COM:在Compound上存款收利息需要注意的幾種風險

作者:?AmeenSoleimani

翻譯&校對:?Aisling?&阿劍

來源：以太坊愛好者

你可能聽說過區塊鏈初創企業Compound。他們基于以太坊創造了compound.finance，個人可以在該市場中出借所持有的ETH，DAI，USDC及一些其他ERC20數字資產并以此賺取利息。

Today,theinterestrateofferedtoDAIlendersis10%,whichishighenoughtoturnEthHeads’heads(seecoverphoto).

如今，DAI出借方的利率是10%，足以讓ETH持有者側目。

作為SpankChain的CEO，管理包括近50萬DAI的公司儲備是我的職責。如果不把我們的DAI放到Compound平臺上，按照10%的年利率，那么我們將每個月損失近4000美元。這是相當大的一筆機會成本。但是投資需要牢記的是：天下沒有免費的午餐。所有的投資都有風險，在Compound平臺上放貸也不例外。

上個月，我花了一些時間對通過Compound平臺放貸存在的幾類風險進行了評估：

智能合約安全風險

中心化單點故障

銀行擠兌風險

我將調查研究分成了以下幾類，但是在此之前首先需了解的最重要的事情是：

智能合約安全近乎完全沒問題。

Compound是一個

ATOM 2.0白皮書將在Cosmoverse期間公布:9月26日消息，ATOM 2.0白皮書將于今天9月26日在哥倫比亞麥德林Cosmoverse的第一天發布。據Cosmos生態系統中的內容創建者Cryptocito預測，ATOM 2.0將解決代幣經濟學、費用燃燒和通貨膨脹問題。

據Cosmoverse官方推特賬戶證實，活動期間的三場會談將涵蓋白皮書、愿景、代幣經濟學以及對區塊鏈的未來影響。[2022/9/26 22:30:58]

托管系統，

如果借貸池管理員的私鑰泄漏，則所有借貸池中的資產將都可能被盜走。

在Compound上放貸

不保證能隨時提取資產。如果您嘗試提取您的資產，但是當時所有資產都鎖定在未償還的貸款中，那么您的提款交易將失敗。

-我希望這些投資者人能夠了解這些風險...圖源：

https://defipulse.com/compound-

合約安全

已有多家知名的智能合約安全公司對Compound進行了審計。

OpenZeppelin審計報告

TrailofBits審計報告

Certora審計報告

此外，Compound還為嚴重漏洞專門提供了上限為25萬美元的懸賞，據我所知，目前還沒有獨立安全研究人員獲得這筆賞金。

Project Galaxy將于2月17日在Coinlist進行公開銷售，NFT持有者可獲得優先購買權:2月11日消息，NFT基礎設施服務商Project Galaxy宣布將于2月17日在Coinlist平臺進行Token公開銷售，目前已開放注冊。該項目計劃總共發售1000萬個GALToken（總量為2億個），單價為1.5美元，12個月內每周線性解鎖。

同時為獎勵 Project Galaxy 生態系統的早期采用者，Galaxy Brain、Galaxy Meta Cowboy NFT Series、Galaxy Girl and Reindeer NFT、Shadowy Coder NFT Series、Galaxy End of the Year AMA、Galaxy AMA #2、CoinList FiaWorks 3000 NFT、CoinList FiaWorks 222 NFT持有者地址已添加到GALTokenCoinList公開銷售的優先隊列中。快照時間為2月8日。[2022/2/11 9:45:33]

該合約保存的資產至少有六個月超過2000萬美元，至少有兩個月超過5000萬美元，當前該合約里保存的資產超過1億美元。對我個人而言，合約安全最重要的指標是合約持有總資產×合約保存資產時間，到目前為止，Compound的安全性已經得到了大量公共資產的證明。

基于以上因素，我目前認為Compound智能合約是安全的。

中心化單點故障

由于我自己并不是一名智能合約安全專家，因此我向samczsun尋求幫助——samczsun以發現了0x合約中一個關鍵bug而出名，他也因此獲得了10萬美元的報酬。關于Compound的中心化單點故障，他提供的報告如下：

哈薩克斯坦正在Corda平臺試點CBDC:金色財經報道，哈薩克斯坦國家銀行(NBK)表示，正在使用R3的Corda平臺進行中央銀行數字貨幣(CBDC)即數字堅戈的試點。NBK強調了Corda保持“交易的匿名性、機密性和可追溯性”和開源代碼的能力。該試點于5月啟動，涉及該國兩家較大的商業銀行Kaspi Bank JSC和Eurasian Bank JSC。該報告是今年以數字堅戈為基礎的第二份報告，其中考慮了CBDC用例以及潛在的貨幣和金融影響等問題。在NBK正在探索的兩層CBDC模式中，中央銀行對整個系統進行監管，小型銀行為用戶開放數字堅戈錢包，以“兌換、贖回、恢復數字堅戈并進行銀行間轉賬”。與現金類似，數字堅戈代幣不會記錄在銀行的資產負債表上，只會記錄在用戶的數字錢包中，確保堅戈交易不同于銀行電匯支付。報告稱，該代幣可以進行編程，以便只有經過授權的公共機構才能分配資金，而個人的支出方式將受到限制。該報告樂觀地認為，數字堅戈可以促進更多的金融包容性。該文件還建議CBDC應該可以離線使用，以確保無法訪問互聯網的人也可以使用這種貨幣，盡管它表示在這種情況下防止雙花的技術解決方案還有待開發。NBK計劃在2022年7月之前完成更多的試驗和研究，然后再決定是否在12月推出數字堅戈。[2021/12/17 7:44:43]

Compoundv2有四種不同的管理職能，由三個地址分別承擔：

每種cToken都有一個管理員。目前，所有cToken的管理員都被設置為?0x8B8592E9570E96166336603a1b4bd1E8Db20fa20

每種cToken都有一個監察員，目前都被設置為?0x3d9819210A31b4961b30EF54bE2aeD79B9c9Cd3B。Unitroller也有一個管理員，目前被設置為?0x8B8592E9570E96166336603a1b4bd1E8Db20fa20

BTC在Coinbase溢價1.87% 美國買盤嚴重強于亞洲買盤:AICoin指數行情顯示，過去1小時，Coinbase BTC溢價指數持續上漲至最高0.01877，即BTC在Coinbase上的報價溢價1.87%，這表明當前美國買盤嚴重強于亞洲買盤。[2021/5/20 22:22:52]

當前的價格預言機都有一個錨點管理員和一個poster，分別為設置為0xF06e41aDD8A7E7A8aD81a07C0ACA291E4573ca50?和?0x3c6809319201b978D821190Ba03fA19A3523BD96。

只要能獲得一種cToken的管理員資格，攻擊者就可以替換監察員實現，然后執行以下一項或者多項操作：

通過transferAllowed函數返回false防止轉移現有cTokens

通過transferAllowed函數返回true轉移作為抵押品的cTokens

通過mintAllowed函數返回false防止生成新的cTokens

通過redeemAllowed函數返回false防止贖回已有cTokens

通過repayBorrowAllowed函數返回false防止償還現有貸款

通過liquidateBorrowAllowed函數返回false防止清算貸款

通過seizeAllowed函數返回true竊取用戶cTokens

通過borrowAllowed函數返回false防止借入底層資產

加密交易員：有人僅用18美分在Coinbase上獲得了4.2萬枚比特幣:一名加密交易員和技術分析師表示，他在瀏覽美國主要密碼交易所Coinbase的訂單時發現了一個重大錯誤。這位化名為Captain Scio的分析師周日發布了一張該交易所交易歷史的圖片，顯示有人僅用18美分就獲得了價值42085枚比特幣。盡管Coinbase尚未發布有關異常交易的聲明，也未確認是否確實進行了交易，但該公司表示，它保留撤銷與重大技術錯誤有關的任何交易的權利。這不是交易者第一次在Coinbase上發現主要的價格故障。早在今年1月，據報道單獨發行的Coinbase使得XRP的價格達到了8,341美元，而在2018年12月，交易員發現Coinbase Pro（以前稱為GDAX）出現了閃崩，使交易員可以以13美元的價格購買以太坊。[2020/4/7]

通過borrowAllowed函數返回true來吸干所有底層資產

通過cToken的管理員資格，攻擊者還可以替換利率模型，從而實現：

將借貸成本提升至0.0005%/區塊

若能獲得Unitroller代理的管理員資格，攻擊者可以：

對于所有使用Unitroller的cTokens，通過替換Unitroller實現與替換cToken監察員一樣的攻擊

通過更改清算激勵機制，在清算時獲得更多的代幣

通過更改價格預言機，以低于實際的價格進行cTokens借貸

通過更改某種cToken的質押信息，結合新增cToken以及更改價格預言機的能力，攻擊者可以通過他們創造的代幣進行抵押借款，實現竊取系統全部資產。

若能獲得價格預言機的錨點管理員資格，攻擊者可以：

使得某一資產的價格偏離其真實價格的10%

若能獲得價格預言機的poster資格，攻擊者可以：

每個小時都讓資產價格偏離其存儲價值的10%

若能同時取得對價格預言機的管理員資格和poster資格，攻擊者就可以：

將資產價格設為任意值

總結一下samczsun的報告：Compound合約被設計為可以通過中央管理員進行適當的升級。最重要的合約是代理合約，其指向包含了邏輯實現的邏輯合約地址，管理員擁有隨意修改地址指針的權利。

由于所有的cTokens使用相同的管理員，如果管理員私鑰泄露了，那么所有質押在Compound中的資產都可以被輕松竊取。

sam的報告中也提到了一些更為狡猾的攻擊，如果攻擊者有這樣的機會——比起實施更為復雜的攻擊，這樣可以更快的卷走所有錢。

OpenZeppelin在他們的Compound審計概要中進行了有效總結。

然而，惡意管理員或者被竊取私鑰的管理員手中擁有凍結市場、審查交易甚至從系統中竊取全部資產的能力。

類似地，控制資產價格預言機即便不能竊取系統的全部資產，也可以竊取大部分。當前，所有實時市場的管理員都是同一個外部賬戶。

但是有趣的是，TrailofBits團隊沒有在任何相關材料中提及這一點。此外，Compound的FAQ還低估了管理員特權，并沒有提供任何關于管理員有可能竊取所有資產的警告：

協議的開發者CompoundLab，Inc，目前控制著以太坊地址：0x8b8592e9570e96166336603a1b4bd1e8db20fa20，即管理員地址。管理員地址擁有新增資產、更新價格預言機、更新利率模型以及更新協議風險模型的權利。

另一件需要注意的事情是，Compound當前的托管設置本身并不會導致系統的不安全。他們會極力維護管理員密鑰安全，并且很有可能他們正在與820萬美元種子輪融資可以買到的最好的托管供應商合作。不過毫無疑問，在決定存入50萬DAI時，我會將這一點放在心上。

銀行擠兌風險

Dharma首席運營官之前的的這條關于競爭性貸款平臺的推特，帶我打開了新世界的大門，讓我明白了Compound這類平臺的銀行擠兌風險。

上述推特中顯示的利用率高達98.62%，這意味著在當時，出借方存儲的98.62%的DAI都已經借出。只有1.38%的DAI還可取出，所以，在當時，只有相當小一部分出借方可以隨自己心愿收回其存入的DAI。

如果有足夠多的DAI債權方在同一時刻想要收回他們存入的DAI，他們的提款操作將耗盡所有可用DAI，并使得DAI利用率提升至100%，從而阻止進一步的提款操作。試圖提款的出借方將只能看到交易失敗，并且不得不等到更多的借款方歸還貸款后才能進行提款。

由于存在cDAI提款卡殼的可能性，人們將會對此有所顧慮，并且他們的擔憂可能會自我實現。就是說，當一部分cDAI持有者試圖一次取出其存入的全部DAI時，銀行擠兌將有可能發生，因為有很多cDAI持有者都擔心這種情況的發生。

陷入cDAI銀行擠兌的出借方可以選擇等之后再取出其DAI，也可以通過出售cDAI以獲得DAI，但是這樣會產生手續費，而且，如果有許多其他出借方也在出售cDAI，那么價格可能會更差。?如果出借方選擇等待危機結束并繼續持有cDAI，在此期間他們仍可以享受到出借資金所得的利息。

Compound是如何解決這個問題的？

Compound團隊對這種流動風險的處理都很直接，他們在白皮書中進行了相關介紹：

該協議不保證流動性；相反，它依靠利率模型進行激勵。在資產需求極度旺盛的的時期，協議的流動性將減少；在這種情況下，利率會上升，從而刺激供應并抑制借貸。

Compound基于cToken特定的“利率合約”為每種cToken確定借款人的利率。該合約目前實現了cDAI的利率模型。公式為：借款人年利率=基本利率+

對于cDAI而言，基本利率=5％，乘數=15％。利用率為100%時，借款人支付的利息為20％。這意味著當DAI利用率最大時，借款人的資金成本也只是20%——因此，如果他們相信ETH這一年的漲幅會超過20％的話，他們就沒有動力償還貸款。?這可能會導致很多cDAI持有者在很長一段時間內還將繼續持有cDA。

Compound唯一能處理這一問題的工具就是使用中心化管理員升級利率模型，這就是6周前，利用率升到99%時他們所采用的方案。

綜上所述，利用率達到最大時存在流動性危機以及迫在眉睫的銀行擠兌風險，而出借方唯一能做的事就是希望Compound使用管理員特權更新并且增加利率，從而激勵借款方償還貸款進一步提高想要退出的出借方所需的流動性。

<結論

像Compound這樣的協議在中心化和去中心化中保持著微妙的平衡，它需要權衡快速升級的能力和由此必然引入的中心化單點故障。

我不覺得Compound選擇中心化的方式引導其產品是錯的，但是我確實希望智能合約中包含1000萬～1億美元的項目能夠按照最高標準進行，尤其是在向用戶傳達風險和提供警告方面。

基本上，我們應該支持、鼓勵項目做與RobertLeshner相反的事情：

中心化在技術上可能是正確的，但是我們都知道攻陷管理員的辦法有很多...

現在我依舊沒有想好是否要將我管理的DAI存儲到Compound中。可能我會先用10萬個DAI試試水？會出什么問題呢...InCompoundWeTrust！

感謝EvaBeylin的反饋以及編輯！

原文鏈接:

https://medium.com/@ameensol/what-you-should-know-before-putting-half-a-million-dai-in-compound-fafdb2645f77

作者:?AmeenSoleimani

翻譯&校對:?Aisling?&阿劍

Tags：COMOMPUNDCOMPCOMCcompound幣最新消息Compound Wrapped BTC

Polygon