SOL:簡析Solana上的借貸平臺安全性

概述

一直以來，安全始終是所有金融平臺的重中之重。在無法保障資金安全的情況下，高收益都是一張張的空頭支票。這一點對于去中心化借貸平臺來說也是一樣的。回顧過去的一年，不少的借貸平臺都發生過安全事故，給用戶帶來了慘重的損失。

1.Venus大額清算事件

2021年5月18日，作為BSC鏈上最大的借貸平臺，Venus清算了超過2百萬的XVS(Venus平臺幣)。這直接導致了大量用戶遭受慘重的損失和清算，壞賬總額高達一億美元。此次安全事故的發生是因為XVS的幣價遭到了大戶的惡意拉升，用價格虛高的XVS為抵押，借出了大量的BTC和ETH。XVS的流動性相對其他主流幣而言較低，被惡意操控的風險更大。此次事故與Venus平臺收錄流動性較差的幣種有著直接的關系，平臺對于潛在風險的忽視也是這次安全事故發生的原因之一。

Matrixport任命美國首席運營官Mo Zhou為CEO:金色財經報道，加密貨幣交易和借貸平臺Matrixport已任命一位新的美國業務負責人。曾任美國首席運營官Mo Zhou現在負責該公司在美國以機構為重點的業務線，前美國首席執行官Anthony DeMartino將卸任并擔任顧問職務。[2023/7/10 10:45:48]

2.Cream閃電貸攻擊

2021年10月27日，CreamFinance在推特上公開承認，他們再次遭受了閃電貸襲擊，總損失金額高達1.3億美元。這已經是該平臺本年度的第三次安全事故，前兩次分別發生在2021年的2月和8月，兩次分別損失了近0.4億和近0.3億美元。CreamFinance本年度的三次安全事故均是遭受的閃電貸襲擊，這是一種近兩年非常常見的針對借貸平臺的黑客攻擊手段。

CertiK：cypher_protocol Discord服務器已被入侵:金色財經消息，據CertiK監測，cypher_protocol Discord服務器已被入侵。在團隊確認已重獲對服務器的控制之前，請勿點擊任何鏈接。[2023/5/25 10:38:40]

回顧以上的安全事故，我們不難得出結論，借貸平臺的安全性主要取決于團隊對于風險的控制以及對于潛在風險的審計和測試。

本文將會針對Solana公鏈上的借貸平臺，進行一系列的安全性分析。

Solana公鏈上的主要借貸平臺匯總

表1.Solana鏈上的主流借貸平臺

是否審計

審計是智能合約安全性的第一道防線，也是對平臺進行安全性分析時的一個重要指標。

歐易Web3錢包與Poly Network達成官方合作:據OKX Web3推特消息，歐易Web3錢包與面向異構區塊鏈網絡的去中心化和去信任的互操作性協議Poly Network達成官方合作關系。用戶可連接歐易Web3錢包在Poly Network進行鏈上資產交易和跨鏈資產轉移。此外，歐易Web3錢包已在Discover板塊收錄Poly Network。

據悉，歐易Web3錢包異構多鏈錢包，支持50+公鏈。App、插件、網頁三端統一，包含數字貨幣錢包、DEX、DeFi賺幣、NFT 市場、DApp 探索5大板塊。[2023/1/26 11:30:25]

審計的作用就像是一個監管的第三方，讓所有利益相關者可以相信平臺運作過程中的透明度，以及平臺是否遵循了目前行業標準的預期。隨著Defi行業的不斷發展和成熟，監管的標準和要求也會更加的規范化，在這個過程中，審計將繼續發揮關鍵的作用。

美聯儲副主席：通脹非常高，點陣圖顯示未來還會加息:9月30日消息，美聯儲副主席布雷納德表示，當前通脹非常高，點陣圖顯示未來還會加息。美聯儲承諾避免過早退出，政策需要在一段時間內保持限制性。應該考慮全球利率收緊帶來的溢出效應，不能排除額外通貨膨脹沖擊的風險。（金十）[2022/9/30 6:04:45]

表2總結了上述所有平臺的審計公司。

在上述的六個平臺中，JetProtocol是目前唯一一個在未經審計的主網上運行的平臺。盡管他們的代碼已經經過了Solana基金會所提供的外部白帽子開發團隊的審查，對此還是建議用戶保持謹慎。

Solen,Apricot,Larix以及Soda都經過了知名知名智能合約審計公司的審計。

其中Soda的審計方Certik是Binance的正式合作或盤，并且得到了包括BinanceLabs,Lightspeed,MatrixPartners,andDHVC在內的知名投資者的支持。

諾貝爾經濟學獎得主斯蒂格利茨：過快加息可能加劇通脹:8月25日消息，諾貝爾經濟學獎得主約瑟夫·斯蒂格利茨（Joseph Stiglitz）表示，央行過于激進加息來遏制供給驅動型通脹有加劇物價上漲的風險。“提高利率并不能解決供應方面的問題，”他說。“這甚至可能使情況變得更糟，因為我們現在需要做的是加大對供應側瓶頸的投資，但提高利率會使這些投資變得更加困難。”“加息將如何帶來更多食品，更多能源，并解決芯片供應問題？完全不會，”斯蒂格利茨說。“它們不會解決問題的基本根源，真正的風險是情況會變得更糟。”（金十）[2022/8/25 12:46:49]

Larix的審計方慢霧科技是目前在區塊鏈行業領先的安全性審計公司，是EOS,Cosmos,Vechain等頂級區塊鏈項目的合作伙伴。慢霧以其強大的EOS智能合約防火墻項目FireWall.X而聞名。

支持幣種

縱觀2021年的借貸平臺安全事故，尤其是以Venus5月份的大額清算事故為例，支持流動性較低的幣種的風險顯而易見。此類幣的價格極其容易被心懷不軌的人惡意操控，隨即借空平臺資產，從而導致大量的壞賬。借貸平臺在上新幣種的時候應該意識到此類風險，進行風險管理并盡最大可能保護其用戶不會成為這些惡意攻擊的受害者，這也是借貸平臺應負的責任。Venus的大額清算事故以慘痛的代價給我們上了這一課。

在本文所分析的六個借貸平臺中，Larix,Jet和Soda僅支持了不易受到市場操控影響的主流幣，大大減小了該類事故發生的風險。其余的三個平臺，Solend支持了SER,MER,SLND(Solend平臺幣），Apricot支持了ORCA，Port支持了MER、FIDA和自己的平臺幣PORT。以上均是流動性相對較低的幣種，其價格存在很大的被操縱空間，為這些平臺的安全增加了一層不確定性。

代碼開源

在評估借貸平臺的安全性時，代碼是否開源是另一個重要的指標。開源意味著所有的代碼都是公開透明的，每個人都有訪問權限。開源的代碼會為平臺增加安全性主要是因為以下幾點。

?由于開源代碼的透明性，更多雙眼睛可以幫助平臺一起尋找并維護代碼

?開源代碼意味著平臺在解決安全隱患時將會更有效率，極高的公眾可見性為解決漏洞增加了緊迫性

?開源代碼意味著開發人員無法在代碼中鑲嵌惡意指令

在本文今天所分析的所有平臺中，只有Larix和Solend在官網上明確表示他們的代碼是開源的，其余平臺的代碼是否開源或部分開源尚不得而知。

預言機

借貸項目最主要的風險來自于兩個方面，第一是私鑰泄露，第二就是報價出錯。其中報價出錯除了支持資產的價格被惡意操縱外，還有很大的風險是來自于預言機的報價錯誤。Solend就曾因為mSOL報價錯誤，導致不少用戶被錯誤清算，損失資產的情況。而Apricot官方近日也緊急下架了LP抵押功能，并承認了其LP計價方式有誤，但還是導致部分用戶被錯誤清算損失了資金。目前這幾家借貸采用的主要還是Pyth的預言機方案，ChainLink還未支持Solana資產的報價。但比較合理的還是中心化和去中心化交易所，以及預言機喂價相互校驗的喂價機制。

漏洞賞金計劃

漏洞賞金是一個為借貸平臺增加額外安全性的機制，為發現漏洞并上報給平臺方的人提供豐厚的賞金，該計劃鼓勵社區和白帽子黑客對智能合同的安全性進行審計。Solend,Larix和Port都有明確的漏洞賞金計劃。2021年11月，Solend和Larix聯手向發現并上報了SPL代幣借貸庫漏洞的Neodyme團隊提供了豐厚的賞金。

總結

在金融中，有一個理論叫做’不可能三角’理論，即高流動性，低風險和高收益是無法同時滿足的。這個理論同樣適用于加密領域的投資，因此，與其不停的追逐更高的收益，我們應該停下來花一點時間來思考我們資產的安全性。畢竟，如果賺了利息，但卻丟了本金，那可就真是撿了芝麻丟了西瓜。切記，挖礦千萬條，安全第一條。

Tags：SOLOLEVENARIX1sol幣等于多少美元BOLE幣LIVENFT幣arix幣怎么買

Polygon