USDC会成为下一个DeFi危机吗?

USDC会成为下一个DeFi危机吗?

作者:熊炜,imToken 后端工程师

在经历 lendf.me 被盗事件后,我们知道 ERC777 代币合约和普通借贷池合约组合会产生漏洞,正如 imToken Simon 所说:「酒没错,头孢也没错,放在一起,要了命」。这次事件最终导致了 2500 万美元(折合人民币 1.7 亿)被盗,虽然最后如数追回,却在我们心里刻下一次深刻的印记,让我们不得不重新审视智能合约安全问题。

币乎创始人亲述 DeFi 踩雷经历与教训已经全面的分析了使用去中心化金融所带来的风险。回过头再来看我们其他的去中心化项目,它们还存在其他的问题吗?

在调查中,我们发现以太坊的去中心化金融场景中,大量项目集成了 USDC。而 USDC 在其代币实现中,加入了一个前置**合约。简单的说就是我们使用 USDC 合约进行转账时,访问的是 USDC 的**,该**再通过内部设置的地址,访问到 USDC 的目标合约上。

USDC会成为下一个DeFi危机吗?1

**合约拥有一个管理员权限可以更改其**的目标,当合约需要升级时就可以使用管理权限替换目标合约地址。这是一种可升级、可更替智能合约的设计模式,解决了合约升级这一难题,但同时也产生了巨大的风险。

如果**合约的管理权限泄露,意味着攻击者可以将**的目标地址指向任何地址。攻击者可以很轻易的伪造一个可以任意发行代币的攻击合约,再将**合约指向这个攻击合约。因此,USDC **合约一旦攻破,Compound(借贷池)也会像 lendf.me 一样被全部抽空。甚至现今最大的稳定币平台 MakerDAO,也能通过对 USDC **合约攻击而错误的生成稳定币。任何平台只要是集成了 USDC,皆存在该风险。而 USDC 正在去中心化应用中大规模的使用着。

当更多的代币使用**模式时,每一个代币都会成为攻击向量,如果去中心化项目持续集成类似的项目,会使其安全性大打折扣。相比之下不使用**合约,销毁管理员密钥的方式看来会更加健壮。

去中心化对信任的要求比传统应用更高。由于智能合约要自动化的处理所有过程,在建立代码的过程中就要求所有代码之间之完全信任。像 USDC 这样的代币项目,本身具有一定的中心化属性,大规模的应用在所有项目中时,就会把这些项目所有的信任全部中心化在一个中心化的单点上。这个单点的控制权对于整个去中心化生态而言,相当于上帝模式。此时一个单点**合约的密钥泄露,就可能引起整个去中心化生态的崩溃,造成无数项目被黑,无数代币丢失。反观,一个虽然未被黑的中心化单点,也具有控制整个去中心化生态权限,代币管理机构可以使用同样的手段对任何集成它的项目进行破坏或关闭。

可见,USDC 在大规模的应用过程中,使整个去中心化生态的风险全部中心化在了 USDC 中心化控制的**合约上,该合约为 USDC 的管理机构提供了整个生态的上帝模式。或许我们所谓的去中心化,反而比传统项目还更加中心化?

如若说去中心化还是早期阶段,那在这蛮荒的开垦过程中,USDC 可谓是荒野之王。

原文链接:

温馨提示:

文章标题:USDC会成为下一个DeFi危机吗?

文章链接:https://www.btchangqing.cn/11075.html

更新时间:2021年06月12日

本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
DEFI

专访赵东:DeFi 应该坚持做下去,USDT 风险来自美国当局

2020-4-23 13:16:34

DEFI

DeFi遭遇黑客洗劫:1个月3项目被盗,1个项目就被卷走659万美元

2020-4-24 17:25:20

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索