这一技术是目前能够对以太坊DeFi项目进行建模模拟的最好手段。使用基于代理人的模拟仿真方法,你可以将模拟大量的代理人采取不同的策略和风险侧写来进行独立的博弈模拟。通过观察系统是如何演化的,你可以得到在不同场景下的网络表现出来的统计学信心值。

来自Gauntlet的TarunChitra在他最新的论文中对此做了详尽的讨论。

他假定网络中的抵押者都是经济学上的理性人,在分析了链上借贷与PoS抵押之间的交互关系之后,得出了抵押与链上借贷间的竞争均衡。

动态 | 二元期权局正渗透至加密领域 投资者需提高警惕:美国证券交易委员会(SEC)和商品期货交易委员会(CFTC)等监管机构近期正着手应对瞄准基金投资者的新一代犯。仅在过去两个月,CFTC就打击了涉资1500万美元欺诈性二元期权计划。注:二元期权是一种高风险的投资策略,通常在线运作,而且很难监管。事实证明,这种局正在渗入加密货币领域,对于许多缺乏经验的投资者来说是需要格外警惕的。据此前消息,美国联邦法院下令要求ATM Coin虚拟货币局被告支付425万美元的罚款。据悉,来自Blue Bit Analytics和G. Thomas Client Services两家公司的被告人在没有在CFTC注册的情况下,非法收取客户资金,从事名为ATM Coin的虚拟货币局。(Atoz Markets)[2019/11/7]

抵押中的ETH数量与借出中的ETH数量对比

上图是一种场景下的模拟,它模拟了ETH在Compound上的数量与以太坊网络中抵押的ETH数量的变化关系,它是建立在类似比特币的区块奖励通缩模型的假设之下的。

这张图主要说明了:在开始时,大多数的ETH持有者们会将ETH进行投票而不是用于金融借贷。但是随着时间流逝,抵押能够获得的区块奖励越来越低,与参与抵押借贷产生的收益比较越来越没有吸引力,所以几乎所有用户都会重新重新平衡自己的投资策略,将ETH投入到Compound的抵押借贷中。

Tarun做出了几种理论上封闭形式的预测,这些预测已经通过了仿真验证。但是最重要的是:使用通缩模型的PoS链是不安全的。如果PoS链上的区块奖励数会随着时间降低,那么长此以往,几乎所有的资产都会用于抵押借贷,而不是链上投票。

我们可以更进一步:如果攻击者们知道了这点,他们会怎么做呢?

如果攻击者设计了一个链上借贷市场并且提供更丰厚的利率,这会驱使抵押投票的用户转向参与抵押借贷。之后,一旦链上的抵押投票池被抽干,攻击者们就可以轻松进入抵押市场并且占据主导地位。

当然了,在Compound中,降低借入利率的方式仅仅需要简单的从资产池中源源不断的借出就可以了。之后,风险模型就会自动向上调整利率。只要攻击者源源不断的借出资金,借出利率就会不断上升,就会有越来越多的投票抵押者转向金融借贷市场,PoS网络的安全性就会越来越差。这可能会导致雪球效应:当市场观察者们看着网络中的总抵押量在降低时,他们会开始做空ETH,这就更加加重了Compound市场上的借贷需求。你可以把整个抵押网络看作是一件毛衣,攻击者只需要拉一根毛线:利率。随着攻击者拉这根毛线,毛衣开始脱线,这根线越拉越长,不需要太久,攻击者就会让整个毛衣脱线。

当然,攻击者需要通过Compound借入资产才能完成这一攻击,也就意味着他必须要投入抵押物来进行借贷。但是,如果他们用USDC或锚定比特币作为抵押,那么攻击者在攻击网络时,ETH对他来说就没有价格风险。在PoW链上采用这种攻击方式则需要较大的链外资产的空头头寸。但是在PoS网络中,攻击者可以在对冲其所有价格风险的同时执行这类攻击,所有风险都无需经过任何人的许可,所有的攻击都发生在链上。

这是一个令人震惊的结论!乍看起来DeFi和共识机制是完全正交的两套机制,但是事实上,链上金融借贷市场会对PoS共识的安全性造成很大影响。

这对PoS意味着什么呢?

首先,让我们花点时间来思考一下:有一句废话,图灵完备的区块链系统是十分复杂的!将智能合约加入到区块链系统中看起来应该是一个在应用层的决策。但是智能合约系统催生了像Compound这种复杂的市场,它们以一种潜移默化的方式影响着整条链的安全性。我们在聊区块链的时候经常会谈到”第一层“或者”第二层“,但是这个概念是不同于传统计算的OSI分层模型的。就现在而言,区块链设计满是漏洞百出的抽象模型。

这同时也在提醒我们:我们不能一直假装区块链是一个封闭的系统,它的激励系统也不只是面向系统内部的。区块链系统过于复杂,很难在”理想环境“下进行分析。就这方面而言,我们对PoS系统的真正的安全性知之甚少。

只要PoS网络处于一个开放的生态系统中,任何一个链上借贷市场都可以通过提供更高的收益率来影响其安全性。事实上,即便是这个系统不直接支持智能合约,如果该链上的抵押资产能被通证化并且能够跨链转账,另一条链上的通证化借贷市场依然能够产生同样的影响!

这到底是不是杞人忧天呢?

我们刚刚已经谈过了如何进行主动攻击,攻击的资金成本对你来说可能太高了。但是即便是没有人想要作恶,这一攻击依旧可能发生!可能只是一个VC投资的项目,想要压低自己的利率提高竞争力,却无形之中对整条链的安全性造成了影响。不论如何,对系统影响的结果都是一样的:造成了共识层的不安全。

PoS系统该如何应对呢?

笼统来看,PoS系统有两个选项可以应对这种攻击:要么迫使链上借贷市场限制其利率;要么提高链上抵押的收益率,为抵押者们提供更高的回报,来和链上借贷市场进行竞争。

第一种方案看起来太中心化了。这对非联盟链的系统来说是不可能的方案,即便这么做了,借入者和借出者们依旧可以通过链下的形式或者侧链的形式来设立利率。

唯一现实点的策略是,可以防御性地使用灵活的货币政策,在必要时提供有竞争力的抵押回报率。任何固定的通货膨胀机制都容易受到这种攻击,那是因为攻击者总是确切地知道他们需要在借贷市场补贴多少利率就可以把网络中的抵押者们吸引过来。

这种防御性手段类似于中央银行调整利率以实现其经济目标。PoS网络必须将其增发率的调整用作调节实时市场压力的工具。

从这种意义上来讲,以太坊确实处在一个很好的时代,因为它没有承诺任何固定的货币政策。但是从今往后,所有的PoS网络都应该重视考虑这一权衡。对于社区治理,链上治理以及链下治理都是可行的,但是如果PoS协议的网络想要保证长治久安,它必须要采取灵活的货币政策。

信息披露:Gauntlet是蜻蜓资本的投资组合公司。

感谢TarunChitra,IvanBogatyy以及JohnMorrow对这篇文章的批评指正。

英文链接:

https://medium.com/dragonfly-research/how-defi-cannibalizes-pos-security-84b146f00697

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-1:68ms