Với sự phổ biến của việc Reset lại, ngày càng có nhiều sản phẩm tương tự xuất hiện trên thị trường.EigenlayerDựa trên dự án Đặt lại. Việc đặt lại nhằm mục đích chia sẻ EthereumBeaconĐộ tin cậy của lớp cam kết chia sẻ chia sẻ cam kết của người dùng với các dự án khác, cho phép người dùng nhận được nhiều lợi ích hơn đồng thời cho phép các dự án khác được hưởng sự tin cậy và bảo mật đồng thuận tương tự như lớp ETH Beacon.

Để giúp mọi người hiểu rõ hơn về rủi ro tương tác giữa các dự án Đặt lại khác nhau, nhóm bảo mật Cobo đã tiến hành nghiên cứu về các giao thức Đặt lại chính thống và tài sản LST chính thống trên thị trường, đồng thời phân loại các rủi ro liên quan để mọi người có thể tận hưởng các lợi ích trong khi Có thể kiểm soát tốt hơn các rủi ro tương ứng.

• Lưu ý: Các kết luận có liên quan do nhóm bảo mật Cobo liệt kê được dựa trên trước 0:00 UTC ngày 5 tháng 2 năm 2024.

Tổng quan về các điểm rủi ro

Các giao thức Reset hiện nay trên thị trường về cơ bản được xây dựng dựa trên EigenLayer, đối với người dùng, việc tham gia Resting đồng nghĩa với việc họ phải đối mặt với những rủi ro sau:

Rủi ro hợp đồng

1. Hiện tại, việc tham gia Reset đòi hỏi phải có sự tương tác với hợp đồng của bên dự án và người dùng cần phải chịu rủi ro hợp đồng bị tấn công;

2. Quỹ dự án được xây dựng dựa trên EigenLayer cuối cùng sẽ được lưu trữ trong hợp đồng của giao thức EigenLayer. Nếu hợp đồng EigenLayer bị tấn công, quỹ dự án liên quan cũng sẽ bị mất;

3. Trong EigenLayer, có hai loại Đặt lại, đó là Đặt lại ETH gốc và Đặt lại LST. Đối với Đặt lại LST, tiền được lưu trữ trực tiếp trong hợp đồng EigenLayer. Nhưng đối với Đặt lại ETH gốc, tiền được lưu trữ trong chuỗi ETH Beacon; điều này có nghĩa là người dùng thực hiện Đặt lại LST có thể bị thua lỗ do rủi ro hợp đồng EigenLayer;

4. Phía dự án có các quyền có mức độ rủi ro cao và trong một số trường hợp, tiền của người dùng có thể bị chiếm dụng thông qua các quyền nhạy cảm.

rủi ro LST

• Có khả năng mã thông báo LST sẽ không được neo hoặc hợp đồng LST sẽ bị nâng cấp/tấn công, gây ra sai lệch và tổn thất về giá trị của LST.

rủi ro thoát

• Hiện tại, ngoại trừ EigenLayer, không có giao thức Đặt lại chính thống nào trên thị trường hỗ trợ rút tiền. Giả sử rằng bên dự án không nâng cấp logic rút tiền tương ứng thông qua hợp đồng, người dùng sẽ không bao giờ lấy lại được tài sản của mình và sẽ cần phải có được thanh khoản từ thị trường thứ cấp để thoát ra.

Dựa trên các điểm rủi ro được liệt kê ở trên, nhóm bảo mật Cobo đã điều tra một cách có hệ thống một số giao thức Đặt lại chính thống hiện có trên thị trường và sắp xếp chúng. Hiện nay nó chủ yếu bao gồm:

1. Tỷ lệ hoàn thành dự án thấp và hầu hết các dự án không triển khai logic rút tiền;

2. Rủi ro tập trung: Tài sản của người dùng cuối cùng được kiểm soát bởi ví đa chữ ký. Bên dự án có một sốRug Pullkhả năng;

3. Dựa trên điểm thứ hai, khi xảy ra tội ác nội bộ hoặc khóa riêng nhiều dấu hiệu bị mất, có thể xảy ra tổn thất tài sản.

Để kết quả trở nên trực quan hơn, nhóm bảo mật Cobo đã sắp xếp và phân loại kết quả khảo sát để mọi người xem như sau:

Vì EigenLayer là nền tảng của tất cả các dự án nên ngoài những gì được đề cập trong bảng, còn có những điểm sau mà người dùng cần chú ý:

1. EigenLayer hiện được triển khai trong hợp đồng của mạng chính và chưa triển khai đầy đủ tất cả các chức năng trong sách trắng của nó (AVS, dấu gạch chéo). Trong số đó, hàm gạch chéo chỉ thực hiện các giao diện liên quan và chưa có logic cụ thể và đầy đủ. Theo mã hợp đồng, dấu gạch chéo hiện tại được kích hoạt bởi chủ sở hữu hợp đồng StrategyManager (quyền quản trị viên của phía dự án) và phương thức thực hiện tương đối tập trung;

2. Trong quá trình Đặt lại ETH gốc của EigenLayer, ngoài việc tạo hợp đồng EigenPod để quản lý quỹ Đặt lại, bạn cũng cần phải tự mình chạy dịch vụ nút chuỗi Beacon và chịu rủi ro bị chuỗi Beacon cắt giảm. Khi người dùng thực hiện Khôi phục ETH gốc, nên chọn nhà cung cấp dịch vụ nút đáng tin cậy hơn. Ngoài ra, do ETH được lưu trữ trong chuỗi Beacon nên trong quá trình rút tiền, ngoài việc do người dùng khởi xướng, nhà cung cấp dịch vụ nút còn cần giúp người dùng rút số tiền liên quan từ chuỗi Beacon, tức là rút tiền. quá trình cần có sự đồng ý của cả hai bên. ;

3. Do EigenLayer chưa triển khai cơ chế AVS và Slash hoàn chỉnh nên nhóm bảo mật Cobo khuyến nghị người dùng không nên kích hoạt chức năng ủy quyền trong giao thức EigenLayer khi chưa hiểu đầy đủ các rủi ro liên quan, nếu không có thể gây ra những tổn thất tài chính nhất định.

Ngoài ra, thông qua việc xem xét mã, một số dự án cũng có một số rủi ro về mã có thể ảnh hưởng đến tính bảo mật của tiền của người dùng. Khi Cobo phát hiện ra những rủi ro liên quan, Cobo đã ngay lập tức liên lạc và xác nhận với nhóm dự án. Một số điểm rủi ro và kết quả truyền thông như sau:

EigenPie

• Hiện tại, tất cả các hợp đồng trong giao thức đều là hợp đồng có thể nâng cấp và quyền nâng cấp là 3/6 Gnosis Safe. Tuy nhiên, quyền nâng cấp các hợp đồng mã thông báo MLRT của cbETH, ethX và ankrETH trong mã thông báo MLRT làEOAĐịa chỉ.

Cobo đã liên hệ với nhóm Eigenpie trước thời hạn và nhóm dự án đã trả lời rằng họ sẽ cấp quyền nâng cấp cho tất cả các mã thông báo MLRT cho ví đa chữ ký trong vòng 24 giờ.

KelpDAO

• Trong quá trình nạp tiền, khi tính toán phần chia sẻ mà người dùng nhận được, giá trị chia sẻ cần được tính toán, nhưng rsETHPrice trong công thức tính toán cần phải được cập nhật thủ công với oracle tương ứng. Ngoại trừ stETH, giá cổ phiếu của hợp đồng token tương ứng được sử dụng làm nguồn giá. stETH trực tiếp áp dụng chuyển đổi 1:1. Khi stETH được giảm giá trên thị trường thứ cấp, sẽ có một lượng không gian chênh lệch giá nhất định trong quá trình nạp tiền.

KelpDAO đã trả lời vào ngày 5 tháng 2 rằng tỷ giá hối đoái của hợp đồng Lido được đặt tên là 1 stETH = 1 ETH. Vì KelpDAO chưa mở chức năng rút tiền nên các nhà kinh doanh chênh lệch giá không thể tận dụng chiến lược này. Để giải quyết vấn đề này, nhóm KelpDAO sẽ bổ sungngắt mạch, được sử dụng để kiểm tra giá thị trường của stETH, so sánh với giá hợp đồng của stETH và áp dụng các biện pháp bảo vệ cần thiết nếu độ lệch lớn.

Renzo

• OperatorDelegator chịu trách nhiệm định tuyến quỹ giao thức tới EigenLayer và tương ứng với các tỷ lệ nạp tiền khác nhau.Tuy nhiên, trong quá trình định cấu hình OperatorDelegator, giao thức không kiểm tra xem tỷ lệ của tất cả các OperatorDelegator có lớn hơn 100% hay không, dẫn đến khả năng xảy ra OperatorDelegator-1 (70%) và tình huống OperatorDelegator-2 (70%). Vấn đề này chủ yếu ảnh hưởng đến việc rút tiền của người dùng. Vì logic rút tiền hiện chưa hoàn thiện nên không thể đánh giá tác động cụ thể đối với tiền gốc.

Nhóm Renzo tuyên bố rằng trong trường hợp cụ thể này, tiền sẽ được chuyển đến hợp đồng OperatorDelegator không chính xác để gửi tiền hoặc rút từ OperatorDelegator không chính xác. Renzo tuyên bố rằng mặc dù sự cố kỹ thuật này sẽ gây ra sự phân bổ không khớp trong phân bổ dự kiến ​​của Renzo cho các nhà khai thác khác nhau, nhưng nó sẽ không ảnh hưởng đến việc tính toán tổng giá trị bị khóa (TVL) hoặc tính bảo mật của tiền. Đồng thời, nhóm Renzo sẽ nâng cấp hợp đồng trong thời gian tới để giải quyết vấn đề kỹ thuật này.

Ngoài những rủi ro của chính giao thức, không thể bỏ qua rủi ro LST trong quá trình đặt lại. Đội ngũ bảo mật Cobo cũng đã tiến hành khảo sát về các token LST phổ biến trên thị trường và sắp xếp kết quả cho mọi người xem, như sau:

Làm thế nào để giảm thiểu rủi ro khi tham gia Reset một cách hiệu quả?

Đặt lại là một khái niệm mới nổi, cả lớp hợp đồng và lớp giao thức đều chưa vượt qua bài kiểm tra thời gian tương ứng, ngoài những rủi ro được liệt kê ở trên, có thể còn có những rủi ro khác chưa biết. Vậy có hướng dẫn tương tác nào tương đối an toàn tốt nhất có thể giảm thiểu rủi ro một cách hiệu quả trong quá trình tương tác không?

Dựa trên kết luận nghiên cứu hiện tại, nhóm bảo mật Cobo đã biên soạn một đường dẫn tương tác tương đối an toàn cho mọi người.

Phân bổ kinh phí

Đối với những người dùng sử dụng số tiền lớn hơn để tham gia đặt lại, tham gia trực tiếp vào việc đặt lại ETH gốc của EigenLayer là một lựa chọn tốt. Lý do là vì việc đặt lại ETH gốc, tài sản ETH được nạp lại không được lưu trữ trong hợp đồng EigenLayer mà trong hợp đồng chuỗi Beacon. Ngay cả trong trường hợp xấu nhất xảy ra một cuộc tấn công hợp đồng, kẻ tấn công không thể lấy được tài sản của người dùng ngay lập tức.

Đối với những người dùng cũng muốn sử dụng số tiền lớn để tham gia nhưng không sẵn sàng chịu đựng thời gian đổi quà lâu, họ có thể chọn stETH tương đối an toàn làm tài sản tham gia để trực tiếp tham gia EigenLayer.

Đối với người dùng muốn kiếm thêm thu nhập, họ có thể chọn một phần quỹ để tham gia vào các dự án dựa trên EigenLayer như Puffer, KelpDAO, Eigenpie và Renzo tùy theo mức độ chấp nhận rủi ro của họ. các dự án trên hiện phải thực hiện logic rút tiền tương ứng, người dùng tham gia các giao thức đó cần đồng thời xem xét các rủi ro thoát tương ứng và tính thanh khoản của LRT có liên quan trên thị trường thứ cấp cũng cần được xem xét trong quá trình đầu tư.

Cấu hình giám sát

Các dự án hiện được liệt kê trong bài viết này đều có khả năng nâng cấp và tạm dừng hợp đồng, đồng thời bên dự án cũng có thể thực hiện các hoạt động có rủi ro cao trên dự án với nhiều chữ ký. Đối với người dùng nâng cao, bạn có thể định cấu hình giám sát hợp đồng tương ứng để giám sát các nâng cấp hợp đồng liên quan và việc thực hiện các hoạt động nhạy cảm của phía dự án.

Đồng thời, các nhóm và người dùng muốn đầu tư vào ETH để tham gia dự án có thể hợp tác với Cobo Argus để kích hoạt robot tự động và cấu hình ủy quyền một chữ ký cho các điều kiện của Ví đa chữ ký an toàn và đặt chúng dựa trên TVL thay đổi trong nhóm, biến động về giá ETH và hành động của cá voi khổng lồ.Chức năng tự động gửi tiền vào EigenLayer và các giao thức cam kết lại khác nhau.