仍然要说的是,DEFI 平台的资产安全是可靠的,请注意,这里说的资产安全是用户的资产安全。在 DEFI 的质押和成交过程中,用户的资金完全由智能合约管理,并不通过中心化的团队或资管平台。因此,平台从用户资金的安全性上,是没有问题的。 然而,这种安全是脆弱的。因为一切交易都需要策略的帮助,所以一个平台内往往要兼容很多个协议。协议与协议之间逻辑就有可能产生冲突。这种协议冲突在一般的用户使用过程中是完全没有问题的,一般用户手中的资金也无法引起市场的波动。 但是,当攻击者利用手中巨额的资金进行价格操纵时,由于没有中心化的团队进行管理,这种波动只能任其发生。而由价格波动造成的兑换“余额”就因此产生了。 每个Token 的余额产生是相当小的,但当这种余额被放大到数亿乃至数十亿美元的资金量时,就形成了较大的利润。 当攻击者利用协议逻辑的冲突和价格操纵完成利润提取时,因波动造成的“虚假”利润就会形成一个资金空洞,最终这些空洞将由所有的用户和平台共同买单,因此,DEFI 闪电DAI的安全性又是脆弱的。 在CREAM Finance 被攻击之后,业内普遍的看法是由于开发团队急于扩大市场,因此兼容了过多的协议,这种毫无顾忌的兼容正是发生连续攻击闪电dai攻击的真正原因。更多人则看到的是,DEFI 闪电dai暴露出的风险将在今后严重阻碍行业发展进程。 小结Cream Finance 被攻击,行业不应仅看到最终的损失由谁来买单,用户的信心如何挽回。更应该看到的是,坚固的底层建筑很可能并不能决定上层的稳固程度。 协议漏洞(确切地说是协议设计时就已经存在的漏洞)到底是开发者刻意留下的“后门”,还是被行业巨鳄们盯上的“韭菜地”其实才是用户更加担忧的。 另外,闪电协议究竟如何在设计之初就规避短时间内的价格波动对协议本身造成的影响,或者说如何规避大规模资金恶意对市场和单个 Token 价格的波动仍需要进一步探讨。 无论如何,行业发展不能因噎废食,但也要知道亡羊补牢。当协议逻辑漏洞被价格操纵放大,带给行业的损失将是巨大的。现在的行业已经解决了基础安全问题,是时候对上层建筑进行加固和重新定义了。 (责任编辑:admin) |