DeFi黑客攻击事件频发专业审计和保险何时真正能被重视？

DeFi是2020年区块链领域的弄潮儿，这是毋庸置疑的；不过伴随着DeFi生态的爆火，在它其中的问题也是被市场这个放大镜所层层捕捉，黑暗里的“科学家”们（利用技术实力和知识门槛专薅 DeFi 羊毛的黑客）用一个又一个实例真真切切地在向我们做着演练：

11月14日，黑客攻击 Value DeFi 的 MultiStablesVault 池子，获得近 740?万美金的 DAI；

11月17日，黑客攻击Origin Protocol 凭空铸造 2050万 枚OUSD；

11月23日2 时 37 分，当人们还在熟睡之时，黑客攻击 DeFi 协议 Pickle Finance（酸黄瓜），捞得近 2000 万美元的 DAI；

11月26日下午，黑客通过操纵预言机的价格让Compound协议上的抵押品清算接近了9000万美元；

甚至还有SushiSwap遭受黑客攻击，即使开发者“0xMaki 源 義経”与团队合作及时阻止了此次攻击行为，但仍造成了1.5万美金的损失这种阻止未遂的事例，而三天一小套五天一大套的闪电贷套利就更多了……

DeFi黑客套利事件频发，这是惨案 ，同时也是警告，所以现在的DeFi项目该怎样去准备，才能尽可能地减少这类事故的发生概率，或者最大程度地降低损失呢，我们从两个维度来进行解析：

一.专业审计公司的审计

在区块链的安全事件中,大多都是由于源代码存在漏洞而使黑客趁虚而入。因为要保证区块链公开透明的特性，所以智能合约代码需要最大限度的开源和让人阅读。但是代码的公开性使得黑客容易掌握代码的缺陷,进从而进一步利用代码缺陷触发特定条件改变智能合约执行结果,使得区块链项目存在巨大的经济隐患。所以智能合约代码的开源性需要代码的高可靠性,这种可靠性要求近乎100%的正确。

但是,对于程序员来说，写一个完全没有漏洞的代码实在是太难了,即使采取了所有可能的预防措施,在复杂的软件中也总会出现没有预料到的漏洞。所以,代码审计的重要性不言而喻。

而代码审计,顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。

代码审计对于区块链的发展具有重要意义:一方面,代码审计可以节约安全投入,降低修复成本。研究表明,当应用发布后再执行代码修复,修复成本大约是设计编码阶段的30倍。所以,变被动防护为主动防御,从源头上控制安全隐患,可以最大程度节约成本;另一方面,代码审计可以降低系统的安全风险。通过代码审计及时对代码层缺陷进行修复,从而大幅度提升系统整体安全性,避免巨额经济损失。

当然请注意，审计不是验证代码安全的法律文件。没有人能100％确保代码不会在未来发生错误或产生漏洞。这仅仅是保证你的代码已被专家校订过，基本上是安全的。

然后讨论可能的改进，主要是为了找出那些可能会危害到用户资产和隐私的风险和漏洞。

好了，现在我们来看看一份智能合约审计报告的结构：

·免责声明：这里主要是表明审计不是一个具有法律约束力的文件，它不保证任何东西。这只是一个讨论性质的文件而已。

·审计概览和优良特性： 快速查看将被审计的智能合约并找到良好的实践用处。

·对合约的攻击：这将讨论对合约攻击会产生的结果。这只是为了验证它实际上是否是安全的。

·合约中发现的严重漏洞：试着找出可能严重损害合约完整性的关键问题，或者那些会让攻击者窃取以太币的严重问题。

·合约中发现的中等漏洞：试着找出那些可能损害合约但危害有限的漏洞，比如一个允许人们修改随机变量的错误。

·低严重性的漏洞：试着找出那些并不会真正损害合约，并且可能已经存在于合约的已部署版本中的小问题。

·逐行评注：在这部分中，将分析那些具有潜在改进可能的最重要的语句行。

·审计总结：表达对合约的看法和关于审计的最终结论。

以上就是一份合约审计会包含在内的结构内容，从宏观角度到微观角度，尽可能地发现智能合约中所存在的问题以及可以进行改善的地方，从而做到真正的防范于未然。当然，在这其中，区块链项目的审计公司也分三六九等，享有盛名的审计公司严谨程度一般也会更高些，投资人们在了解到其投资项目审计公司的知名度较高也会更放心，比如国内就有两家优秀的审计公司可以进行推荐：

1.成都链安

2.知道创宇

以上两家都是国内老牌审计公司，其中技术测试人员都是资深人员，经过他们审计的公司在市场上的流动性与安全性都是有一定保障的。

二.保险业务

正如上文所说，智能合约审计只能极大程度降低风险，做不到完全杜绝风险，所以这时候就需要保险的介入，极大程度地降低可能会发生的风险，当然这也是“保险”诞生的缘由。

首先我们要确定一个理念：任何DeFi协议都需要保险

DeFi要想长线发展，就需要保险这样的基础设施。如果只是靠DeFi协议用户自行去购买保险，这是不现实的，总会有人抱有侥幸心理而不去购买。最好的解决方案之一是，由DeFi协议从协议的交易费用或挖矿收益中抽取一部分，存入项目的资金储备池，而这个资金储备池的一部分用于购买协议全体保险，即便一开始不能给全部资产投保，能保护其中一定比例的资产也会让用户安心很多。如果一开始这样也不现实，项目方或者代码本身也可以利用保险市场成为承保人，为项目的协议用户提供相对低价的承保，可以增强用户的信心，也可以减轻负担。

最终来说，绝大多数的DeFi协议都会将保险服务看作为协议服务的重要组成。唯有这样，才能真正解决用户的后顾之忧。

正是因为这种保障未来的可能性，这对于保险赛道的项目来说，也意味着巨大的机会。越来越多的DeFi项目会为了吸引用户，增强护城河，会将其收益的一部分置入保险市场，这意味着保险需求的增加，保费收益规模的增长，这是一套较好的良性循环。此外，考虑到DeFi保险市场的更好的透明度和更好的流动性，DeFi生态的保险业务相对于传统行业的保险市场也会有更高的渗透率。

那现在DeFi市场上有哪些应运而生的优质保险业务呢：

（以下保险业务具体操作描述转载自蓝狐笔记，如侵权即删）

1.Cover的保险双代币运行模式

Cover是点对点的保险市场。Cover的保险运行机制采用保险双代币模式，其长期目标是构建任何事物的保险市场，不过当前来说，其重心是DeFi市场。它通过bonding curve模式来设定保险价格。

所谓的保险双代币运行机制，主要是指Cover保险市场上的同质化代币CLAIM和NOCLAIM代币。同质化代币就是可互换的代币。这种保险双代币模式是Cover协议运作的核心。

同质化的两种代币CLAIM和NOCLAIM代币是通过用户往Cover智能合约存入抵押资产生成的。每个保险合约包含指定被保险的协议、存入的抵押品（如DAI或ETH）、存储的数量以及保险的到期日。

而同质化的保险代币跟其抵押品维持1:1的基数。例如，每存入1DAI，用户会收到两个保险代币，一个是CLAIM代币（可索赔代币），一个NOCLAM代币（非索赔代币）。NOCLAIM代币是权益代币，它代表在指定的承保期间未遭到索赔情况下收取抵押品的权利。而CLAIM代币也是权益代币，它代表在索赔管理流程中确认索赔付款情况下，有权利收取存入的抵押品（或部分抵押品）的权利

2. Nsure保险的“去中心化的劳合社”模式

Nsure保险协议的核心跟其他保险项目一样，为形成保险市场，也需要围绕承保人激励、需求者激励以及索赔流程这三个方面。它由核心的三个机制来推动其模式的运行：动态定价模式、资本池模式、和阶段群体投票索赔决策机制。

Nsure协议的动态定价模式

动态定价是根据每个项目的资本需求和供应关系来决定。资本需求（总保额）跟项目总锁定资产量、需求比率等相关，需求比率会受到保险渗透率以及Nsure市场份额的影响。资本供应主要是关于每个项目背后的承保资产。其中一个有意思的设计是，用户可以将其质押最大化4倍杠杆。此外，考虑保费定价时，除了考虑资本需求和供应，还会考虑风险因子。

最终来说，定价取决于供应和需求关系以及项目的风险等级。保费价格跟α、β、风险因子等相关。其中α 和β是Beta分布中的参数。需求和供应因子将总保额和总质押承保资产转化α 和β。不同的DeFi协议风险不同，前期Nsure会自己对DeFi项目进行风险评级，后续会让社区参与风险评级。

Nsure协议的资本池模式

资本池可以用来挖矿，以激励用户进行承保，同时一旦发生索赔事件，也会支持赔付，如果盈余池无法满足MCR（最低资本要求），无法偿付所有索赔，资本池会用于支付剩余的偿付。资本池模式是Nsure运作的重要支撑，它要解决资本供应的问题，确保不会发生系统性风险，同时也可以吸引更多人提供承保资金。

盈余池的资金来自于保费，可以捕获整体保费的50%，其中的10%在保险到期且未发生赔付后转入盈余池。而剩余50%保费分配给承保人。

Nsure协议的索赔流程

Nsure采用了三阶段索赔的流程，它首先会让投保人参与进来，由受害者自己投票提出理赔；然后会引入专业审计机构，通过专业审计机构给各方呈现事情的来龙去脉；最后进行投票。跟Cover 的理赔流程相比，两者都引入了专业的审计。在Nsure中是专业审计机构，而在Cover中是“索赔有效性委员会（CVC）”。

当然除了以上列出的两种近期较强劲的保险业务，还有Nexus Mutual这个保险业务的龙头老大我就不细说了，大家都比较了解。

但从长远来看，Nsure和Cover都有机会演化成为Nexus Mutual的实质对手。两者都无须KYC，在参与门槛上有较大优势。

此外，Nsure在保费定价机制、代币机制、理赔流程等方面也有一定的差别，它整体上吸取了传统保险的历史经验，并结合区块链技术进行探索。

而Cover提出了保险双代币运行模式，并跟流动性结合起来，在DeFi保险上有了自己的独特模式，不过其代币机制后续可能还需要进一步迭代，以捕获更大的价值。

结语

现阶段DeFi生态进步飞速，技术改革也日新月异，不过伴随着项目演练的巨大变化，其中的高风险也是接踵而来；所以现在项目的发布前期需要做好智能合约代码的审查，后期也要去积极涉足保险业务，从而达到保障。当然，此文不仅仅是给潜在项目创始人或者项目方所阅读的，也是给各位投资者所展现的，大家在选择项目时也一定要依照以上我列出的两点去注意项目本身的安全属性，从而进行稳定投资。

—-

编译者/作者：链推者___Ethan

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。