安德烈·克罗涅 (Andre Cronje) 表示,当建设者争论熔断机制时,DeFi“不再是 DeFi”
安德烈·克罗涅 (Andre Cronje) 表示,从严格意义上来说,大部分去中心化金融“不再是 DeFi”,因为开发者们正在争论现在是否有必要使用熔断器和其他紧急控制措施来保护用户免受攻击。
Flying Tulip 创始人在接受 Cointelegraph 采访时表示,许多协议不再是一成不变的公共产品,而是具有可升级合约、链下基础设施和运营控制的“运营营利性业务的团队”。
他说,这种转变改变了安全模式。 Cronje 表示,虽然早期的 DeFi 协议主要由不可变的智能合约定义,但较新的系统通常依赖于代理升级、多重签名、基础设施提供商、管理流程和人工响应团队。
“我认为我们今天所拥有的,包括 Flying Tulip,不再是 DeFi。它不是去中心化金融。它不是不可变的代码,”Cronje 说。 “这是经营营利性企业的团队。”
这些评论发表之际,4 月份的 DeFi 漏洞将安全叙述推向了智能合约审计之外,转向了操作风险问题。 4月23日,飞天郁金香增加了提款熔断机制,旨在在异常资金流出时延迟或排队提款。此前,去中心化交易所 Drift Protocol 和重新抵押平台 Kelp 发生了重大事件,预计损失分别约为 2.8 亿美元和 2.93 亿美元。
Flying Tulip 的 Andre Cronje(左)和 Cointelegraph 的 Ezra Reguerra(右)。资料来源:Cointelegraph
DeFi 风险不仅仅局限于智能合约
Cronje 表示,当许多系统可以由开发人员更改或通过管理流程进行控制时,该行业将重点放在审核上。
Cronje 告诉 Cointelegraph:“整个行业的焦点仍然集中在合同方面,而不是 TradFi 方面。”他补充说,最近的许多漏洞利用都涉及“传统的 Web2 内容”,例如基础设施访问、妥协和社会工程。
他表示,具有可升级合约的协议需要围绕谁可以升级代码、谁批准更改以及是否有适当的时间锁和多重签名控制进行传统的检查和平衡。
Curve Finance 和 Yield Basis 创始人 Michael Egorov 一致认为,最近发生的事件表明风险越来越多地与中心化和链下依赖性相关,而不仅仅是智能合约错误。
Egorov 告诉 Cointelegraph:“最近发生的 DeFi 漏洞绝大多数不是由于代码错误造成的。” “它们的发生是因为中心化风险——存在于链外的单点故障。”
Egorov 表示,Aave、Kelp 和 LayerZero 智能合约在最近的 rsETH 事件中并未遭到黑客攻击,他认为此次攻击来自链外基础设施。他表示,DeFi 协议可能面临“一系列风险”,其中最大的风险通常与人类而不是代码有关。
熔断机制分裂了 DeFi 建设者
克罗涅表示,Flying Tulip 的断路器并不是为了永久阻止提款而设计的,而是为了在资金流出超过正常参数时创建一个响应窗口。 “我们的断路器实际上并不是为了阻止或防止任何事情发生而设计的,”他说。 “这是为了让我们有时间做出反应。”
Flying Tulip 的系统为团队提供了大约 6 个小时的时间,不过 Cronje 表示规模较小或地理分布较分散的团队可能需要 12 到 24 小时,甚至更长时间。他表示,该工具对于持有用户资金的合约来说很有意义,但应被视为审计、分布式多重签名、时间锁和其他控制措施中的一层。
“安全始终是一种分层方法,”克罗涅说。 “从来不是‘这是唯一一件事’让你无懈可击。”
叶戈罗夫更加谨慎。他说,断路器在理论上是有意义的,但前提是它们的实施方式不会创建新的特权攻击面。 “断路器是由人类控制的,这意味着它们本身可能成为潜在的漏洞,”叶戈罗夫告诉 Cointelegraph。
他警告说,如果紧急控制措施允许签名者更改合同代码或阻止提款,那么受损的签名者可能会将保护措施变成排水器或集中冻结机制。在他看来,更好的长期答案是设计无需人工干预即可保持安全运行的系统。
“DeFi 设计的目标应该是尽量减少以人为中心的故障点,而不是增加故障点,”Egorov 说。 “DeFi需要安全,而安全来自去中心化。”
渣打银行表示 Kelp 事件显示了 DeFi 的弹性
渣打银行将 Kelp 事件视为 DeFi 成长阵痛的标志,而不是致命的失败。
在 Cointelegraph 看到的周三研究报告中,该银行表示,4 月 18 日的盗窃事件在影响蔓延到 Aave 后暴露了系统性风险,但表示 DeFi United 联盟筹集的超过 3 亿美元以及 Aave V4 和以太坊经济区等结构性变化表明该行业正在制定更强大的防御措施。
DeFi United 网站显示筹集了超过 3.21 亿美元