币圈资讯
空投糖果

Compound是什么?Compound项目介绍

Compound是建立在以太坊之上的可公开访问的智能合约系统,Compound致力于通过将其加密资产锁定在协议中来允许借款人取得贷款,而贷方提供贷款。借方和贷方支付和接收的利率由每种加密资产的供求决定,开采每个区块都会产生利率,可以随时偿还贷款并可以提取锁定的资产。

建立在该原理之上的是cTokens,这是Compound的主网代币,它使用户可以从自己的数字货币中赚取利息,同时还能够在其他应用程序中转移,交易和使用该货币。

Compound 合约被设计为可以通过中央管理员进行适当的升级。最重要的合约是代理合约,其指向包含了逻辑实现的逻辑合约地址,管理员拥有随意修改地址指针的权利。由于所有的 cTokens 使用相同的管理员 ,如果管理员私钥泄露了,那么所有质押在 Compound 中的资产都可以被轻松窃取。

sam 的报告中也提到了其他更为狡猾的攻击,如果攻击者有这样的机会——比起实施更为复杂的攻击,这样可以更快的卷走所有钱。OpenZeppelin 在他们的 Compound 审计概要中进行了有效总结。

然而,恶意管理员或者被窃取私钥的管理员手中拥有冻结市场、审查交易甚至从系统中窃取全部资产的能力。类似地,控制资产价格预言机即便不能窃取系统的全部资产,也可以窃取大部分。当前,所有实时市场的管理员都是同一个外部账户。

但是有趣的是, Trail of Bits团队没有在任何相关材料中提及这一点。此外,Compound 的 FAQ 还低估了管理员特权,并没有提供任何关于管理员有可能窃取所有资产的警告:

协议的开发者 Compound Lab,Inc,目前控制着以太坊地址:0x8b8592e9570e96166336603a1b4bd1e8db20fa20 ,即管理员地址。管理员地址拥有新增资产、更新价格预言机、更新利率模型以及更新协议风险模型的权利。

另一件需要注意的事情是, Compound 当前的托管设置本身并不会导致系统的不安全。他们会极力维护管理员密钥安全,并且很有可能(希望如此)他们正在与 820 万美元种子轮融资可以买到的最好的托管供应商合作。不过毫无疑问,在决定存入 50 万 DAI 时,我会将这一点放在心上。

本文内容来自于网络,如有侵权,烦请联系处理:readblocks@163.com。
本站作为开放的资讯分享平台以供学习研究,所有观点仅代表原作者个人观点,绝不代表本站赞同其观点或证实其描述。
本站提醒:投资有风险,入市须谨慎,本内容不作为投资理财建议。

赞(0) 打赏
未经允许不得转载:凯米说币 » Compound是什么?Compound项目介绍
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址


凯米说币 币圈资讯 虚拟币空投

凯米说币空投糖果

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏