Web3 安全漏洞对 Web3 生态构成了重大威胁,根据 Chainalysis 的数据,智能合约安全问题已导致38亿美元的损失。
原文作者:Yiping
原文来源:IOSG Ventures
前言
Web3 安全漏洞对 Web3 生态构成了重大威胁,根据 Chainalysis 的数据,智能合约安全问题已导致38亿美元的损失。下面的图表展示了 Web3 黑客攻击数量的不断上升。
去中心化金融(DeFi)涵盖了各种风险类别,包括:
大家目前最熟知的是智能合约风险导致了 DeFi 的安全问题,但金融风险可能导致更大的损失。
以借贷协议中的坏账为例。在像 Compound 这样的协议中,当借款金额大于以美元计价的总抵押品价值时,账户被认为是无法偿还债务的。如果账户超过抵押品限额,通常会被第三方(如机器人)清算,用户失去抵押品以偿还债务。然而,如果清算没有及时进行,出售的抵押品可能不足以覆盖债务,导致协议内坏账增加。这种情况可能对协议和出借者构成风险。如果未偿还的债务多于可覆盖的抵押品,借款人可能无法提取所有资金,整个系统面临风险。在这种情况下,银行挤兑容易发生。
Venus 是一个例子。5 月 8 日,抵押品因子(Collateral Factor)从 60% 提高到 80%,导致以 XVS 为抵押品的借款增加。5 月 18 日,XVS 的价格突然从80美元涨至145美元,促使借款人出售 XVS 以获利。这导致 XVS 价格急剧下跌,触发清算并导致 Venus 超过 1 亿美元的坏账。选择合适的抵押因子和抵押资产对借贷协议的安全至关重要。
https://quillhashteam.medium.com/200-m-venus-protocol-hack-analysis-b044af76a1ae
解决方案
许多项目正在解决 DeFi 领域的金融风险,这是 Web3 世界的一个关键领域。它们为机构投资者和协议提供产品,帮助他们了解潜在风险并在极端市场中管理产品。
三个主要研究领域包括:
几个项目适用于这三个解决方案:
风险仪表盘
风险仪表盘是 DeFi 世界的主要解决方案,有价值的数据通常被噪声掩盖。虽然市场数据如交易量、TVL 和市值容易获取,但清算数据和坏账数据更难跟踪。开发人员需要构建数据库来监控 DeFi 项目的核心风险因素。
常跟踪的数据包括:
一些项目正在努力弥补现有安全公司,如 CertiK 和 Runtime Verification 留下的空白。
Chaos Labs
Chaos Labs 专门从事风险仪表盘,提供市场信息,如不同链上的总借款额、总供应、TVL 和风险抵押品。
他们还提供钱包洞察,允许用户在一个仪表盘中管理钱包清算风险。
Chaos Labs 与 AAVE、BENQI、dYdX、Osmosis、Avalanche、Chainlink 和 Uniswap Foundation 合作,构建更安全的 DeFi 协议。
他们与 BenQi 合作以确保其安全。他们构建了 4 个仪表盘,揭示了区块链上的一些隐藏数据:
风险监控器是确保 BENQI 协议健康的核心仪表盘之一。该仪表盘评估了供应/借款/铸币/储备资产的分布。除分布外,它还包含一些总体数据,如抵押品、借款、清算和活跃钱包。
它提供了不同 BENQI 支持的资产的细分。用户还可以查看按钱包分组的这些数据。在清算选项卡中,用户可以查看最近的清算事件和清算量。
在风险浏览器中,用户可以了解极端市场的情况。输入基础资产的价格变化,浏览器将提供预测的清算数据。
同样,Chaos Labs 也与 AAVE 合作。风险仪表盘提供类似的数据,但提供一些额外的有用数据,例如随着时间的推移,抵押品比率和 GHO 风险的关系。这些仪表盘为用户提供了实时信息,以便更好地了解潜在的风险并作出明智的投资决策。
Apostro
Apostro 为协议提供风险仪表盘,重点关注链上监控。通过监测链上协议数据和交易,他们可以提醒用户注意潜在的事故、漏洞和攻击。Apostro 还密切关注极端市场活动和预言机价格,因为预言机价格容易受到操纵。预言机价格操纵是最著名的漏洞攻击手段之一。黑客可以使用这种技术在协议上实施套利。
Apostro 提供三个主要的仪表盘:
Arkhivist
Arkhivist 致力于开发以智能合约安全为重点的风险仪表盘。他们允许个人投资者订阅协议页面,智能扫描器会持续监控协议的漏洞利用情况。
Arkhivist 计划提供三个仪表盘:
1. 主仪表盘显示不同协议的安全评分及其在一天和七天内的变化。
2. 显示这些协议中安全漏洞的仪表盘。
3. 分析智能合约交互并进行网络分析的仪表盘。
(备注: IOSG是Arkhivist投资方之一)
Solity
Solity 收集链上和链下数据,并使用机器学习对基本风险进行量化、规范化和处理。
借助链上和链下数据,Solity 提供定制的风险分析和监控。它关注诸如预言机数据、治理数据、智能合约安全、协议活动和市场波动等数据。
(备注: IOSG是Solity投资方之一)
Risk DAO
Risk DAO 提供两个仪表盘:
金融风险仪表盘因不同项目而异。以下是为 Vesta Finance 制作的一个示例。它提供以下数据:
通过这些仪表盘,投资者可以更好地了解各种协议的风险状况,从而做出更明智的投资决策。Risk DAO 的目标是帮助投资者识别并降低潜在风险,提高整个加密市场的透明度。
模拟
模拟是传统金融和银行业中使用的一种重要技术。金融机构利用模拟来构建各种市场情景,例如利率或股票价格的变化,以评估其对投资组合的影响。这些模拟使机构能够更好地了解与其投资相关的风险并做出更明智的决策。
金融领域常用的一种模拟技术是蒙特卡罗模拟。蒙特卡罗模拟涉及生成随机变量以模拟各种市场情景。通过运行多次模拟,机构可以了解不同结果的可能性并相应地调整其投资组合。
另一种常见的技术是压力测试,其涉及模拟极端市场情况以评估对机构投资组合的影响。压力测试可以帮助机构识别潜在的脆弱性并在危机发生前采取措施来降低风险。
现在,模拟也成为了解决 DeFi 风险的方法。在这种方法中,项目将一些模型应用于协议。项目首先确定一些重要的风险因素。他们对这些风险因素进行定量分析,并通过逐一调整风险因素来预测潜在的结果。
利用这些方法,模拟可用于以下目的:
Gauntlet
Gauntlet 是一个专注于模拟的项目。他们使用自己的模拟模型来帮助协议找到更好的风险参数。他们与 Compound 密切合作,帮助 Compound 进行市场风险评估,为金库管理做出贡献,优化激励,校准风险参数和升级协议。
Gauntlet 使用三个关键指标来评估 DeFi 借贷协议的资本效率和风险:
Chaos Labs
Chaos Labs 也为客户提供模拟服务。他们拥有基于 Python 的 EVM 模拟环境。他们可以重播链上协议的历史数据。他们的用例如下:
Risk DAO
Risk DAO 为借贷协议提供利率模拟器,以找到长期均衡状态。
用户可以输入借贷协议的几个重要参数,并获得借贷协议的最终状态。
他们还为风险仪表板提供了几种模拟:
通过利用 Risk DAO 提供的利率模拟器,借贷协议可以更好地找到长期均衡状态,从而调整利率以提高协议的资本效率和稳定性。同时,通过运行不同的风险参数和极端市场波动的模拟,项目可以更好地评估和管理风险,为用户提供更安全可靠的去中心化金融服务。
信用评级
信用评级是另一种量化评估风险的方法。项目使用用户的链上交易历史为他们生成信用评分。项目可以根据这些评分来判断谁的风险更高,并为他们提供定制化的产品。
信用评级在传统金融行业中是一种常见的做法,用于评估个人、公司和证券的信用状况。信用评级机构的业务模式是为发行债务的实体(包括政府、公司和金融机构)提供关于信用风险的独立意见。信用评级机构根据这些实体偿还债务的能力为其分配信用评级。
信用评级行业高度集中,三大评级机构 - 标准普尔(S&P)、穆迪(Moody's)和惠誉(Fitch)占据市场主导地位。这些机构因其在2008年金融危机中的角色受到批评,因为他们高度评价的一些证券后来被证明一文不值。
近年来,人们对开发依赖大数据和机器学习来评估信用状况的替代信用评级模型越来越感兴趣。这些模型可以比传统信用评级方法包含更广泛的因素,可能在预测信用风险方面更有效。然而,它们仍处于发展初期,可能在获得广泛应用方面面临挑战。
Cred 协议正朝着这个方向努力。他们应用机器学习在以下数据上评估信用评分:
Insight
目前,解决 DeFi 领域非智能合约风险的三种解决方案是:模拟、风险仪表盘和信用评级。这些解决方案相互补充,共同发挥更有效的作用。
商业模式
这些解决方案仍处于初期阶段,尚未建立明确成熟的客户细分。它们的目标客户可能包括机构、协议和个人投资者,这些客户在遭受攻击时都是受影响的一方。尤其是 DeFi 基金等机构可能会在协议中投入大量资金,因此对了解潜在风险有强烈的兴趣。协议需要安全信息来维护安全并向投资者展示真实性。个人投资者关心安全,因为他们不希望在遭受攻击时损失。
模拟的早期采用者可能是协议。模拟可以是一次性服务,例如在极端市场条件下模拟协议性能,或者是帮助协议定期调整风险和激励参数的订阅服务。随着 DeFi 变得越来越复杂,人类设计和调整这些参数变得越来越具挑战性。大数据是一个不断发展的趋势,可以不断微调参数,提供更可靠、更有利可图的选择。
DeFi 基金可能成为风险仪表盘的早期采用者。尽管对于个人投资者来说,风险仪表盘可能是可选的,但对于 DeFi 基金来说是必不可少的,因为它们在协议中投入大量资金,希望了解潜在风险。如果发生任何攻击,他们希望第一时间获得信息并采取行动,以尽量减少潜在损失。风险仪表盘可以向 DeFi 基金收取订阅费,价格根据使用的仪表盘数量而异。
信用协议可用于评估协议、机构和个人的风险。目前,早期采用者可能是协议。这些协议可以访问来自信用协议的数据,为客户提供不同的服务,例如为具有良好风险状况的客户提供更有利可图的产品。信用协议可以向 DeFi 协议收取 API 使用费和向机构收取信用评级费。
未来
在上一个牛市周期中,投资者关注 APY 而忽视风险。然而,在经历了几个重大项目崩溃之后,投资者现在更加重视风险管理。在考虑风险的同时,整个 DeFi 生态系统的稳定性得以提高。上述项目提供了大量与风险相关的数据,使这些数据易于阅读至关重要。例如,项目可以将风险直接纳入 APY,风险调整后的收益可作为一个有用的指标。
随着 DeFi 协议变得越来越复杂,人类已经不可能准确地追踪所有风险。大数据和机器学习的应用势在必行。模拟将变得与安全审计一样重要,不仅确保智能合约的安全,还确保在压力测试下的经济安全。工程和金融是 DeFi 世界的基石,两者的安全都必须得到保障。
风险仪表盘必须证明其与 Dune 等开源数据仪表盘相比的竞争力。他们需要说服客户付费订阅,而不是依赖 Dune 上的免费数据仪表盘。为了加强竞争力,风险仪表盘目前正在努力:
然而,他们仍然缺乏定制性,使用户难以根据自己的需求量身定制风险仪表盘。用户可能需要自定义指标,或希望将风险数据整合到他们的数据管道或自动化中。
信用协议仍处于初期阶段,目前只涵盖了一小部分链上数据,这使得新的 DeFi 协议难以在其基础上构建。为了发挥大数据的潜力,信用协议需要扩展其数据集,包括链上和链下数据。这将使信用评级更加可靠和准确。
我们认为,信用协议应扩大数据集,包括链上和链下数据,以发挥大数据的潜力。大数据可以带来更可靠、更准确的信用评级。
另一个重要特性是定制性。DeFi 协议可能希望选择特定功能并调整权重以满足其需求。例如,Avalanche 上的一个协议可能会对发生在 Avalanche 上的交易赋予更高的价值,而不是其他链上的交易。
在传统金融行业中,信用机构对金融行业的稳定性发挥了重要作用。他们对于债券及各类资产进行了分类和评级。其目的是为投资者提供关于债务发行人信用风险的度量。
常见的资产和债务类行为:
企业评级:评估企业的信用风险,包括债务偿还能力、财务状况、经营风险等
信用评级机构会根据各类资产和债务的特点、偿还能力、市场风险等多个因素进行评级,通常使用字母表示,如AAA、AA、A等。评级结果可以帮助投资者了解相关资产的信用风险,并在投资决策中作为一个参考依据。
目前在 DeFi 领域,还没有信用机构大规模的对协议和资产进行风险分析和评级。随着高净资产个人投资人数量的增加,会有更多明确 DeFi 协议和资产的风险等级和风险敞口的需求。对于高风险协议和资产,信用机构将有能力对投资者进行明确提示。投资者可以从风险评级直观且迅速的了解投资标的潜在风险。为了满足这一需求,我们可能会看到信用协议的快速扩张,因为小规模的信用协议很难有能力大范围的覆盖 DeFi 协议。
一个需要考虑的重大风险是,如果信用协议在未来变得流行,当前的信用评级模型可能不再适用。例如,一个具有良好信用评级的钱包在发现可以从某些 DeFi 协议获得大量无抵押贷款的可能性时,可能会恶意行事。随着游戏规则的改变,信用协议的基本假设和模型必须相应地调整。
为了应对这种风险,信用协议需要进行持续监测和模型更新。这可能包括: