据报道,2020年12月28日,DeFi 保险项目Cover Protocol或遭遇攻击,价格已跌去近70%。推特用户CryptoKebab称COVER代币被大量印出,也有用户称攻击者为 0xf05Ca…943DF,该账号已将 COVER 换成了 WBTC 和 DAI 等资产。链上数据显示,COVER 代币交易非常频繁,很多用户在 1inch 和 Uniswap 等去中心化交易协议中将 COVER 换成其他资产。
现在 DeFi 领域的攻击大多不是因为单个代码的漏洞,比如 Flash Loan Attack,这些用现有技术手段无法克服的问题,只有通过保险来对冲风险。去中心化保险行业需要多个平台的共同努力,在现实世界中,保险公司相互保险,加密行业也应如此。多个有效的保险协议一起工作,来降低整个DeFi和 Crypto 领域的风险。
从 Cover 这个项目出的问题上,可以看到保险的重要性。在这个例子中,又比较特殊的是,Cover 本身就是提供保险服务的。对应到现实社会中,那就是保险公司自己出了问题,即遭到了黑客攻击或者欺诈等,传统保险行业用于解决这个问题的方法就是:再保险。即把保险公司自己承担的风险,通过再次投保,由“再保险公司”这样的角色来分担风险。
具体到 Cover 这个项目此次出的问题,到底发生了什么呢?这涉及到 Cover 这个项目的一些独特的运行机制。
与 Bridge Mutual 使用 BMI 作为治理和抵押工具不同,Cover 项目自己的Cover Token 代币,只用于内部的治理,而在用于投保、担保时,提供了另外两种代币:NOCLAIM 代币和 CLAIM 代币。
保险提供者如果判断某个合约的安全性比较好,将抵押品 DAI 存入铸造该合约的 NOCLAIM / CLAIM 代币(数量和 DAI 一致,比如存入100个 DAI,就会生成100个 NOCLAIM 和100个 CLAIM 代币,1个 CLAIM+1个 NONCLAIM 代币价值等于1 DAI),并在市场上出售其 CLAIM 代币(目前 CLAIM 和 NOCLAIM 在 Balance 交易所交易)。
如果没有索赔发生,1个 CLAIM 最终价值为0,1个 NOCLAIM 价值为1 DAI;如果索赔发生,1个 CLAIM 最终价值为1 DAI,1个 NOCLAIM 价值为0.
保险购买者直接去 Balance 交易所购买对应合约的 CLAIM 代币,风险事件发生以后,可以在 Cover 官网发起索赔申请,申请通过以后,就可以获取CLAIM 数目相同的 DAI。
这种机制的意图是 Cover 通过引入这个特殊的 NOCLAIM/CLAIM 代币,将Cover 代币的价格和保单的价格(即对保单的风险评估)完全区分开。但是这样带来的一个问题,就是如果 Cover 自己的智能合约存在问题,或者像今天发生的一样,有人窃取了增发的核心权限,或者发现了系统运行机制、代码中存在的漏洞。那么就变成一方面代币价格暴跌,一方面还需要按照原价格继续赔付保单。
因为已经无法赔偿,但是赔偿金额又不会减少,导致项目的前景受到进一步影响,这样就是进入暴跌的恶性循环。
相比之下,Bridge Mutual 在代币设计上采取了一系列措施来保障投保人、担保人和社区用户的安全,通过采用一些精心设计的机制,从根本上避免Cover 面临的问题。
总体来说,这次事件告诉我们的是:
1. 即使是提供保险产品的项目、企业,也可能需要“再保险”这种工具来对冲风险。对于投资于高风险产品的投资者来说,保险也是自己工具箱中必不可少的一个避险工具。
经常有人说,DeFi 的兴起,主要源自于“乐高”式模块的强大组合能力。稳定币、借贷、合约等等,就像是一个个乐高玩具,以适当的方式组装到了一起,就成为一个产品(某种意义上,这符合软件开发模式中近些年兴起的“微服务”架构)。
那么,现在可以看到,在这种的“乐高”模块中,必须加上一个“保险”的模块,才能确保搭建起来的房子、组装起来的机器人,不是空中楼阁、一捅就倒,而是具备一定的抗打击能力。
2. 与传统的中心化金融产品相比,DeFi 产品因为都以分布式的方式运行,难以集中、批量地升级、下线、修复问题,受到攻击的概率大大提高。这意味着,一个 DeFi 产品/项目,在设计、开发的一开始,就要把安全作为首要的设计考虑因素。
这意味着,不仅需要对产品的商业模式、运行流程,特别是通证模型进行反复的沙盘推演、模拟攻击和细心打磨,还意味着要邀请外部的专业审计机构对代码、合约等进行严格的、持续的审计工作。
这是我们从这次 Cover Protocal 被攻击事件中可以获得的一些教训。
本文链接地址:https://www.wwsww.cn/qtszb/7362.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
