在經(jīng)歷 lendf.me 被盜事件后迟赃,我們知道 ERC777 代幣合約和普通借貸池合約組合會(huì)產(chǎn)生漏洞陪拘,正如 imToken Simon 所說(shuō):「 酒沒(méi)錯(cuò),頭孢也沒(méi)錯(cuò)纤壁,放在一起左刽,要了命」。這次事件最終導(dǎo)致了 2500 萬(wàn)美元(折合人民幣 1.7 億)被盜酌媒,雖然最后如數(shù)追回欠痴,卻在我們心里刻下一次深刻的印記迄靠,讓我們不得不重新審視智能合約安全問(wèn)題。
幣乎創(chuàng)始人親述 DeFi 踩雷經(jīng)歷與教訓(xùn) 已經(jīng)全面的分析了使用去中心化金融所帶來(lái)的風(fēng)險(xiǎn)喇辽≌浦浚回過(guò)頭再來(lái)看我們其他的去中心化項(xiàng)目,它們還存在其他的問(wèn)題嗎菩咨?
在調(diào)查中吠式,我們發(fā)現(xiàn)以太坊的去中心化金融場(chǎng)景中,大量項(xiàng)目集成了 USDC抽米。而 USDC 在其代幣實(shí)現(xiàn)中特占,加入了一個(gè)前置代理合約。簡(jiǎn)單的說(shuō)就是我們使用 USDC 合約進(jìn)行轉(zhuǎn)賬時(shí)云茸,訪問(wèn)的是 USDC 的代理是目,該代理再通過(guò)內(nèi)部設(shè)置的地址,訪問(wèn)到 USDC 的目標(biāo)合約上查辩。
代理合約擁有一個(gè)管理員權(quán)限可以更改其代理的目標(biāo)胖笛,當(dāng)合約需要升級(jí)時(shí)就可以使用管理權(quán)限替換目標(biāo)合約地址。這是一種可升級(jí)宜岛、可更替智能合約的設(shè)計(jì)模式长踊,解決了合約升級(jí)這一難題,但同時(shí)也產(chǎn)生了巨大的風(fēng)險(xiǎn)萍倡。
如果代理合約的管理權(quán)限泄露身弊,意味著攻擊者可以將代理的目標(biāo)地址指向任何地址。攻擊者可以很輕易的偽造一個(gè)可以任意發(fā)行代幣的攻擊合約列敲,再將代理合約指向這個(gè)攻擊合約阱佛。因此,USDC 代理合約一旦攻破戴而,Compound(借貸池)也會(huì)像 lendf.me 一樣被全部抽空凑术。甚至現(xiàn)今最大的穩(wěn)定幣平臺(tái) MakerDAO,也能通過(guò)對(duì) USDC 代理合約攻擊而錯(cuò)誤的生成穩(wěn)定幣所意。任何平臺(tái)只要是集成了 USDC淮逊,皆存在該風(fēng)險(xiǎn)。而 USDC 正在去中心化應(yīng)用中大規(guī)模的使用著扶踊。
當(dāng)更多的代幣使用代理模式時(shí)泄鹏,每一個(gè)代幣都會(huì)成為攻擊向量,如果去中心化項(xiàng)目持續(xù)集成類似的項(xiàng)目秧耗,會(huì)使其安全性大打折扣备籽。相比之下不使用代理合約,銷毀管理員密鑰的方式看來(lái)會(huì)更加健壯分井。
去中心化對(duì)信任的要求比傳統(tǒng)應(yīng)用更高车猬。由于智能合約要自動(dòng)化的處理所有過(guò)程霉猛,在建立代碼的過(guò)程中就要求所有代碼之間之完全信任。像 USDC 這樣的代幣項(xiàng)目诈唬,本身具有一定的中心化屬性韩脏,大規(guī)模的應(yīng)用在所有項(xiàng)目中時(shí),就會(huì)把這些項(xiàng)目所有的信任全部集中在一個(gè)中心化的單點(diǎn)上铸磅。這個(gè)單點(diǎn)的控制權(quán)對(duì)于整個(gè)去中心化生態(tài)而言赡矢,相當(dāng)于上帝模式。此時(shí)一個(gè)單點(diǎn)代理合約的密鑰泄露阅仔,就可能引起整個(gè)去中心化生態(tài)的崩潰吹散,造成無(wú)數(shù)項(xiàng)目被黑,無(wú)數(shù)代幣丟失八酒。反觀空民,一個(gè)雖然未被黑的中心化單點(diǎn),也具有控制整個(gè)去中心化生態(tài)權(quán)限羞迷,代幣管理機(jī)構(gòu)可以使用同樣的手段對(duì)任何集成它的項(xiàng)目進(jìn)行破壞或關(guān)閉界轩。
可見(jiàn),USDC 在大規(guī)模的應(yīng)用過(guò)程中衔瓮,使整個(gè)去中心化生態(tài)的風(fēng)險(xiǎn)全部集中在了 USDC 中心化控制的代理合約上浊猾,該合約為 USDC 的管理機(jī)構(gòu)提供了整個(gè)生態(tài)的上帝模式∪劝埃或許我們所謂的去中心化葫慎,反而比傳統(tǒng)項(xiàng)目還更加中心化?
如若說(shuō)去中心化還是早期階段薇宠,那在這蠻荒的開(kāi)墾過(guò)程中偷办,USDC 可謂是荒野之王。
One Ring to rule them all, One Ring to find them, One Ring to bring them all and in the darkness bind them(魔戒)
