Время Читать: 6 минут
Пространство Web3 — это создание децентрализованных сервисов и прозрачного потока информации. Кредитование и займы, важнейшая часть финансовых моделей во всем мире, уже некоторое время являются частью экосистемы web3.
Такие протоколы, как AAVE, Compound и dYdX принесли кредиты и займы в наше пространство web3, обойдя традиционные банковские процедуры и ограничения по получению кредитов. Эти протоколы являются пионерами децентрализованного кредитования и заимствования.
По мере роста сообщества Web3 кредитование и заимствование стали очень полезными, в результате чего TVL (общая заблокированная стоимость) этих протоколов быстро превысила миллиарды.
Представьте, что кто-то дал вам 4 миллиарда долларов, чтобы потом забрать их у вас. Что бы вы не сделали, чтобы сохранить его в безопасности? Точно так же представьте, насколько важен вопрос безопасности для этих протоколов. Это так просто. Протокол кредитования и заимствования невозможен без безопасности, и ни одна финансовая модель не может существовать без таких услуг кредитования и заимствования.
В попытке служить сообществу web3 и рассказать вам о том, какие важные проверки должны пройти такие протоколы, чтобы обеспечить полное доверие и справедливость по отношению к пользователям, QuillAudits, как всегда, здесь, чтобы помочь вам понять несколько проверок безопасности, о которых необходимо позаботиться. перед тем, как стать публичным. Давайте начнем.
Советы по обеспечению безопасности кредитов и займов
В этом разделе мы рассмотрим некоторые важные аспекты и услуги кредитования и заимствования, создадим понимание, а затем поделимся некоторыми советами о том, как сделать их безопасными. В конце мы увидим некоторые общие проверки, которые необходимо обеспечить. Пойдем.
1. Флэш-кредиты
Это что-то действительно интересное. Этот механизм может сделать вас миллионером (хотя бы на несколько секунд), но при правильном использовании он очень полезен во многих сценариях. Но что это?
Представьте это в подростковом возрасте. Вы едете на велосипеде, чтобы купить что-то в магазине, который давно посещаете, и продавец вас знает. Вы добираетесь туда и говорите продавцу: «Слушай, у меня есть план. Мне нужно немного денег. Я обещаю вернуть его вам перед отъездом домой. Мне просто нужно совершить несколько сделок», но владелец магазина все еще хочет какой-то уверенности в том, что он получит его обратно, поэтому он слушает ваш план, вы говорите ему: «Дайте мне 10 долларов, я куплю яблоки с рынка, где цена составляет 5 долларов за яблоко, и продайте его на рынке B, где цена яблока составляет 7 долларов». Продавец теперь уверен, что сумма будет возвращена ему, дает ему деньги, и все, вы делаете это и получаете солидную прибыль в размере 4 долларов и возвращаете 10 долларов продавцу, а затем иди домой счастливым!
Это то, что представляет собой Flash Loan, только с дополнительной защитой. Флэш-кредит позволяет вам занять огромную сумму денег в миллионах без какого-либо залога, но с одним условием: вы вернете все деньги до добавления нового блока в цепочку (дело секунд). Но даже за считанные секунды есть огромные заявки на быстрые кредиты. Флэш-кредиты также использовались для некоторых из самых разрушительных взломов, выполненных на некоторых протоколах в web3. Эти взломы также включали работу оракула. Давайте узнаем об оракулах с точки зрения безопасности.
2. оракул
Блокчейн сам по себе является совершенно новым миром, который отделен от данных физического мира, но с помощью оракулов мы можем преодолеть разрыв между данными блокчейна и данными физического мира. Почему это необходимо?
Если подумать, это играет решающую роль в блокчейне. Допустим, вы создаете протокол, который страхует фермеров. Вы составляете контракт, в котором говорится, что каждый фермер в конце месяца предоставит премию в размере 100 долларов, и если температура будет выше 100 градусов по Фаренгейту в течение пяти дней подряд, он имеет право на иск в размере 1000 долларов за потерю урожая. Простой контракт, который обеспечивает фермеров. Но как блокчейн узнает, что температура была выше 100 градусов по Фаренгейту в течение пяти дней? Вот когда в игру вступают оракулы.
2.1 безопасности
Оракулы предоставляют фактические данные о физическом мире для расчетов и условий в цепочке. Таким образом, наш протокол зависит от правильности оракулов. Видите ли, расчеты часто основаны на определенных условиях, данные о которых предоставляются оракулами. Тем не менее, если эти данные повреждены или каким-то образом скомпрометирован оракул, это будет означать, что протокол был скомпрометирован. И у них ОГРОМНЫЕ потери как раз из-за этого факта.
Для протоколов кредитования для определения цены актива используется ценовой оракул для получения цен как в сети, так и вне сети. Ончейн-оракулы столкнулись с множеством проблем, позволяющих манипулировать ценами. Поэтому эти протоколы полагаются на офчейн-оракулы, такие как Chainlink, для отчетности по ценам. Это более безопасно, поскольку цены берутся из различных источников (например, бирж) от доверенных сторон. Всегда рекомендуется использовать оракул, который хорошо известен в пространстве web3, и об их интеграции в протокол следует позаботиться должным образом.
3. Займы на основе NFT
Мы можем заимствовать токены, сохраняя собственные NFT в качестве залога при децентрализованном кредитовании и заимствовании. Как это работает, одна сторона держит принадлежащий NFT заблокированным в течение фиксированного периода времени и взамен получает кредит на согласованную сумму с согласованной процентной ставкой. Теперь, если сторона не может погасить основную сумму + проценты, кредитор получает право собственности на NFT. Эта система эквивалентна сохранению вашей земли в качестве залога для получения займа, которая так долго существовала в обществе.
3.1 безопасности
Как обсуждалось выше, необходимые ценовые оракулы должны быть надежными и бескомпромиссными. В случае с NFT известными моделями являются opeansea/looksrare, поэтому при работе над этим следует убедиться, что ценовые оракулы взяты из opensea/looksrare.
Некоторые протоколы позволяют изменять условия кредита/процентов между взятыми кредитами через NFT. Если вы хотите работать над такой функцией, вам следует проверить и поработать над формализацией того, как изменения влияют на значения ссуды/процентов, а затем надежно внедрить ее.
4. Общие стратегии
В разделах выше мы узнали о нескольких аспектах, не связанных напрямую с протоколом. Это аспекты безопасности, основанные на дизайне и функциях, которые играют важную роль в вопросах, связанных с безопасностью в протоколе. Теперь мы собираемся сосредоточиться на различных проверках протокола.
- СчетчикиТокены:- Всякий раз, когда пользователь вносит токены, он получает взамен токены, которые можно обменять на токены или использовать в качестве залога. Эти контракты aToken должны соответствовать всем проверкам безопасности, которые проходят токены ERC20.
- Монетный двор / сжигание: - Всякий раз, когда происходит депозит или заимствование, происходит процесс чеканки и сжигания токенов. Убедитесь, что вы правильно включили логику.
- <span class="glossaryLink" aria-describedby="tt" data-cmtooltip="
проскальзывание<!– wp:paragraph –>Криптовалютный рынок чрезвычайно волатилен, что увеличивает вероятность разницы в цене между моментом, когда покупатель размещает заказ, и моментом исполнения сделки. И именно поэтому биржи позволяют трейдерам вводить допустимое значение допустимого проскальзывания. В любом случае, если сумма сделки превышает допуск на проскальзывание, сделки не выполняются. <br/><!– /wp:paragraph –>
” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]”>Плата за проскальзывание:- <span class="glossaryLink" aria-describedby="tt" data-cmtooltip="
проскальзывание<!– wp:paragraph –>Криптовалютный рынок чрезвычайно волатилен, что увеличивает вероятность разницы в цене между моментом, когда покупатель размещает заказ, и моментом исполнения сделки. И именно поэтому биржи позволяют трейдерам вводить допустимое значение допустимого проскальзывания. В любом случае, если сумма сделки превышает допуск на проскальзывание, сделки не выполняются. <br/><!– /wp:paragraph –>” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]”>Проскальзывание – это разница в цене между отправкой транзакции и ее подтверждением. на блокчейне. Нам нужно убедиться, что пользователь не может манипулировать
проскальзывание<!– wp:paragraph –>Криптовалютный рынок чрезвычайно волатилен, что увеличивает вероятность разницы в цене между моментом, когда покупатель размещает заказ, и моментом исполнения сделки. И именно поэтому биржи позволяют трейдерам вводить допустимое значение допустимого проскальзывания. В любом случае, если сумма сделки превышает допуск на проскальзывание, сделки не выполняются. <br/><!– /wp:paragraph –>” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]”>плата за проскальзывание.
- Пограничные случаи: - Всегда проверяйте крайние случаи на этапе тестирования разработки протокола, например, извлекайте огромную часть актива из
Пул ликвидности<!– wp:paragraph –> Пулы ликвидности — это крипто-токены, заблокированные в смарт-контракте для обеспечения ликвидности децентрализованных бирж. Пул ликвидности зависит от автоматического маркет-мейкера (AMM), который определяет цену токенов с помощью математической формулы и помогает эффективно совершать сделки.<br/><!– /wp:paragraph –>
” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]”>пул ликвидности и посмотрите, как он себя ведет и т. д. Чтобы узнать больше о тестировании и формальной проверке , Ссылаться на https://blog.quillhash.com/2023/02/16/testing-and-formal-verification/
Заключение
Протокол кредитования и заимствования был частью экосистемы web3 в течение некоторого времени, эта область была первой, которая была исследована в пространстве web3, поэтому она стала свидетелем множества атак и взломов. Было решено, что существуют постоянные новые атаки, о которых должны заботиться эти протоколы, и постоянное обновление таких протоколов также создает возможности для атак.
Крупные протоколы, такие как AAVE, также понимают необходимость безопасности и передают ответственность за безопасность аудиторам. QuillAudits зарекомендовала себя в сфере безопасности web3 и, благодаря заметным аудитам, обладает опытом защиты некоторых из самых сложных и интересных протоколов. Если вам нужен аудит, посетите наш веб-сайт и проведите аудит вашего протокола сегодня.
17 Просмотры
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://blog.quillhash.com/2023/03/01/securing-the-lending-and-borrowing-in-web3-space/
- $1000
- 1
- 100
- 7
- a
- Aave
- О нас
- об этом
- выше
- добавленный
- влиять на
- Все
- позволяет
- всегда
- AMM
- количество
- amp
- и
- Apple
- Приложения
- ПЛОЩАДЬ
- аспекты
- активы
- гарантия
- уверил
- Токен
- нападки
- аудит
- аудит
- Аудиторы
- аудит
- Автоматизированный
- назад
- основанный
- , так как:
- до
- между
- миллиард
- миллиарды
- Заблокировать
- блокчейн
- данные блокчейна
- брать в долг
- Заимствование
- МОСТ
- строить
- купить
- расчеты
- не могу
- заботится
- случаев
- случаев
- определенный
- Звено цепи
- шанс
- изменения
- изменения
- проверка
- Проверки
- утверждать
- Залог
- как
- Общий
- сообщество
- полный
- комплекс
- Соединение
- Ослабленный
- расчеты
- состояние
- Условия
- ПОДТВЕРЖДЕНО
- постоянная
- (CIJ)
- контракт
- контрактов
- поврежден
- Создайте
- создали
- создает
- Создающий
- культур
- Пересекать
- решающее значение
- крипто-
- Криптографический рынок
- КРИПТО ТОКЕНЫ
- Порез
- повреждения
- данным
- Дней
- децентрализованная
- децентрализованная
- децентрализованное кредитование
- децентрализованные биржи
- зависимый
- пополнять счет
- депозиты
- Проект
- Определять
- Развитие
- разница
- различный
- непосредственно
- обсуждается
- проект
- экосистема
- Edge
- воспитывать
- эффективно
- или
- право
- обеспечивать
- обеспечивает
- Enter
- Эквивалент
- ERC20
- Токены ERC20
- и т.д
- Даже
- Каждая
- превышает
- обмена
- Биржи
- опыта
- Разведанный
- чрезвычайно
- не удается
- фермеров
- Особенность
- Комисии
- Получено
- несколько
- финансовый
- Во-первых,
- фиксированной
- Flash
- флэш-кредиты
- поток
- Фокус
- формальный
- формула
- от
- разрыв
- получить
- дает
- Go
- будет
- взломы
- помощь
- полезный
- здесь
- имеет
- Главная
- Как
- HTTPS
- огромный
- важную
- in
- включать
- расширились
- информация
- страхование
- интеграции.
- интерес
- УРОВЕНЬ ИНТЕРЕСА
- интересный
- вовлеченный
- вопросы
- IT
- саму трезвость
- Юстиция
- Сохранить
- хранение
- Знать
- известный
- Земля
- УЧИТЬСЯ
- узнали
- кредитор
- кредитование
- недостатки
- Ликвидность
- пул ликвидности
- бассейны ликвидности
- варианты
- Кредиты
- запертый
- Длинное
- много времени
- от
- потери
- серия
- сделанный
- основной
- сделать
- Создание
- Манипуляция
- многих
- рынок
- математический
- Вопрос
- механизм
- Встречайте
- миллионы
- чеканка
- модель
- Модели
- деньги
- БОЛЕЕ
- самых
- имя
- необходимо
- Необходимость
- Новые
- NFT
- NFTs
- примечательный
- В сети
- ONE
- оракул
- Оракулы
- заказ
- принадлежащих
- собственность
- часть
- Стороны
- вечеринка
- Выполнять
- фаза
- физический
- пионеры
- Мест
- план
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- Точка
- Точка зрения
- бассейн
- Пулы
- мощностью
- Премиум
- цена
- Цены
- Основной
- проблемам
- Процедуры
- процесс
- проектов
- обещание
- должным образом
- протокол
- протоколы
- обеспечивать
- что такое варган?
- быстро
- Квиллхэш
- Обменный курс
- достигать
- получает
- Связанный
- складская
- погашать
- Reporting
- ответственность
- возвращают
- Роли
- Комната
- безопасный
- Сценарии
- секунды
- Раздел
- разделах
- безопасный
- безопасно
- обеспечение
- безопасность
- продаем
- служить
- Услуги
- несколько
- Поделиться
- Магазин
- должен
- Аналогичным образом
- просто
- проскальзывание
- умный
- умный контракт
- So
- Общество
- некоторые
- Кто-то
- удалось
- Источники
- Space
- Начало
- По-прежнему
- прямой
- отправить
- такие
- поставляется
- система
- взять
- с
- подросток
- terms
- тестXNUMX
- Тестирование
- Ассоциация
- мир
- их
- следовательно
- Через
- время
- Советы
- в
- сегодня
- знак
- Лексемы
- терпимость
- Всего
- общая стоимость заблокирована
- торговать
- Торговцы
- торги
- традиционный
- сделка
- прозрачный
- Доверие
- надежных
- понимать
- понимание
- модернизация
- Информация о пользователе
- пользователей
- ценностное
- Наши ценности
- различный
- проверка
- Вид
- летучий
- Web3
- Сообщество Web3
- Экосистема Web3
- Веб3 пространство
- Вебсайт
- известный
- Что
- Что такое
- будь то
- который
- в то время как
- все
- будете
- без
- Работа
- работавший
- работает
- работает
- Мир
- по всему миру
- бы
- Ты
- ВАШЕ
- зефирнет