CertiK：流动性挖矿的安全问题与风险提示

近几个月以来，流动性挖矿风靡一时，那么流动性挖矿是否能够持久？究竟是昙花一现还是星星之火？流动性挖矿的市场 Dex也好，流动性挖矿项目也好，本质上都是对金融市场中流动性的争夺。流动性越多，意味着DeFi市场越繁荣，获利的机会也就越多。

DeFi市场飙升的同时，诸如Yam Finance、Spaghetti Money、SushiSwap以及Kimchi Finance等流动性挖矿项目也正以巨额挖矿收益收割着市场上的流动性，并强势吸引了数十亿美元的资产。然而，流动性挖矿项目火热的同时，安全和风险问题也层出不穷。冷静观察火热背后的真正原因，有助于帮助我们理解这些安全问题的深层原理，进而帮助我们识别不安全的项目并规避风险。大量的流动性被收割的背后必然导致其它流动性挖矿或Dex的流动性锐减，这也就是“吸血鬼攻击”。这些流动性的很大部分来自于其它的Dex或流动性挖矿项目，最终会导致这些失去流动性的项目的衰败。因此，对于Dex或者流动性挖矿项目而言，流动性挖矿的整体是一个零和游戏。为了避免自己成为失去流动性的衰败项目，新项目只有依靠快速上线、放出巨大收益率等手段来吸引投资者进而攫取利润，而随之带来了许多方面的负面影响——例如，任何区块链项目都应当最为重视的安全问题。对于投资者而言，面对如雨后春笋般出现的众多流动性挖矿项目，以及动辄百分之几千的收益率，很难不被吸引。疯狂的市场热度也会影响着投资者的情绪。众多投资者在这股流动性挖矿的热潮中，投资着见到的每一个挖矿项目并希望暴富，却忽视了基本的经济规律：在资产层面上，金融产品的收益与风险总是成正比的。在流动性挖矿项目市场的整体零和游戏中，这些“投资者”更像是投机者，安全对于他们而言，是排在利润之后的考量。安全问题

答案其实不难得到。谁在这个流动性挖矿热潮中最有可能受到损失，谁就最应该在乎安全。项目建立者既可以依靠项目正规经营手段盈利，也可以依靠故意隐藏的漏洞来获利。早期参与项目的投机者可以通过套利来快速获利。而跟随市场热度流向、对项目的安全完全没有进行了解就盲目投资的投资者则会有很大概率成为受害者。作为普通投资者，对将要投资的项目应有足够的了解，尤其是该项目的安全情况。为了规避风险，及时发现流动性挖矿项目的安全问题，普通投资者可以考虑从以下几方面进行了解：代码安全：包括项目中所有代码的安全，如前端代码安全，智能合约安全等。前端代码的漏洞主要在网站以及桌面应用中存在。这些漏洞可能导致DeFi项目网站在遭受DDoS攻击的时候无法正常访问，严重的甚至可能导致用户资产被盗。而智能合约方面的漏洞种类则比较多，从经典的DAO重入攻击，到DeFi项目Lendf.me的hook重入攻击，以及当前流动性挖矿项目Yuno和Kimichi中由于智能合约拥有者权限过大而可能会导致无限增发代币的漏洞等。逻辑安全：包括了金融模型安全、逻辑实现安全等。金融模型方面的近期著名漏洞有7月发生的bZx套利攻击。逻辑实现方面的漏洞则需要根据检查项目代码是否与项目描述一致。管理风险：包括项目管理方安全、审计验证安全等。项目管理方需要查看项目团队的行业经验、既往项目等。而审计验证安全则需要查看是否有专业审计公司或者团队对该项目进行了严谨的验证，以及项目方是否为项目加入保险来确保自身及投资者的资产安全。代码安全代码安全是任何计算机程序都需要关注的问题。智能合约本质上是一个运行在区块链系统上的计算机程序，其独特的开放性、透明性则需要更高的程序安全性。近两个月内，流动性挖矿项目的火热潮流中，安全问题层出不穷。CertiK安全研究团队简要搜集了一些最近比较热门的挖矿项目，列表如下： (责任编辑：admin)

搜索

热门标签:

CertiK：流动性挖矿的安全问题与风险提示