簡析Solana上的借貸平台安全性

概述

一直以來，安全始終是所有金融平台的重中之重。在無法保障資金安全的情況下，高收益都是一張張的空頭支票。 這一點對於去中心化借貸平台來說也是一樣的。回顧過去的一年，不少的借貸平台都發生過安全事故，給用戶帶來了慘重的損失。

1. Venus 大額清算事件

2021年5月18日，作為BSC鏈上最大的借貸平台，Venus清算了超過2百萬的XVS (Venus平台幣)。這直接導致了大量用戶遭受慘重的損失和清算，壞賬總額高達一億美元。此次安全事故的發生是因為XVS的幣價遭到了大戶的惡意拉升，用價格虛高的XVS為抵押，借出了大量的BTC和ETH。XVS的流動性相對其他主流幣而言較低，被惡意操控的風險更大。 此次事故與Venus平台收錄流動性較差的幣種有著直接的關係，平台對於潛在風險的忽視也是這次安全事故發生的原因之一。

2. Cream 閃電貸攻擊

2021年10月27日，Cream Finance 在推特上公開承認，他們再次遭受了閃電貸襲擊，總損失金額高達1.3億美元。這已經是該平台本年度的第三次安全事故，前兩次分別發生在2021年的2月和8月，兩次分別損失了近0.4億和近0.3億美元。 Cream Finance 本年度的三次安全事故均是遭受的閃電貸襲擊， 這是一種近兩年非常常見的針對借貸平台的黑客攻擊手段。

回顧以上的安全事故，我們不難得出結論，借貸平台的安全性主要取決於團隊對於風險的控制以及對於潛在風險的審計和測試。

本文將會針對Solana公鏈上的借貸平台，進行一系列的安全性分析。

Solana公鏈上的主要借貸平台匯總

表1. Solana鏈上的主流借貸平台

（1）是否審計

審計是智能合約安全性的第一道防線，也是對平台進行安全性分析時的一個重要指標。

審計的作用就像是一個監管的第三方，讓所有利益相關者可以相信平台運作過程中的透明度，以及平台是否遵循了目前行業標準的預期。隨著Defi行業的不斷發展和成熟，監管的標準和要求也會更加的規範化，在這個過程中，審計將繼續發揮關鍵的作用。

表2總結了上述所有平台的審計公司。

在上述的六個平台中，Jet Protocol 是目前唯一一個在未經審計的主網上運行的平台。儘管他們的代碼已經經過了Solana基金會所提供的外部白帽子開發團隊的審查，對此還是建議用戶保持謹慎。

Solen, Apricot, Larix 以及 Soda 都經過了知名知名智能合約審計公司的審計。

其中Soda的審計方Certik是Binance的正式合作或盤，並且得到了包括Binance Labs, Lightspeed, Matrix Partners, and DHVC 在內的知名投資者的支持。

Larix的審計方慢霧科技 （Slowmist）是目前在區塊鏈行業領先的安全性審計公司， 是EOS, Cosmos, Vechain等頂級區塊鏈項目的合作夥伴。 慢霧以其強大的EOS智能合約防火牆項目 FireWall.X而聞名。

（2）支持幣種

縱觀2021年的借貸平台安全事故，尤其是以Venus 5月份的大額清算事故為例，支持流動性較低的幣種的風險顯而易見。此類幣的價格極其容易被心懷不軌的人惡意操控，隨即借空平台資產，從而導致大量的壞賬。借貸平台在上新幣種的時候應該意識到此類風險，進行風險管理並盡最大可能保護其用戶不會成為這些惡意攻擊的受害者，這也是借貸平台應負的責任。Venus 的大額清算事故以慘痛的代價給我們上了這一課。

在本文所分析的六個借貸平台中，Larix, Jet 和 Soda 僅支持了不易受到市場操控影響的主流幣，大大減小了該類事故發生的風險。 其餘的三個平台， Solend支持了SER, MER, SLND (Solend 平台幣）， Apricot 支持了ORCA ，Port 支持了MER、FIDA和自己的平台幣PORT。 以上均是流動性相對較低的幣種，其價格存在很大的被操縱空間，為這些平台的安全增加了一層不確定性。

（3）代碼開源

在評估借貸平台的安全性時，代碼是否開源是另一個重要的指標。開源意味著所有的代碼都是公開透明的，每個人都有訪問許可權。 開源的代碼會為平台增加安全性主要是因為以下幾點。

 由於開源代碼的透明性，更多雙眼睛可以幫助平台一起尋找並維護代碼

 開源代碼意味著平台在解決安全隱患時將會更有效率， 極高的公眾可見性為解決漏洞增加了緊迫性

 開源代碼意味著開發人員無法在代碼中鑲嵌惡意指令

在本文今天所分析的所有平台中， 只有Larix和Solend在官網上明確表示他們的代碼是開源的，其餘平台的代碼是否開源或部分開源尚不得而知。

（4）預言機

借貸項目最主要的風險來自於兩個方面，第一是私鑰泄露，第二就是報價出錯。其中報價出錯除了支持資產的價格被惡意操縱外，還有很大的風險是來自於預言機的報價錯誤。Solend就曾因為mSOL報價錯誤，導致不少用戶被錯誤清算，損失資產的情況。而Apricot官方近日也緊急下架了LP抵押功能，並承認了其LP計價方式有誤，但還是導致部分用戶被錯誤清算損失了資金。目前這幾家借貸採用的主要還是Pyth的預言機方案，ChainLink還未支持Solana資產的報價。但比較合理的還是中心化和去中心化交易所，以及預言機喂價相互校驗的喂價機制。

（5）漏洞賞金計劃

漏洞賞金是一個為借貸平台增加額外安全性的機制，為發現漏洞並上報給平台方的人提供豐厚的賞金， 該計劃鼓勵社區和白帽子黑客對智能合同的安全性進行審計。Solend, Larix 和 Port 都有明確的漏洞賞金計劃。 2021年11月，Solend 和 Larix 聯手向發現並上報了SPL代幣借貸庫漏洞的Neodyme團隊提供了豐厚的賞金。

總結

在金融中，有一個理論叫做』不可能三角』理論，即高流動性，低風險和高收益是無法同時滿足的。這個理論同樣適用於加密領域的投資， 因此，與其不停的追逐更高的收益，我們應該停下來花一點時間來思考我們資產的安全性。 畢竟，如果賺了利息，但卻丟了本金，那可就真是撿了芝麻丟了西瓜。切記，挖礦千萬條，安全第一條。