NCE:简析Solana上的借贷平台安全性

概述

一直以来，安全始终是所有金融平台的重中之重。在无法保障资金安全的情况下，高收益都是一张张的空头支票。这一点对于去中心化借贷平台来说也是一样的。回顾过去的一年，不少的借贷平台都发生过安全事故，给用户带来了惨重的损失。

1.Venus大额清算事件

2021年5月18日，作为BSC链上最大的借贷平台，Venus清算了超过2百万的XVS(Venus平台币)。这直接导致了大量用户遭受惨重的损失和清算，坏账总额高达一亿美元。此次安全事故的发生是因为XVS的币价遭到了大户的恶意拉升，用价格虚高的XVS为抵押，借出了大量的BTC和ETH。XVS的流动性相对其他主流币而言较低，被恶意操控的风险更大。此次事故与Venus平台收录流动性较差的币种有着直接的关系，平台对于潜在风险的忽视也是这次安全事故发生的原因之一。

Coingraph：美国法院批准SEC要求冻结Binance.US公司资产的请求:6月7日消息，美国一家法院批准SEC冻结Binance.US子公司BAM Management和BAM Trading资产的请求。但不会影响Binance.US客户的资产，只会冻结Binance.US的公司资产。据悉，Binance.US和Binance.com是独立的实体，所以资产是安全的。

此外，法院还命令Binance在十天内将Binance.US账户中持有的所有法定货币和加密货币归还给其客户。[2023/6/7 21:21:41]

2.Cream闪电贷攻击

2021年10月27日，CreamFinance在推特上公开承认，他们再次遭受了闪电贷袭击，总损失金额高达1.3亿美元。这已经是该平台本年度的第三次安全事故，前两次分别发生在2021年的2月和8月，两次分别损失了近0.4亿和近0.3亿美元。CreamFinance本年度的三次安全事故均是遭受的闪电贷袭击，这是一种近两年非常常见的针对借贷平台的黑客攻击手段。

以太坊客户端Lighthouse发布新的热修复版本，以解决CPU使用率过高问题:4月13日消息，以太坊客户端Lighthouse发布热修复版本v4.0.2-rc.0，此高优先级修补程序解决了Capella升级后出现的高CPU使用率问题。建议所有主网用户更新到此版本，以防止高CPU使用率干扰正常的节点操作（如质押）。此热修复仅适用于信标节点，无需将Validator Client从v4.0.1（或 v4.0.1-rc.0）升级到此版本。[2023/4/13 14:00:58]

回顾以上的安全事故，我们不难得出结论，借贷平台的安全性主要取决于团队对于风险的控制以及对于潜在风险的审计和测试。

本文将会针对Solana公链上的借贷平台，进行一系列的安全性分析。

Revolut确认受到了一次高度针对性的网络攻击:金色财经报道，加密货币投资服务银行Revolut已经证实，它受到了一次高度针对性的网络攻击，黑客可以访问数万名客户的个人详细信息。Revolut 发言人Michael Bodansky表示，未经授权的第三方在短时间内获得了一小部分 (0.16%) 客户的详细信息。Revolut 在 9 月 10 日晚些时候发现了恶意访问，并在第二天早上隔离了攻击。我们立即识别并隔离了这次攻击，以有效限制其影响，并联系了受影响的客户，没有收到电子邮件的客户没有受到影响。[2022/9/20 7:09:03]

Solana公链上的主要借贷平台汇总

表1.Solana链上的主流借贷平台

是否审计

Celsius：7000万美元的现金救济将加强今年生存的能力:金色财经报道，加密借贷平台Celsius Network表示，新发现的7000万美元现金可能会帮助该公司继续运营到2022年底。根据该公司的法律伙伴Kirkland & Ellis周四提交的一份文件，在美国纽约南区破产法院举行的第三次破产听证会上，Celsius预计偿还美元计价贷款的收益约为7000万美元。在听证会上，Kirkland & Ellis的一名律师说，这些贷款被误认为是与美元挂钩的稳定币，贷款人本来不能用这些稳定币来为其业务融资。

根据Celsius的规定，它预计将在10月7日前收到大部分的还款。预测显示，到11月底，其可支配现金余额将达到4200万美元。推断其每周的净现金流，现金堆将只能勉强维持到今年年底。[2022/9/3 13:05:53]

审计是智能合约安全性的第一道防线，也是对平台进行安全性分析时的一个重要指标。

麦肯锡：预计2030年全球元宇宙相关支出将达5万亿美元:金色财经报道，国际调研机构麦肯锡（McKinsey）最新报告显示，到2030年，企业和消费者与元宇宙相关的全球年度支出总额可能高达5万亿美元。

具体来看，麦肯锡预计，电子商务将占这总规模中的2万亿-2.6万亿美元，而虚拟广告业务将占1440亿-2060亿美元。相比之下，去年围绕人工智能的支出总额仅为930亿美元。根据麦肯锡的报告，元宇宙将包括五种日常活动：游戏、社交、健身、商业和远程学习。

麦肯锡的研究人员表示，到目前为止，各大品牌在虚拟世界中的实验已表明，面向元宇宙消费者的营销和广告未来可能会如何发展。（央广网）[2022/6/16 4:32:38]

审计的作用就像是一个监管的第三方，让所有利益相关者可以相信平台运作过程中的透明度，以及平台是否遵循了目前行业标准的预期。随着Defi行业的不断发展和成熟，监管的标准和要求也会更加的规范化，在这个过程中，审计将继续发挥关键的作用。

表2总结了上述所有平台的审计公司。

在上述的六个平台中，JetProtocol是目前唯一一个在未经审计的主网上运行的平台。尽管他们的代码已经经过了Solana基金会所提供的外部白帽子开发团队的审查，对此还是建议用户保持谨慎。

Solen,Apricot,Larix以及Soda都经过了知名知名智能合约审计公司的审计。

其中Soda的审计方Certik是Binance的正式合作或盘，并且得到了包括BinanceLabs,Lightspeed,MatrixPartners,andDHVC在内的知名投资者的支持。

Larix的审计方慢雾科技是目前在区块链行业领先的安全性审计公司，是EOS,Cosmos,Vechain等顶级区块链项目的合作伙伴。慢雾以其强大的EOS智能合约防火墙项目FireWall.X而闻名。

支持币种

纵观2021年的借贷平台安全事故，尤其是以Venus5月份的大额清算事故为例，支持流动性较低的币种的风险显而易见。此类币的价格极其容易被心怀不轨的人恶意操控，随即借空平台资产，从而导致大量的坏账。借贷平台在上新币种的时候应该意识到此类风险，进行风险管理并尽最大可能保护其用户不会成为这些恶意攻击的受害者，这也是借贷平台应负的责任。Venus的大额清算事故以惨痛的代价给我们上了这一课。

在本文所分析的六个借贷平台中，Larix,Jet和Soda仅支持了不易受到市场操控影响的主流币，大大减小了该类事故发生的风险。其余的三个平台，Solend支持了SER,MER,SLND(Solend平台币），Apricot支持了ORCA，Port支持了MER、FIDA和自己的平台币PORT。以上均是流动性相对较低的币种，其价格存在很大的被操纵空间，为这些平台的安全增加了一层不确定性。

代码开源

在评估借贷平台的安全性时，代码是否开源是另一个重要的指标。开源意味着所有的代码都是公开透明的，每个人都有访问权限。开源的代码会为平台增加安全性主要是因为以下几点。

?由于开源代码的透明性，更多双眼睛可以帮助平台一起寻找并维护代码

?开源代码意味着平台在解决安全隐患时将会更有效率，极高的公众可见性为解决漏洞增加了紧迫性

?开源代码意味着开发人员无法在代码中镶嵌恶意指令

在本文今天所分析的所有平台中，只有Larix和Solend在官网上明确表示他们的代码是开源的，其余平台的代码是否开源或部分开源尚不得而知。

预言机

借贷项目最主要的风险来自于两个方面，第一是私钥泄露，第二就是报价出错。其中报价出错除了支持资产的价格被恶意操纵外，还有很大的风险是来自于预言机的报价错误。Solend就曾因为mSOL报价错误，导致不少用户被错误清算，损失资产的情况。而Apricot官方近日也紧急下架了LP抵押功能，并承认了其LP计价方式有误，但还是导致部分用户被错误清算损失了资金。目前这几家借贷采用的主要还是Pyth的预言机方案，ChainLink还未支持Solana资产的报价。但比较合理的还是中心化和去中心化交易所，以及预言机喂价相互校验的喂价机制。

漏洞赏金计划

漏洞赏金是一个为借贷平台增加额外安全性的机制，为发现漏洞并上报给平台方的人提供丰厚的赏金，该计划鼓励社区和白帽子黑客对智能合同的安全性进行审计。Solend,Larix和Port都有明确的漏洞赏金计划。2021年11月，Solend和Larix联手向发现并上报了SPL代币借贷库漏洞的Neodyme团队提供了丰厚的赏金。

总结

在金融中，有一个理论叫做’不可能三角’理论，即高流动性，低风险和高收益是无法同时满足的。这个理论同样适用于加密领域的投资，因此，与其不停的追逐更高的收益，我们应该停下来花一点时间来思考我们资产的安全性。毕竟，如果赚了利息，但却丢了本金，那可就真是捡了芝麻丢了西瓜。切记，挖矿千万条，安全第一条。

标签：SOLNCENANANCESOL币Glitchr FinanceFlex FinanceInsured Finance

中币交易所热门资讯