撰文:HaseebQureshi,区块链投资机构DragonflyCapital合伙人
编译:詹涓
剥茧抽丝,一步步说明为什么竞争性的借贷市场对PoS的安全性具有重大影响。
链上借贷已经成为当今最流行的去中心化金融应用。
MakerDAO、Compound、dYdX和
NuoNetwork这些借贷市场都在去年急剧成长。但
链上贷款可能不仅颠覆了传统借贷,它还可能颠覆权益证明(PoS)共识。
权益证明是工作量证明(PoW)之外的另一种选择,在PoS中,区块链由已质押的加密资产保护,而不是由算力来保护。去年推出的许多主流网络都是PoS网络,比如Tezos、Algorand、Cosmos等,下一年预计还有更多这样的网络上线。
当大量代币在网络中处于质押状态时,PoS系统就是安全的。在大多数PoS算法中,只要所有抵押资产的2/3归诚实的参与者所有,该区块链就是安全的。
CryptoQuant CEO:衍生品交易员短期内要小心,鲸鱼用户将BTC存入交易所:CryptoQuant首席执行官Ki Young Ju今日发推称:“如果你是一个长期的比特币投资者,不要担心。你的投资组合与美国的机构投资者相同。如果你是一名衍生品交易员,短期内要小心。(相对而言)鲸鱼账户将比特币存入交易所。”[2021/5/14 22:02:25]
现在假设你是一名试图破坏某个PoS系统的黑客。你会怎么做?
在较高的层次上,有两种攻击途径:一种方法是,你可以累积所有已发行权益的三分之一,但这么做不仅难度大,而且成本高昂。第二种方法是,你可以说服当前的这批质押者停止抵押,然后接管这个便宜得多的网络。
第二种方法在原则上听起来很有吸引力,但是怎么才能使当前的这批质押者停止抵押呢?有一个简单的方法:在其他地方给他们提供更有吸引力的收益。
只有在持币者被激励去质押的情况下,PoS才会运转起来,而且,持币者只有在奖励足够丰厚的情况下,才会被激励起来去质押。但如果他们能在其他地方获得更好的回报,那么可以想见,一个理性的投资者会将他们的资产解除质押,并将其转移到任何一个能获得更高回报的地方。如果这种虹吸效应吸走了抵押的资产,那么,该网络的安全性就会降低。
公告 | Upbit:从不要求收取加密货币上线费用 请用户小心信息:据韩国加密货币交易所Upbit官方公告,最近Upbit收到一些电子邮件的报告,这些邮件冒充Upbit的上市经理,要求收取加密货币上线费用。Upbit从不要求收取加密货币上线费用。请用户小心任何以Upbit的名义要求收取加密货币上线费用的电子邮件或信息。[2019/3/15]
从字面意义上说,链上贷款市场直接与质押竞争——这意味着,它们与协议的安全性在直接竞争!
这种直观的推断很简单。那么,我们能模拟出发生这种情况的可能性有多大吗?
模拟质押游戏
要模仿像以太坊DeFi这类复杂的经济系统,最佳方法是通过一种被称为「基于代理人的模拟」的技术。在基于代理人的模拟中,你需要对一大批有不同策略和风险偏好的代理人进行建模,然后让它们彼此独立决策。通过观察这个初生系统如何演化,你就可以获得数据上的确信,知道该网络在不同场景下会如何运作。
区块链网络模拟平台Gauntlet的创始人TarunChitra在他的最新论文《质押和链上借贷之间的竞争均衡》(Competitiveequilibriabetweenstakingandon-chainlending)中正是这么做的。他分析了链上借贷如何与PoS质押相互作用,前提是假设押注者在经济上是理性的。
声音 | 慢雾安全团队:门罗币不小心创造了一个网络和平世界:据火讯财经报道,慢雾安全团队表示:“门罗币不小心创造了一个网络和平世界,因为其CPU/GPU算力友好,对抗职业矿机(比如ASIC芯片),且门罗是最早的一批,算是匿名币的龙头,地下黑客入侵大量服务器,以前是勒索、窃取机密,现在大规模做CPU挖矿,所发布的典型蠕虫病修补了相关漏洞入口,杀掉了蠕虫对手,安全加固了相关机制,然后它仅挖矿,不少企业入侵事件的发现不是因为发现蠕虫,而是发现服务器或主机卡了,这些蠕虫挖的主要就是门罗。”[2018/7/3]
质押ETH的供应量与借贷ETH供应量的对比
上图是一个单一的模拟,假定在比特币式区块奖励通缩的情况下,Compound中的ETH和质押的ETH是如何随时间变化的。
图中所表达的意思大概如此:最初,大多数ETH的持有者都质押他们的ETH。但随着时间的推移,区块奖励下降,相比借贷给Compound,质押ETH的回报不再那么有吸引力,所以几乎所有人都将他们的ETH转入Compound。
不列颠哥伦比亚省证券委员会发布投资者小心名单 用以保护投资者:不列颠哥伦比亚省证券委员会(BCSC)称ICO或初始令牌发行(ITO)的数字货币数量有所增加。BCSC通过发布投资小心名单来帮助保护投资者,该名单列出了在不列颠哥伦比亚省推广的未注册ICO项目。[2018/5/18]
Tarun做了几个理论上的封闭式预测,并通过模拟试验得到了验证。其中最重要的一点是:PoS链不能安全地使用通缩货币政策。如果PoS区块的回报随着时间的推移而减少,那么它的长期均衡将是:几乎所有的资产被借出,而不是被质押。
让我们更进一步。知道这一点后,攻击者能做什么呢?
如果攻击者补贴了某个链上借贷市场,并支付一个更好的长期利率,这将会使质押者从质押转向借贷。然后,一旦链上质押枯竭,他们就可以进入并控制这个业已贫瘠的质押市场。
以Compound为例,要想压低借款率,攻击者只需要从池子里借钱。其风险模型会自动向上调整利率。随着攻击者不断借钱,越来越多的质押者转向借贷,PoS的安全性也慢慢地被耗尽。这可能会导致滚雪球效应:旁观者看到协议的安全性正在耗尽,他们会想着做空这一代币,这会进一步增加Compound的借贷需求。
联邦调查局称 要小心比特币电子邮件:据了解,本周一,美国联邦调查局(FBI)的奥马哈分部发出了一份警告,称在爱荷华州和内布拉斯加州发生了一起比特币电子邮件局。FBI的奥马哈公共事务官员Huston Pullen说:“这封电子邮件是一个局,他们基本上威胁到他们需要支付比特币,以避免他们或他们的家人受到伤害。”“这是一个我们从不同的方式和形式看到的局,每当你开始考虑(影响)你的家庭,就会把局提升到一个新的高度。”“联邦调查局非常认真地对待这些指控;请放心,没有可信的威胁,”负责管理的助理特工Kristi Johnson在一份声明中说。[2017/12/12]
你可以把这个质押网络想象成一件毛衣,攻击者拉着一根线头:利率。当攻击者开始拉线头,毛衣会对压力做出反应,线越拉越长,没过多久,攻击者就会将整件毛衣拆散。
当然,要完成这一点,攻击者需要借Compound里的资产,这意味着他们必须提供抵押品来借贷。但是,如果他们用USDC或代币化的比特币作为抵押,那么,攻击者在攻击网络时就不会承受对ETH的价格敞口。类似这种攻击如果发生在PoW链,将需要在链下占用大量空头头寸。但是在PoS中,攻击者可以在执行这种攻击的同时对冲所有的价格风险,而且所有操作不需要任何人的许可,且完全在链上实现。
这是一个令人惊讶的结果!看起来DeFi和共识是完全垂直的领域,但是实际上,竞争性的借贷市场对PoS的安全性具有重大影响。
好吧,这对PoS意味着什么?
首先,让我们花点时间反思一下:天啊,图灵完备的区块链实在太复杂了!将智能合约添加到区块链似乎应该是一个纯粹的应用层决定。而智能合约使Compound这样的复杂市场得以诞生,后者以不那么显而易见的方式与区块链的底层安全性进行交互。我们经常谈论「第1层」或「第2层」,但是与传统计算的OSI模型不同,区块链其实布满了有裂痕的抽象。
它还提醒我们:我们不能继续假装区块链是封闭系统,其唯一的激励因素在于协议内部。区块链太过复杂且相互连接,因而无法在真空中进行分析。在这方面,人们对PoS的实际安全性仍然知之甚少。
只要PoS网络处于开放的生态系统中,任何链上借贷市场都可以通过提供更高的收益来蚕食其安全性。事实上,即使某系统不直接支持智能合约,但只要质押资产可以代币化且跨链转移,那么,另一条链上的代币化借贷市场也会受到同样的影响!
担心这个是不是很傻?
我们讨论了主动攻击可能是什么样子,当然,这种攻击的资本成本可能太高,所以不太现实。但即使没有人做恶,这种情况也可能发生。比方说,有某些风投资助的项目开始补贴各自的利率,试图相互竞争,这可能会无意中降低了网络安全。最终结果将是一样的:一个危险而不安全的共识层。
PoS系统该如何防范这种情况?
在较高的层面上,一个质押网络有两种选择:要么迫使链上贷款市场设定利率上限,要么通过向质押者提供有竞争力的回报,与贷款市场展开竞争。
第一种策略类似于实施资本管制。这在无需许可的区块链上显然是不可能的——即使存在资本管制,借款人和贷款人也可以在链下或通过相邻的互操作链建立相同的市场。
唯一现实的防范方法是,在必要时使用灵活的货币政策,提供有竞争力的利率。任何固定的通货膨胀制度都容易受到这种攻击,因为攻击者总能精确地知道,在贷款市场上提供多少补贴就可蚕食押注者。
这种防御类似于央行调整利率以实现其经济目标。一个PoS网络必须使用它的发行率作为工具,以实时应对市场压力。
从这个意义上说,以太坊目前的基础还算不错,因为它没有承诺任何固定的货币政策。但进一步说,所有的PoS网络都必须考虑到这一权衡问题。链上治理和链下治理的方法都可以发挥作用,但是如果PoS协议想要永远保持安全,那么它必须具有自适应的货币政策。
要了解更多的细节,请查看这篇文章。它有一些很酷的图表,我没有收入本文。我也要向Tarun和Gauntlet团队的出色工作致以极高的敬意。
Gauntlet是DragonflyCapital的投资组合公司。感谢TarunChitra、IvanBogatyy和JohnMorrow对本文的反馈。
链闻获得作者授权发布该文中文版本。原文链接:https://medium.com/dragonfly-research/how-defi-cannibalizes-pos-security-84b146f00697
来源:Changelly,翻译:头等仓(First.VIP)6大手法,7宗盗窃,5亿美元损失,你的资产还好吗?即使是最安全的加密货币交易所也无法100%免受加密黑客的攻击.
要点总结: 1.商品防伪一直是关系到国计民生的重要问题。我国早在30多年前就开始着手解决商品防伪问题。从能获取到较全数据的1990年至今,我国关于商品防伪的专利申请数大体上处于持续增长态势.
Forbes周三刊文对2020年的区块链和加密领域进行了预测。 文章表示2019年对于区块链和加密领域来说是非凡的一年.
转眼又是年终,是时候做总结了!之前2017-2019的帖子刷爆了微博朋友圈,小编掐指一算,可巧了不是,链节点直播间也是正好两周年纪念!直播间经历了充满机遇与挑战的两周年也获得了满满的成长和经验.
作者:钱学宁 来源:中国金融杂志 编者注:原标题为《货币本质与数字货币解析》英国货币经济学家劳伦斯·哈里斯指出:“货币是一种社会现象……不同类型的货币存在于不同的社会与经济结构之中.
本文作者:CoboVault安全练习生2019年9月,网络安全公司AdaptiveMobile发现了SIM卡存在一个严重的漏洞「Simjacker」.