Gearbox风险基金会:使安全透明化
Gearbox一直在进行多个产品升级的开发工作。Curve V2池已获批准部署,Gearbox V3和交易dApp正在接受审计。但是,随着所有这些即将部署,您如何确信已经审计的代码就是正在部署的代码,如何实时检查风险和多签更新,最重要的是,当存在风险时该怎么办?让我们介绍Gearbox风险基金会(GRF)。Gearbox风险基金会将“不要相信,验证”和透明的理念引入到开发和多签活动中。
您可以在以下推文中找到Gearbox正在构建的愿景。与此同时,让我们回到GRF。
什麼是GRF?
GRF,或称Gearbox风险基金会,是一项旨在为与Gearbox有关的风险提供透明度的开放性文档。该页面对所有人开放,网址为risk.gearbox.foundation,记录了所有的风险事件,对其进行监控,并列出在事件发生时应采取的行动。此外,它还允许您验证发生的任何技术多签交易。这是通过使任何人都能够将可执行交易与GitHub上的经过审计的代码进行比较,或验证是否按照GIP相关的操作来完成的。这些努力旨在使风险和技术行动变得透明和可验证,作为我们安全实践的一部分。
这是针对风险和安全方面的措施。DAO关于运营透明度的努力可以通过我们的月度更新进行验证。
Gearbox的安全措施和V2.1
GRF是Gearbox安全实践之外的另一个开源监控机制。鉴于DeFi领域最近的攻击事件,Gearbox深知拥有强大的安全保障有多么重要,以下是我们已经采取的措施。
- Gearbox V2.1安全更新:在7月份,Gearbox部署了其V2.1版本。V2.1的目的是加强安全性,对用于构建V3的代码库进行实战测试。此次更新消除了以前版本中的复杂性,排除了DAO或外部开发人员可能发现的任何潜在错误,并减少了攻击向量。您可以在下面的文章中阅读完整的详细信息。
- 审计:截至目前,Gearbox已经进行了8次审计,您可以在这里查看。V3已经计划进行2次额外的审计。
- 漏洞赏金:Gearbox自上线以来一直有一个进行中的漏洞赏金计划,并且代码是开源的。这鼓励白帽黑客在代码库中找到漏洞,以便我们及时采取措施来消除它们。
- 第三眼智能工具:第三眼智能是另一个监控和情报工具,让风险贡献者查询健康指数、清算等相关的数据,帮助他们在问题发生之前避免任何风险。
- Risk DAO合作:Risk DAO已经与Gearbox合作了一年。Risk DAO帮助开发了有助于减轻不良债务的贷款价值比(LTV)的框架和數值。Risk DAO每月创建报告,同时通过风险仪表板帮助实时评估风险。
- 保险:除了这些措施,Insurace和Nexus Mutual还为用户提供保险。
虽然Gearbox在上线2年来没有经历任何攻击事件,但没有任何安全措施能够百分之百地确保对所有风险的安全保障。但是有哪些风险呢?
由GRF覆盖的风险
您只能为您知道的风险做好准备,因此GRF的首要任务是列出所有可能的风险。以下是它们的列表:
- 抵押风险:由于抵押品的性质、数量、定价或特征出现错误而导致的损失风险被称为抵押风险。例如,抵押品被列入黑名单(例如USDC),代币的代理实施存在恶意行为等。
- 市场风险:由于代币市场结构的变化而产生的风险。例如,代币在去中心化交易所的流动性减少,代币的流动性被移除等。
- 前端风险:涉及创建dApp的用户界面和用户体验的风险累计形成前端风险。例如,意外的DNS更改、网络钓鱼、批准未知地址等。
- 基础设施风险:涉及Gearbox功能的基础设施失败或不当使用的风险。例如,清算者未正常工作,监控机制不起作用等。
- 治理风险:由于技术多签的恶意管理、实施或执行而产生的风险。例如,用恶意代码替换代码,通过恶意的不一致交易。
- 预言机风险:与数据提供者和不同资产的逻辑实施相关的风险构成了预言机风险。例如,预言机偏离、预言机价格突破边界等。
尽管这些风险可能看似可怕,但重要的是彻底管理这些风险,以确保系统的安全性。这需要全面的监控和针对所有可能风险的行动计划。
GRF监控:风险事件和协议更新
为确保安全性,需要进行两种监控:预期更新监控和外部事件或测试监控。GRF通过以下方式实现了这两种监控:
1. 协议更新:内部更新监控
这些是由开发人员和多签的操作引发的更新。通过GRF,您可以监控发送到多签以进行签名的任何交易,并以更简单的方式理解它们。
您可以通过这个页面监控技术多签即将执行的操作。首先,您应该确认交易是否经过DAO投票批准,或者是否需要采取行动来应对某些风险。如果有任何不一致之处,您应该在Discord上寻求澄清。
2. 事件信息流:监控风险事件
风险事件是与上述定义的风险相关的事件。它们可能是意外事件,也可能与我们为了监控协议而创建的测试相关。
该页面监控风险的来源,如果确实发生了风险事件,页面上会标记,并通知贡献者。例如,如上图所示,SNX流动性下降了55%。但这是一种被动的方法。在问题出现后标记仍然可能导致不良债务。那么,我们如何将其变为主动防范呢?
乐观清算:积极的风险管理
在风险事件页面上,您会定期收到通知。这些是乐观清算通知。乐观清算定期启动一个具有分叉主网状态的节点。然后,它试图在分叉状态下关闭所有现有帐户。这个测试确保在关键时刻所有清算将正确执行。在这个测试中成功有助于避免不良债务。
如果清算按计划进行,更新将作为成功执行。如果没有,问题将在页面上发布,并通知开发人员采取行动。这可能会在提出任何问题标记之前发生,因为它是对市场和Gearbox与市场的持续测试。因此,将这个过程变为主动的。
既然我们知道了如何主动寻找任何风险事件,那么我们如何管理它们呢?
行动:处理风险事件
简单来说,GRF上的“行动”页面是处理可能发生的风险事件的操作手册。它强调了在事件发生时需要采取的步骤,针对我们可以列出的所有可能的风险事件。
只需转到操作页面,单击与事件相关的操作,您将准确了解开发人员可能如何应对它。从这一点上,您可以确保为事件提供的“协议更新”遵循所述的内容。
但这还不够,为了完全的安全性,您应该验证被推送到多签的交易是否经过审计或在操作中提到。您如何做到这一点呢?
验证:最小化与部署相关的信任
虽然上面解释了禁止代币的工作原理,但您之所以接受和相信多重签名及贡献者所做的是正确的仍是基于信任。这正是我们希望通过GRF改变的,通过使用户能够在合約层面理解和验证。
1. 转到“协议更新”页面,检查与事件相关的交易。在更新中,您将看到一个链接到GitHub的链接 — 表示审核员提交的已审核代码。以及一个etherscan代码 — 发送到多重签名的交易。
2. 前往这两个代码,同时打开 diffchecker.com 网页。
3. 将这两个代码粘贴到 diffchecker.com 中,然后比较这两个代码是否相同。
4. 如果它们相同,那么系统按预期工作。如果存在不匹配或混淆情况,您可以在Discord上提出所有问题。
通过这种方式,您可以验证部署的完整性。
总结
这就是Gearbox希望去除基于信任的部署和风险管理性质的方式。但为了做到这一点,我们需要确保社区知道正在进行的操作,了解是否是正确的操作,找出执行方式,确认执行和部署的代码真实性。如果社区和贡献者共同执行这些步骤,我们就可以确保一个更加健壮的风险框架。
随着Curve V2、Gearbox V3和一个交易dApp的推出,将会有大量的部署工作。因此,拥有一个使其无需信任的系统对于遵循DeFi的原则和Gearbox的安全性至关重要。
哟!想要访问上面提到的Curve V2池吗?请在我们的Discord中留下您的地址,或在治理论坛上发布您的地址以获得访问权限。这就是有关DAO的更新,老板们。如果您想加入 — 只需在Discord上积极参与。讨论、研究、领导和分享。对贡献者提出质疑,共同努力改进事物。以下是您可以跟踪发展的方法:
- 网站:https://gearbox.fi/
- dApp:https://app.gearbox.fi/
- 使用者文件:https://docs.gearbox.finance/
- 开发者文件:https://dev.gearbox.fi/
- 论坛:https://gov.gearbox.fi/t/start-here-forum-rules/
- 部落格:https://medium.com/@gearboxprotocol
- Github:https://github.com/Gearbox-protocol
- Twitter:https://twitter.com/GearboxProtocol
- Snapshot 页面:https://snapshot.org/#/gearbox.eth
- 当然,还有 DAO 的工作文件: