Discusión sobre el marco de gestión de riesgos de seguridad en Finanzas descentralizadas
Las Finanzas descentralizadas ( DeFi ) protocolos han implementado diversos servicios financieros a través de contratos inteligentes, incluyendo el comercio de activos, préstamos, seguros y derivados, entre otros. Estos protocolos poseen características de descentralización y funcionamiento automático, sin necesidad de la gestión y mantenimiento de instituciones de terceros. Sin embargo, esto también convierte el control de riesgos de los contratos en un gran desafío que enfrenta la industria.
El ámbito de las Finanzas descentralizadas combina atributos financieros y tecnológicos, y presenta principalmente las siguientes categorías de riesgos:
Riesgo de código: se refiere a problemas potenciales relacionados con el código subyacente de Ethereum, el código de contratos inteligentes y el código de billeteras. Históricamente, han ocurrido eventos como el incidente de DAO, ataques a vulnerabilidades de DEX y varios robos de billeteras, todos derivados del riesgo de código.
Riesgo de negocio: se refiere principalmente a las vulnerabilidades presentes en el proceso de diseño del negocio, que pueden ser razonablemente aprovechadas o manipuladas por atacantes. Por ejemplo, FOMO3D sufrió un ataque de congestión, y cierta plataforma de préstamos fue atacada debido al uso de oráculos de precios inseguros. Este tipo de atacantes suelen ser llamados "arbitrajistas", y tienen tanto un impacto positivo como negativo en los proyectos de Finanzas descentralizadas.
Riesgo de volatilidad del mercado: Algunos proyectos de Finanzas descentralizadas no consideraron adecuadamente las situaciones de mercado extremas durante su diseño, lo que puede resultar en liquidaciones en momentos de alta volatilidad. El problema que enfrentó un proyecto de stablecoin el 12 de marzo de 2020 es un caso típico.
Riesgos de los oráculos: como infraestructura de la mayoría de los proyectos de Finanzas descentralizadas, si un oráculo es atacado o deja de funcionar, provocará el colapso de las aplicaciones de DeFi que dependen de sus datos. En el futuro, es probable que los oráculos se conviertan en la infraestructura más crítica dentro del ecosistema de DeFi, y cualquier oráculo que presente riesgos de centralización podría ser finalmente eliminado.
Riesgo de "agente técnico": se refiere al riesgo potencial que pueden enfrentar los usuarios comunes que no están familiarizados con los contratos inteligentes y la tecnología blockchain al utilizar herramientas convenientes desarrolladas por un equipo centralizado.
Al diseñar proyectos de Finanzas descentralizadas, se deben considerar a fondo los factores de riesgo mencionados anteriormente. Además de proporcionar advertencias sobre riesgos en la documentación, también es necesario implementar algunas medidas de Gestión de riesgos. La mayoría de estas medidas se implementan de manera descentralizada, y parte se lleva a cabo a través de la gobernanza comunitaria (principalmente la gobernanza en la cadena). A continuación, se presenta un marco de Gestión de riesgos en Finanzas descentralizadas, dividido en tres etapas: antes, durante y después.
Previo: Se lleva a cabo principalmente una verificación formal del código del contrato, incluyendo la definición de los límites de los métodos, recursos e instrucciones utilizados en el contrato, así como la influencia mutua de estos elementos en el proceso de combinación. No se deben utilizar combinaciones de métodos que no estén suficientemente justificadas o cuyos límites no estén determinados. Este enfoque se asemeja más a una prueba matemática que a un pensamiento tradicional de prueba de software.
En el proceso: el enfoque está en diseñar mecanismos de parada y mecanismos de activación de excepciones. El contrato debe ser capaz de identificar e intervenir en comportamientos de ataque, incluyendo el diseño de parada automática y de gobernanza. La activación de excepciones se refiere al control y gestión de fenómenos que superan las expectativas durante la ejecución del contrato, que generalmente se ejecutan automáticamente, y se utilizan para ajustar las variables de gestión de riesgos.
Después: incluye varios aspectos. Primero, reparar las vulnerabilidades del código a través de la gobernanza en cadena (DAO). En segundo lugar, si los activos de gobernanza son atacados, puede ser necesario realizar un fork del contrato. Además, se pueden reducir las pérdidas potenciales mediante mecanismos de seguro, así como utilizar datos en cadena para rastrear y colaborar con las instituciones relevantes para recuperar las pérdidas.
Actualmente, la comprensión de la seguridad en las Finanzas descentralizadas (DeFi) en la industria aún se encuentra en una etapa bastante primaria. Para adaptarse al desarrollo futuro, es necesario introducir nuevos conceptos e ideas como límites, integridad, consistencia, verificación formal, paradas, activación de anomalías, gobernanza y bifurcaciones. Solo al cambiar la mentalidad se podrán enfrentar mejor los desafíos de seguridad en el ámbito de DeFi.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
18 me gusta
Recompensa
18
6
Compartir
Comentar
0/400
CommunityJanitor
· hace17h
La regulación puede ser estricta, pero no puede detener la determinación de los tontos.
Ver originalesResponder0
DEXRobinHood
· 07-29 07:58
Los contratos inteligentes me han dejado confundido.
Ver originalesResponder0
SerumSquirter
· 07-28 16:13
El código está tan controlado que siguen ocurriendo tantas cosas.
Ver originalesResponder0
ConsensusBot
· 07-28 16:10
El riesgo de seguridad realmente está tomando a la gente por tonta una y otra vez.
Ver originalesResponder0
NftDeepBreather
· 07-28 16:02
Hablando tanto, ¿no es que no se escapa rápido?
Ver originalesResponder0
DataPickledFish
· 07-28 16:00
El Satoshi borracho será enviado a la prisión de los idiotas.
Nuevas ideas para la gestión de la seguridad en Finanzas descentralizadas: verificación previa, intervención durante, reparación posterior.
Discusión sobre el marco de gestión de riesgos de seguridad en Finanzas descentralizadas
Las Finanzas descentralizadas ( DeFi ) protocolos han implementado diversos servicios financieros a través de contratos inteligentes, incluyendo el comercio de activos, préstamos, seguros y derivados, entre otros. Estos protocolos poseen características de descentralización y funcionamiento automático, sin necesidad de la gestión y mantenimiento de instituciones de terceros. Sin embargo, esto también convierte el control de riesgos de los contratos en un gran desafío que enfrenta la industria.
El ámbito de las Finanzas descentralizadas combina atributos financieros y tecnológicos, y presenta principalmente las siguientes categorías de riesgos:
Riesgo de código: se refiere a problemas potenciales relacionados con el código subyacente de Ethereum, el código de contratos inteligentes y el código de billeteras. Históricamente, han ocurrido eventos como el incidente de DAO, ataques a vulnerabilidades de DEX y varios robos de billeteras, todos derivados del riesgo de código.
Riesgo de negocio: se refiere principalmente a las vulnerabilidades presentes en el proceso de diseño del negocio, que pueden ser razonablemente aprovechadas o manipuladas por atacantes. Por ejemplo, FOMO3D sufrió un ataque de congestión, y cierta plataforma de préstamos fue atacada debido al uso de oráculos de precios inseguros. Este tipo de atacantes suelen ser llamados "arbitrajistas", y tienen tanto un impacto positivo como negativo en los proyectos de Finanzas descentralizadas.
Riesgo de volatilidad del mercado: Algunos proyectos de Finanzas descentralizadas no consideraron adecuadamente las situaciones de mercado extremas durante su diseño, lo que puede resultar en liquidaciones en momentos de alta volatilidad. El problema que enfrentó un proyecto de stablecoin el 12 de marzo de 2020 es un caso típico.
Riesgos de los oráculos: como infraestructura de la mayoría de los proyectos de Finanzas descentralizadas, si un oráculo es atacado o deja de funcionar, provocará el colapso de las aplicaciones de DeFi que dependen de sus datos. En el futuro, es probable que los oráculos se conviertan en la infraestructura más crítica dentro del ecosistema de DeFi, y cualquier oráculo que presente riesgos de centralización podría ser finalmente eliminado.
Riesgo de "agente técnico": se refiere al riesgo potencial que pueden enfrentar los usuarios comunes que no están familiarizados con los contratos inteligentes y la tecnología blockchain al utilizar herramientas convenientes desarrolladas por un equipo centralizado.
Al diseñar proyectos de Finanzas descentralizadas, se deben considerar a fondo los factores de riesgo mencionados anteriormente. Además de proporcionar advertencias sobre riesgos en la documentación, también es necesario implementar algunas medidas de Gestión de riesgos. La mayoría de estas medidas se implementan de manera descentralizada, y parte se lleva a cabo a través de la gobernanza comunitaria (principalmente la gobernanza en la cadena). A continuación, se presenta un marco de Gestión de riesgos en Finanzas descentralizadas, dividido en tres etapas: antes, durante y después.
Previo: Se lleva a cabo principalmente una verificación formal del código del contrato, incluyendo la definición de los límites de los métodos, recursos e instrucciones utilizados en el contrato, así como la influencia mutua de estos elementos en el proceso de combinación. No se deben utilizar combinaciones de métodos que no estén suficientemente justificadas o cuyos límites no estén determinados. Este enfoque se asemeja más a una prueba matemática que a un pensamiento tradicional de prueba de software.
En el proceso: el enfoque está en diseñar mecanismos de parada y mecanismos de activación de excepciones. El contrato debe ser capaz de identificar e intervenir en comportamientos de ataque, incluyendo el diseño de parada automática y de gobernanza. La activación de excepciones se refiere al control y gestión de fenómenos que superan las expectativas durante la ejecución del contrato, que generalmente se ejecutan automáticamente, y se utilizan para ajustar las variables de gestión de riesgos.
Después: incluye varios aspectos. Primero, reparar las vulnerabilidades del código a través de la gobernanza en cadena (DAO). En segundo lugar, si los activos de gobernanza son atacados, puede ser necesario realizar un fork del contrato. Además, se pueden reducir las pérdidas potenciales mediante mecanismos de seguro, así como utilizar datos en cadena para rastrear y colaborar con las instituciones relevantes para recuperar las pérdidas.
Actualmente, la comprensión de la seguridad en las Finanzas descentralizadas (DeFi) en la industria aún se encuentra en una etapa bastante primaria. Para adaptarse al desarrollo futuro, es necesario introducir nuevos conceptos e ideas como límites, integridad, consistencia, verificación formal, paradas, activación de anomalías, gobernanza y bifurcaciones. Solo al cambiar la mentalidad se podrán enfrentar mejor los desafíos de seguridad en el ámbito de DeFi.