DeFi 合约安全的新模式:关注协议不变性_DEFI:Kompass

不要只为特定的函数写 require 语句;为你的协议写 require 语句。函数遵循检查 (requirements)- 生效 (Effects)- 交互 (INteractions)+ 协议不变性 (Invariants) 或 FREI-PI 模式可以帮助你的合约更加安全,因为它迫使开发人员除了关注函数级别的安全之外,还要关注协议级别的不变性。

2023 年 3 月,Euler Finance 被黑客攻击,损失 2 亿美元。Euler Finance 是一个借贷市场,用户可以存入抵押品并以其为抵押进行借款。它有一些独特的功能,实际上他们是一个可与 Compound Finance 和 Aave 媲美的借贷市场。

你可以阅读关于这个黑客的事后总结。它的主要内容是在一个特定的函数中缺少健康检查,允许用户打破借贷市场的基础不变性。

大多数 DeFi 协议的核心都有一个不变性,即程序状态的一个属性,它被期望永远是真的。也可能有多个不变性,但一般来说,它们是围绕着一个核心思想建立的。这里是一些例子:

如在借贷市场中:用户不能采取任何行动,使任何账户处于不安全或更不安全的抵押品仓位(「更不安全」意味着它已经低于最低安全阈值,因此不能进一步提取)。

AMM DEX 中:x * y == k,x + y == k,等等。

流动性挖矿抵押中:用户应该只能提取他们存入的抵押代币数量。

Euler Finance 出错的地方不一定是他们增加了功能,没有写测试,或者没有遵循传统的最佳实践。他们对升级进行了审计,并有测试,但还是被漏掉了。核心问题是他们忘记了借贷市场的核心不变性(审计人员也是如此!)。

DeFi协议Archimedes完成490万美元种子轮融资:金色财经报道,专注于杠杆的去中心化借贷协议 Archimedes 在种子轮融资中筹集了 490 万美元,Hack VC 领投,Uncorrelated Ventures、Truffle Ventures、Haven VC 和其他公司参与。种子轮融资使 Archimedes 的总融资额达到 730 万美元,该公司去年 3 月在由 Shima Capital 牵头的Pre-seed 融资中筹集了 240 万美元。

Archimedes 的原生稳定币称为 lvUSD,其原生代币称为 ARCH,协议承诺“可持续的更高”回报, Archimedes 团队表示,该协议仍在开发中,将于本月推出。[2023/2/2 11:42:17]

注:我不是要挑刺 Euler,他们是一个有才华的团队,但这是一个最近的案例。

你可能在想「嗯,没错。这就是他们被黑的原因;他们忘了一个 require 语句」。是也不是。

但为什么他们会忘记 require 语句呢?

推荐给 solidity 开发者使用的一个常见模式是 Checks-Effects-Interactions(检查 - 生效 - 交互)模式。它对于消除与重入有关的错误非常有用,而且通常会增加开发人员去执行输入验证的的数量。_但是_,它容易出现只见树木不见森林的问题。

它教给开发人员的是:「首先我写我的 require 语句,然后我做生效,然后也许我做任何交互,然后我就安全了」。问题是,通常情况下,它变成了检查和效果的混合体 -- 不错吧?交互仍然是最后的,所以重入性不是一个问题。但它迫使用户关注更具体的功能和个别的状态转换,而不是全局的、更广泛的背景。这就是说:

Compound Treasury获得标准普尔B-信用评级,为首个获得主要信用评级机构评级的DeFi产品:官方消息,Compound宣布,Compound Treasury获得国际评级机构标准普尔(S&P Global Ratings)的B-信用评级,成为第一个由主要信用评级机构评级的机构去中心化金融 (DeFi) 产品,并标志着随着传统机构开始判断数字资产驱动的金融产品的风险,加密行业的成熟度取得了巨大进展。

在授予其评级和稳定展望时,标准普尔引用了USDC的不确定监管制度、稳定币兑换法定货币的风险、Compound Treasury目前有限的资本基础和4.00%的回报义务。

作为与标准普尔正在进行的讨论的一部分,Compound Treasury的评级可能会上调,例如数字资产行业的监管更加明确,或者业绩稳定的记录更长。

据悉,Compound Treasury是专为机构设计的加密货币现金管理解决方案。合格的投资者可以通过每日流动性赚取4%的USD和USDC。[2022/5/9 3:01:28]

仅仅是检查 - 生效 - 交互模式就会使开发者忘记他们协议的核心不变性。

对于开发者来说,它仍然是一个出色的模式,但总是应该确保(服务于)协议的不变性(说真的,你还是应该使用 CEI!)。

以 dYdX 的 SoloMargin 合约(源码)中的这个片段为例,它是借贷市场和杠杆交易合约。这是一个很好的例子,我称之为 功能检查 - 生效 - 交互 + 协议不变性(Function Requirements-Effects-Interactions + Protocol Invariants )模式,或 FREI-PI 模式。

DeFIL 2.0 现已上架麦子钱包去中心化应用商店MWDS:据官方消息,Filecoin去中心化金融服务平台DeFIL 现已上架麦子钱包去中心化应用商店,用户现可通过麦子钱包应用商店检索\"defil\"查阅,或在官网下载麦子钱包后切换BSC网络搜索defil进行交互操作。

据悉,麦子钱包 (MathWallet) 拥有近百万活跃用户。DeFIL 2.0的定位是去中心化的Filecoin借贷和金融服务平台。[2021/9/6 23:03:41]

因此,我相信这是早期借贷市场中唯一没有任何市场相关漏洞的借贷市场。Compound 和 Aave 没有直接出现问题,但他们的分叉代码有关于过问题。而 bZx 则被黑了多次。

检查下面的代码,注意以下的抽象概念:

检查输入参数(_verifyInputs)。

动作(数据转换,状态操作)

检查最终状态(_verifyFinalState)。

仍然执行常用的 Checks-Effects-Interactions。值得注意的是,带有额外 检查的 检查 - 生效 - 交互并不等同于 FREI-PI-- 它们是相似的,但服务于根本不同的目标。因此,开发者应该认为它们是不同的:FREI-PI 作为一个更高的抽象,旨在实现协议安全,而 CEI 旨在实现功能安全。

Cactus Custody推出新功能“DeFi连接器”:据官方消息,Cactus Custody推出崭新功能 — DeFi连接器。它将带来无缝、安全且多样化的托管内DeFi使用体验。通过这项服务,客户可以与WalletConnect和WalletLink支持的DeFi项目进行交互,参与Curve,Uniswap,AAVE和Compound等项目获取收益。

Cactus Custody专注于构建业界领先的系统安全设计和基础设施,以及提供适应于多样化业务场景的强大企业级财务管理功能。[2021/1/14 16:10:02]

这个合约的结构真的很有趣 -- 用户可以在一连串的行动中执行他们想要的行动(存款、借款、交易、转让、清算等)。想存入 3 个不同的代币,提取第 4 个,并清算一个账户?这是一个单一的调用。

这就是 FREI-PI 的力量:用户可以在协议内做任何他们想做的事情,只要核心借贷市场的不变性在调用结束时成立:一个用户不能采取任何行动,将任何账户置于不安全或更不安全的抵押品仓位。对于这个合约,这是在_verifyFinalState 中执行的,检查每个受影响账户的抵押情况,确保协议比交易开始时更好。

该函数中包括一些额外的不变性,这些不变性是对核心不变性的补充,有助于实现关闭市场等附属功能,但真正保持协议安全的是核心检查。

FREI-PI 的另一个问题是以实体为中心的概念。以一个借贷市场和假定的核心不变性为例:

现场丨陈枫:只有DeFi完整之后,再加上数据NFT可能会有更好的想象空间:金色财经现场报道,10月19日,由金色财经主办,链上ChainUP,脉冲科技,达摩院协办的金色沙龙第56期在深圳举办,在圆桌讨论环节,关于“DeFi和NFT如何改进和结合,能够创造互利共赢”,Bandot核心开发者陈枫表示,关于DeFi的基础设施建设,经历了很长时间,到现在也还不是最完善的状态,只有等基础设施完善了,再和NFT结合可能会有更大的想象空间。同时他认为,NFT目前遇到的困难和阻力主要体现在几个方面,首先是安全性,为什么要资产上链,上链主要解决什么问题;其次是隐私性,是否要全隐私还是半隐私;最后是上链之后,政府的政策支持。[2020/10/19]

从技术上讲,这不是唯一的不变性,但它是针对用户实体的(它仍然是核心协议不变性,通常用户不变性是核心协议不变性)。借贷市场通常也会有 2 个额外的实体:

预言机

管理 / 治理

对于预言机,以 1.3 亿美元的 Cream Finance 漏洞为例。预言机实体的核心不变性:

事实证明,用 FREI-PI 在运行时验证预言机是很棘手的,但是可以做到,需要一些预先考虑。一般来说,Chainlink 是一个很好的选择,可以主要依靠,满足大部分的不变性。在极少数的操纵或意外情况下,有一些保障措施可能是有益的,这些保障措施可以减少灵活性,而有利于准确性(比如检查最后知道的值是否比当前值大百分数百)。同样,dYdX 的 SoloMargin 系统在他们的 DAI 预言机方面做得很好, 这里是代码(如果你看不出来,我认为这是历史上写得最好的复杂智能合约系统)。

关于预言机评估的更多内容,以及突出 Euler 团队的能力,他们写了一篇关于计算操纵 Uniswap V3 TWAP 预言机价格的好文章。

为管理实体创建不变性是最棘手。这主要是由于他们的大部分作用是去改变现有的其他不变性。也就是说,如果你能避免使用管理角色,你应该这样做。

从根本上说,一个管理实体的核心不变性可能是:

解读:管理员可以做一些应该结果不会破坏不变性的事情,除非他们为了保护用户的资金而大幅改变事情(例如:将资产转移到救援合约中是对不变性的移除)。管理员也应该被认为是一个用户,所以核心借贷市场的用户不变性也应该对他们成立(意味着他们不能对其他用户或协议进行攻击)。目前,一些管理员的行为不可能在运行时通过 FREI-PI 进行验证,但如果在其他地方有足够强大的不变性,希望大多数问题可以得到缓解。我说目前,因为人们可以想象使用 zk 证明系统可能会检查合约的整个状态(每个用户、每个预言机等)。

作为一个管理员破坏不变性的例子,以发生在 2022 年 8 月的 borked the cETH market 的 Compound 治理行动为例。从根本上说,这次升级破坏了 Oracle 的不变性:Oracle 提供准确和 ( 相对 ) 实时的信息。由于功能的缺失,Oracle 可以提供不对的信息。一个运行时的 FREI-PI 验证,检查受影响的 Oracle 能否提供实时信息,可以防止升级的发生这样的情况。这可以纳入_setPriceOracle,检查所有资产是否收到实时信息。FREI-PI 对管理角色的好处是,管理角色对价格相对不敏感 ( 或者至少应该是这样 ),所以更多的 Gas 使用量不应该是个大问题。

因此,虽然最重要的不变性是协议的核心不变性,但也可以有一些以实体为中心的不变性,这些不变性必须为核心不变性所持有。但是,最简单(和最小)的不变性集可能是最安全的。简单就是好的一个光辉榜样是 Uniswap ...

AMMs 可以有任何 DeFi 原语中最简单的基本不变性:tokenBalanceX * tokenBalanceY == k(例如常量乘积模型)。Uniswap V2 中的每个函数都是围绕这个简单的不变性:

Mint:添加到 k 中

Burn:从 k 中减去

Swap:转移 x 和 y,不动 k。

Skim:重新调整 tokenBalanceX * tokenBalanceY,使其等于 k,移除多余的部分。

Uniswap V2 的安全秘诀:核心是一个简单的不变性,所有功能都是为它服务的。唯一可以争论的其他实体是治理,它可以打开一个收费开关,这并不触及核心不变性,只是代币余额所有权的分配。他们的安全声明中的这种简单性是 Uniswap 从未被黑过的原因。简单其实并不是对 Uniswap 的智能合约的优秀开发者的轻视,相反需要出色的工程师来找到简单性。

我的 Twitter 上已经充满了优化论者关于这些检查是不必要的和低效的恐怖和痛苦的尖叫声。关于这个问题有两点:

你知道还有什么是低效的吗?不得不通过 etherscan 向~~Laurence~~朝鲜黑客发送信息,使用 ETH 转账,并威胁说 FBI 会介入。

你可能已经从存储中加载了所有需要的数据,所以在调用结束时,只是对这些热数据加一点点 require 检查。你想让你的协议贵那么一点忽略不计的费用,还是让它死于非命?

如果成本过高,请重新考虑核心变量,并尝试简化。

作为一个开发者,要在开发过程中尽早地定义并表达出核心不变性。作为一个具体的建议:让自己写的第一个函数是_verifyAfter,在每次调用你的合约后验证你的不变性。把它放在你的合约中,并在那里进行部署。用更广泛的不变性测试来补充这个不变性(以及其他以实体为中心的不变性),这些测试在部署前就被检查过了(Foundry guide)。

瞬时存储开启了一些有趣的优化和改进,Nascent 将对此进行实验 -- 我建议你考虑如何将瞬时存储作为一种工具,以实现更好的跨调用上下文更安全。

在这篇文章中,没有花太多时间在 FREI-PI 模式的介绍输入验证,但这也是非常重要的。定义输入的边界是一项具有挑战性的任务,以避免溢出和类似情况。可以考虑查看并关注我们的工具的进展:pyrometer(目前处于测试阶段,请给我们一个星星)。它可以深入了解并帮助找到你可能没有进行输入验证的地方。

在任何朗朗上口的缩写(FREI-PI)或模式名称之上,真正重要的一点是:

在你的协议的核心不变性中找到简单性。并拼命工作以确保它永远不会被破坏(或在它被破坏之前就被捕获)。

登链社区

个人专栏

阅读更多

金色早8点

Odaily星球日报

金色财经

Block unicorn

DAOrayaki

曼昆区块链法律

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:46ms0-8:730ms