资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
去中心化世界的理想运作方式
这是去中心化世界应有的运作方式:当有人发现某家初创公司的开源代码存在问题时,他会发出警报,而代码背后的公司会立即采取行动。这似乎是今天早些时候发生在加密货币借贷协议Compound.finance上的情况。根据Spankchain的Ameen Soleimani和网络安全研究员"samczsun"的研究,该协议存在一个中心化的故障点,如果被利用,资金可能会被"轻松耗尽"。
智能合约的安全隐患
该协议背后的公司声称持有价值约1.613亿美元的用户加密货币,它使用多个基于以太坊网络运行的"智能合约"来存储用户资金。但Soleimani和samczsun发现,这些合约都受到一个中心化的"管理员"账户的控制,该账户目前由Compound公司掌控。
在被要求置评时,Compound公司引导我们查看了一份在线声明。公司创始人基本同意Soleimani的分析,并表示需要进一步完善。"以太坊最大的优势在于一切都是公开的,全世界都可以分析,这让我们保持最高标准,"他在推特上写道。
"关于智能合约的安全性,我们同意它确实是'合法的',但这仍然是我们持续关注的重点,我们不会松懈。还有更多审计即将进行,我们鼓励社区参与确保协议的安全。"
Compound的快速发展与风险
Soleimani的研究正值Compound快速增长时期,用户存入加密货币DAI可以获得超过10%的投资收益。他写道:"作为SpankChain的CEO,我的职责是管理公司储备金,其中包括近50万DAI。按10%的年利率计算,我们不将DAI转入Compound,每月就会损失约4000美元。这是相当大的机会成本。"
"但投资时要记住,天下没有免费的午餐,"他补充道。"所有投资都有风险,在Compound上借贷也不例外。"
系统架构的潜在风险
Compound为用户提供各种"cToken",代表用户存入的资金。这些代币会产生利息,并存储在智能合约中。但正如Solemani所展示的,所有这些智能合约都由同一个管理员控制。
每个地址还受"Comptroller"控制,而"Comptroller"又由管理员地址上运行的"Unitroller"控制,这造成了一个单一故障点,可以访问数十个重要的管理权限。Soleimani写道,成功的黑客能够窃取资金、阻止转账、阻止新代币的发行和赎回、调整Compound的借贷利率,并扭曲价格信息以进行欺诈性"低价借贷"。
Soleimani还指出,Compound对DAI的"利用率"(即借给借款人的加密货币百分比)出奇地高,达到70%。如果Compound的余额遭到挤兑,只有30%的用户能够取回资金。Compound唯一的选择就是提高利率,鼓励更多用户留下。
公开讨论与改进
有趣的是,Soleimani与公司创始人之间的讨论是公开进行的,非常符合所谓的"黑客伦理"。Spankchain创始人在Medium上发表了批评,公司创始人通过Twitter回应,显然令Soleimani满意。"解决了!"Soleimani在回复公司创始人的道歉时发推文说。从此,大家过上了幸福的生活。
