DeFi安全:风险与管理框架

DeFi是通过智能合约实现的去中心化金融协议,涵盖资产交易、借贷、保险和各种衍生品等领域。除信用服务外,现实中的大多数金融服务都可以通过DeFi协议实现。这些协议的特点是去中心化和自动运行,没有第三方机构参与管理和维护,因此合约的风险控制成为了行业面临的一大挑战。

DeFi具有金融和科技的双重属性,主要存在以下风险:

1. 代码风险:包括以太坊底层代码、智能合约代码和钱包代码等方面的风险。历史上的DAO事件、近期某DEX的漏洞攻击问题,以及各类钱包被盗事件,都属于代码风险导致的后果。

2. 业务风险:主要源于业务设计过程中存在的漏洞,可能被合理攻击或操纵。例如FOMO3D遭受堵塞攻击,以及某借贷平台错误使用了不抗攻击的预言机导致资产被盗等情况。这类行为的实施者通常被称为"套利者",他们对DeFi项目既有不利影响,也可能带来积极作用。

3. 市场波动风险:DeFi在设计时可能缺乏应对某些变量的机制,导致在市场极端情况下出现穿仓。2020年3月12日某稳定币项目的表现就是市场极端波动风险造成的典型案例。

4. 预言机风险:预言机作为提供全局变量的关键组件,是大多数DeFi项目的基础设施。如果预言机遭受攻击或出现停摆,依赖它的DeFi项目可能陷入崩溃。未来,预言机很可能成为DeFi最重要的基础设施,而带有中心化风险的预言机可能难以长期存续。

5. "技术代理"风险:主要指不熟悉智能合约和区块链技术的普通用户,使用中心化团队开发的"便利"交互工具时可能面临的潜在风险。

在设计DeFi项目时,应当充分考虑上述风险因素。完善的风险管理不仅需要在文档中做好提示,还要采取一些实际的风险管理措施。这些措施大多以去中心化的方式进行,少部分通过社区治理(主要是链上治理)来完成。以下是一个DeFi风险管理框架,主要分为事前、事中和事后三个阶段:

事前:主要是对合约代码进行形式化验证,包括明确合约使用的方法、资源甚至指令的边界,以及这些元素在组合过程中的相关性影响。未经论证的方法或未找到边界的组合应坚决避免使用。这种方法更接近数学论证的理念,而非传统软件开发的测试思维。理想的合约开发应建立在已经论证过的方法组合之上。

事中:主要包括停机设计和异常触发设计,即合约能够识别和干预攻击行为,包括自动停机设计和治理停机设计。异常触发则是对合约运行过程中出现超预期现象的一种控制管理机制,通常是自动的,通过异常触发来修正某些风险管理变量。

事后:事后风险管理包括几个方面。首先是修正代码漏洞,通常通过链上治理(即DAO治理)的方式进行。其次,如果治理资产本身遭受攻击,可能需要进行合约分叉,这是业界常常忽视的一个重要环节。此外,还可以通过保险机制来降低潜在风险造成的损失。最后,社区可以利用链上数据追踪,与相关机构合作追回损失。

目前,业界对DeFi安全的理解仍处于早期阶段,且思维方式较为传统。要适应未来发展,需要引入边界、完备性、一致性、形式化验证、停机、异常触发、治理、分叉等新的思想和概念。只有转变思维,才能更好地应对DeFi领域的安全挑战。