EFI:研究表明,以太坊dApps存在12种主要的“非金融”风险_DEF

编者按:本文来自彩云区块链,Odaily星球日报经授权转载。新的研究表明,DeFi产品和dApp的用户可能并不是唯一的金融风险来源,因为一些“非金融”的问题正困扰着这种流行的加密工具。

DeFi应用程序到底有多脆弱?

根据加密数据和研究公司BraveNewCoin本周发布的报告,DeFi项目因可扩展性,智能合约漏洞,资金重组,中心化和监管风险等因素而处于危险的运转中。尽管已经开展了数年,但DeFi项目自2020年中以来一直在激增。著名的dAppCompound借贷产品,在某些贸易配对中提供高达100%的收益率,迎来了一个新的去中心化创新时代,例如信用贷款,可信交易,分期付款和掉期收益。但是,这样的进步带来很大的风险。该研究报告的作者XavierMeegan表示,大多数DeFi应用程序都与十二种独特的风险相关联,并指出他是通过研究而非见解发现了此类漏洞。以下是Meegan确定的一些风险:可扩展性风险:以太坊出现网络拥塞的风险,导致更高的GAS费和交易失败,从而导致DeFi应用程序无法按预期运行。如果网络上的压力太大,DeFi协议也可能会发生故障,从而由于重复的用户输入或智能合约未按预期运行而导致取款,交易暂停和资金损失。智能合约重复漏洞:当合约在更新内部状态之前发送ETH时,可能会发生“重复发送”。这样的风险将意味着流氓合同在更新之前不断要求ETH,这可能导致ETH被重复发送的情况。未处理的异常漏洞:当并非所有失败的“调用”都在Solidity上引发异常时,会发生这种情况。当没有足够的GAS费来执行操作,超出呼叫堆栈限制或由于用户的节点执行呼叫而发生某些意外的系统错误时,会发生这种情况。整数下溢/上溢漏洞:当错误的智能合约整数为大值时发生,当智能合约表示的实际值更高时发生。这可能会导致DeFi应用严重故障。不仅是智能合约

FIL跌破170美元:火币全球站数据显示,FIL短线下跌,跌破170美元关口,现报169.9973美元,日内跌幅达到7.27%,行情波动较大,请做好风险控制。[2021/4/3 19:42:05]

除了基于智能合约的风险外,Meegan还确定了其他一些问题:Oracle预言机风险:当区块链输入错误的值并正常运行时,就会发生这种风险。从设计上讲,区块链仅是价值的存储,而不能验证输入数据的真实性,这意味着智能合约会使用错误的信息进行更新,可能导致对网络的广泛攻击,并且用户资金损失。可组合性风险:Meegan确定的主要风险是“可组合性”,即某些DeFi平台彼此相互连接以进行操作。这种相互依存关系的情况下)创建了一种“金钱乐高”系统,该系统与“2007-08年全球金融危机之前的传统金融情况非常相似”。对Infura服务的依赖:最后的主要风险之一是,以太坊应用程序对由ConsenSys经营的基础设施即服务提供商公司Infura的依赖性,会在以太坊网络上创建一个集中且高度依赖的实体,这意味着如果Infura出现问题,最终将导致许多应用程序,产品和平台瘫痪。Meegan确定的其他风险包括中心化的风险,经济激励风险,金融空白风险,监管风险,最终风险和信息披露风险。根据CryptoSlate数据,DeFi是一个价值170亿美元的市场,占加密市场的3.18%,这意味着如果不加关注,此类风险可能会在未来几年给该行业留下深刻的教育。

安全提醒:警惕Filecoin RBF假充值攻击:据慢雾区消息,Filecoin出现“双花交易”,多家交易所关闭FIL充值通道。慢雾安全团队对相关信息分析发现,这是一起Filecoin的RBF假充值攻击事件而非”双花攻击“。攻击者预先发送一笔低gas-feecap的交易,然后通过提高gas-premium和gas-feecap替换原交易(RBF交易),此时RBF交易优先被打包上链,旧交易被丢弃,但是由于FilecoinlotusRPC有一个特性,在查询旧交易的执行状态时(使用lotusstateexec-trace命令或者通过REST接口Filecoin.StateGetReceipt获取)返回的是RBF交易的执行状态,导致交易所对两笔交易重复入账。

慢雾安全团队提醒交易所及相关钱包方,在充值入账时,需要对比查询返回结果中的cid与查询的cid是否一致,并配合ChainGetParentMessages和ChainGetParentReceipts等接口进行查询对比,避免重复入账。与此前慢雾区发现的假充值攻击不同的是,此次攻击方法更加隐蔽,是由于Filecoin节点特性所引起,交易所及相关钱包方应再次检查充值入账程序,除了RBF外,还有常规的To、Value、转账类型Method,以及执行结果ExitCode等字段的校验,必要时可请安全审计公司协助检测。[2021/3/19 19:00:10]

100+Filecoin生态机构加入火币 FIL 狂欢月:据官方消息,火币将于10月15日正式启动 FIL (Filecoin)狂欢月。目前已有1475、哈希蔚来、蚂蚁矿业、点存科技、超算大陆、星际大陆等100+Filecoin 矿机厂商、生态机构、投资人和行业从业者宣布加入火币 FIL 狂欢月,共建Filecoin生态,交易FIL首选火币。

据悉,火币全球站将于 FIL 主网上线(区块高度达到 148888 )时,同步开启FIL的充币业务,并第一时间支持FIL上线。同时火币倾力为Filecoin生态打造一站式服务平台,服务于矿工、专业投资人,提供专属VIP服务。10月陆续开通现货/杠杆/合约、大宗交易、抵押/借币等数字金融服务,提供定制化的保值、增值工具;开启矿机/Staking 等矿业服务。[2020/10/14]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-4:684ms