Обсуждение рисков и управления безопасностью в Децентрализованных финансах
Децентрализованные финансы — это финансовые протоколы, реализованные с помощью смарт-контрактов, охватывающие такие области, как торговля активами, кредитование, страхование и различные деривативы. Кроме кредитных услуг, большинство финансовых услуг в реальном мире могут быть реализованы через протоколы децентрализованных финансов. Характерной чертой этих протоколов является децентрализация и автоматизация, без участия третьих сторон в управлении и обслуживании, поэтому контроль рисков контрактов стал одной из основных проблем, с которыми сталкивается отрасль.
Децентрализованные финансы обладают двойной природой в области финансов и технологий и в основном сталкиваются со следующими видами рисков:
Риски кода: включая риски, связанные с базовым кодом Ethereum, кодом смарт-контрактов и кодом кошельков. Исторические события с DAO, недавние проблемы с уязвимостями определенного DEX, а также различные случаи кражи кошельков являются результатом рисков кода.
Бизнес-риски: в основном возникают из-за уязвимостей, существующих в процессе проектирования бизнеса, которые могут быть разумно атакованы или манипулированы. Например, ранние атаки на FOMO3D, а также случай, когда одна платформа кредитования неправильно использовала незащищенный оракул, что привело к краже активов. Исполнителей таких действий обычно называют арбитражерами, которые оказывают как негативное, так и положительное влияние на проекты Децентрализованные финансы.
Риск рыночной волатильности: некоторые проекты DeFi при разработке не учитывали должным образом управление переменными, что привело к ликвидации в условиях экстремального рынка. Например, поведение одного стабильного монеты в период резкого падения рынка 12 марта 2020 года является典型ным случаем, вызванным риском экстремальной волатильности.
Риски оракула: Оракулы, являющиеся важной инфраструктурой для предоставления глобальных переменных, могут привести к краху зависимых от них проектов Децентрализованных финансов в случае атаки или сбоя. В будущем оракулы, вероятно, станут одной из самых ключевых инфраструктур в области Децентрализованных финансов. Стоит отметить, что любой оракул с рисками централизации в долгосрочной перспективе будет трудно устойчив.
"Технический агент" риск: это в основном относится к тем обычным пользователям, которые не знакомы с умными контрактами и блокчейном, и могут столкнуться с потенциальными рисками при использовании "удобных" инструментов взаимодействия, разработанных централизованной командой.
При разработке проекта Децентрализованные финансы следует充分 учитывать вышеуказанные рисковые факторы. Полное управление рисками требует не только указания на это в документации, но и осуществления ряда конкретных управленческих мер. Большинство из этих мер должно реализовываться децентрализованным образом, а меньшая часть может быть выполнена через управление сообществом (в основном, через управление на блокчейне).
Вот рамки управления рисками DeFi, которые делятся на три этапа: до, во время и после.
Предварительная работа: в основном заключается в формальной верификации кода контракта, включая четкое определение методов, ресурсов и даже границ инструкций, а также взаимного влияния этих элементов в процессе сочетания. Методы без достаточного обоснования или комбинации с неясными границами не должны использоваться. Этот процесс верификации ближе к математическим доказательствам, чем к традиционному тестированию программного обеспечения. Идеальная разработка контракта должна основываться на уже обоснованных комбинациях методов.
В процессе: в основном включает в себя проектирование остановки и проектирование срабатывания аномалий. Контракт должен уметь распознавать и вмешиваться в атаки, включая автоматическое проектирование остановки и проектирование управления остановкой. Срабатывание аномалий — это контроль и управление неожиданными явлениями, возникающими в процессе работы контракта, обычно автоматически, с помощью механизма срабатывания для регулирования переменных управления рисками.
После: управление рисками после событий включает в себя несколько аспектов. Во-первых, если в коде обнаружена уязвимость, необходимо внести исправления через управление на блокчейне (управление DAO). Во-вторых, если сами активы управления подверглись атаке, может потребоваться форк контракта, что является важным этапом, часто игнорируемым. Кроме того, можно использовать механизмы страхования для снижения возможных убытков. Наконец, сообщество может использовать данные на блокчейне для отслеживания и сотрудничать с различными учреждениями для возврата убытков.
В настоящее время понимание безопасности Децентрализованных финансов в отрасли находится на относительно начальном этапе. Для того чтобы адаптироваться к будущему развитию, необходимо внедрить новые идеи и концепции, такие как границы, полнота, согласованность, формальная проверка, остановка, срабатывание исключений, управление, форки и т. д. Только изменив мышление, можно лучше справляться с вызовами безопасности в области Децентрализованных финансов.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 Лайков
Награда
8
3
Поделиться
комментарий
0/400
BoredRiceBall
· 07-06 15:34
Еще один проект хочет разыгрывать людей как лохов.
Управление безопасностью DeFi проектов: от выявления рисков до комплексной стратегии защиты
Обсуждение рисков и управления безопасностью в Децентрализованных финансах
Децентрализованные финансы — это финансовые протоколы, реализованные с помощью смарт-контрактов, охватывающие такие области, как торговля активами, кредитование, страхование и различные деривативы. Кроме кредитных услуг, большинство финансовых услуг в реальном мире могут быть реализованы через протоколы децентрализованных финансов. Характерной чертой этих протоколов является децентрализация и автоматизация, без участия третьих сторон в управлении и обслуживании, поэтому контроль рисков контрактов стал одной из основных проблем, с которыми сталкивается отрасль.
Децентрализованные финансы обладают двойной природой в области финансов и технологий и в основном сталкиваются со следующими видами рисков:
Риски кода: включая риски, связанные с базовым кодом Ethereum, кодом смарт-контрактов и кодом кошельков. Исторические события с DAO, недавние проблемы с уязвимостями определенного DEX, а также различные случаи кражи кошельков являются результатом рисков кода.
Бизнес-риски: в основном возникают из-за уязвимостей, существующих в процессе проектирования бизнеса, которые могут быть разумно атакованы или манипулированы. Например, ранние атаки на FOMO3D, а также случай, когда одна платформа кредитования неправильно использовала незащищенный оракул, что привело к краже активов. Исполнителей таких действий обычно называют арбитражерами, которые оказывают как негативное, так и положительное влияние на проекты Децентрализованные финансы.
Риск рыночной волатильности: некоторые проекты DeFi при разработке не учитывали должным образом управление переменными, что привело к ликвидации в условиях экстремального рынка. Например, поведение одного стабильного монеты в период резкого падения рынка 12 марта 2020 года является典型ным случаем, вызванным риском экстремальной волатильности.
Риски оракула: Оракулы, являющиеся важной инфраструктурой для предоставления глобальных переменных, могут привести к краху зависимых от них проектов Децентрализованных финансов в случае атаки или сбоя. В будущем оракулы, вероятно, станут одной из самых ключевых инфраструктур в области Децентрализованных финансов. Стоит отметить, что любой оракул с рисками централизации в долгосрочной перспективе будет трудно устойчив.
"Технический агент" риск: это в основном относится к тем обычным пользователям, которые не знакомы с умными контрактами и блокчейном, и могут столкнуться с потенциальными рисками при использовании "удобных" инструментов взаимодействия, разработанных централизованной командой.
При разработке проекта Децентрализованные финансы следует充分 учитывать вышеуказанные рисковые факторы. Полное управление рисками требует не только указания на это в документации, но и осуществления ряда конкретных управленческих мер. Большинство из этих мер должно реализовываться децентрализованным образом, а меньшая часть может быть выполнена через управление сообществом (в основном, через управление на блокчейне).
Вот рамки управления рисками DeFi, которые делятся на три этапа: до, во время и после.
Предварительная работа: в основном заключается в формальной верификации кода контракта, включая четкое определение методов, ресурсов и даже границ инструкций, а также взаимного влияния этих элементов в процессе сочетания. Методы без достаточного обоснования или комбинации с неясными границами не должны использоваться. Этот процесс верификации ближе к математическим доказательствам, чем к традиционному тестированию программного обеспечения. Идеальная разработка контракта должна основываться на уже обоснованных комбинациях методов.
В процессе: в основном включает в себя проектирование остановки и проектирование срабатывания аномалий. Контракт должен уметь распознавать и вмешиваться в атаки, включая автоматическое проектирование остановки и проектирование управления остановкой. Срабатывание аномалий — это контроль и управление неожиданными явлениями, возникающими в процессе работы контракта, обычно автоматически, с помощью механизма срабатывания для регулирования переменных управления рисками.
После: управление рисками после событий включает в себя несколько аспектов. Во-первых, если в коде обнаружена уязвимость, необходимо внести исправления через управление на блокчейне (управление DAO). Во-вторых, если сами активы управления подверглись атаке, может потребоваться форк контракта, что является важным этапом, часто игнорируемым. Кроме того, можно использовать механизмы страхования для снижения возможных убытков. Наконец, сообщество может использовать данные на блокчейне для отслеживания и сотрудничать с различными учреждениями для возврата убытков.
В настоящее время понимание безопасности Децентрализованных финансов в отрасли находится на относительно начальном этапе. Для того чтобы адаптироваться к будущему развитию, необходимо внедрить новые идеи и концепции, такие как границы, полнота, согласованность, формальная проверка, остановка, срабатывание исключений, управление, форки и т. д. Только изменив мышление, можно лучше справляться с вызовами безопасности в области Децентрализованных финансов.