在EigenLayer中缓解风险和最佳实践的再质押

Cobo安全团队对市场上主流的流动性重质押协议和流动性质押代币（LST）进行了研究。我们的全面审查包括对相关智能合约的风险进行细致评估，旨在增强用户的风险管理意识。

随着以太坊流动性重质押的流行，许多项目选择将Eigenlayer作为其基础。重质押意味着将用户的质押资产在协议之间进行战略性再分配，利用以太坊信标链的信任。这种方法让用户可以最大化收益，并将相同的信任和安全级别扩展给其他项目，与以太坊信标层相等。

为了帮助用户识别流动性重质押协议之间交互中潜在的智能合约风险，Cobo安全团队研究了6个流动性重质押协议及其相应的LST资产，阐明了风险，以帮助用户有效参与协议重质押。

注意：Cobo安全团队的发现基于2024年2月5日午夜之前的UTC时间。

重质押协议中的风险

大多数重质押协议建立在EigenLayer之上。对于用户而言，参与重质押可能面临以下风险：

智能合约风险

1. 参与重质押涉及与项目的合约进行交互，使用户面临合约攻击的风险。

2. 建立在EigenLayer上的项目最终会在EigenLayer的合约中安全存放其资金。如果EigenLayer合约遭到攻击，相关项目的资金可能会受到威胁。

3. EigenLayer提供两种不同类型的重质押：原生ETH重质押和LST重质押。虽然LST重质押直接将资金存储在EigenLayer合约中，但原生ETH重质押涉及资金驻留在ETH信标链中。因此，参加LST重质押的用户可能会因EigenLayer合约相关风险而遭受损失。

4. 项目所有者拥有高风险权限，可能会滥用用户资金。

LST风险

• LST代币可能失去其盯住的汇率或由于对LST合约的升级或攻击而经历价格波动和价值损失。

提现风险

主流重质押协议（EigenLayer除外）不支持提现。如果项目团队没有更新合约以便于提现，用户将面临无法访问其资产的无限期困境，这需要通过次级市场进行流动性退出。

针对上述风险，Cobo安全团队对当前市场上多个主流重质押协议进行了全面调查，并总结了发现。主要观察结果包括：

• 项目完成率低：大多数项目缺乏提现逻辑。

• 中心化风险：用户资产由多签钱包控制，可能对项目团队造成挖坑风险。

• 如果发生恶意行为或丢失多签私钥（如第二点所述），可能导致资产损失。

为了使这些安全发现更易于理解，我们将研究结果整理并分类成表。以下是我们发现的概要：

由于EigenLayer作为所有项目的基础设施，除了表中的要点外，用户还应关注以下事项：

1. EigenLayer目前已部署在以太坊主网上的合约中，但尚未完全实现白皮书中概述的所有功能，如AVS和罚款。具体而言，罚款功能仅实施了相关接口而没有完整逻辑。值得注意的是，当前处罚由策略管理合约的所有者（项目的管理权限）触发，这暗示了一种相对集中的执行方式。

2. 参与EigenLayer原生ETH重质押的用户，在管理重质押资金的EigenPod合约的设置过程中，还必须操作自己的信标链节点服务。这意味着需要承担信标链可能带来的罚款风险。在进行原生ETH重质押时，建议用户选择信誉良好的节点服务提供商。此外，由于ETH存储在信标链中，提现过程需要用户与节点服务提供商的相互协商，因为这些提供商会协助用户从信标链提取相关资金。

3. 由于EigenLayer尚未完全实现AVS和罚款机制等功能，Cobo安全团队建议用户在没有充分理解相关风险的情况下，避免启用delegate功能，因为这样可能导致资金损失。

经过代码审核，我们发现某些项目存在代码相关的漏洞，可能会对用户资金安全造成风险。对此，我们迅速与相关项目团队进行了沟通，讨论并确认了识别出的风险点。以下是我们观察到的一些漏洞及我们合作讨论的结果：

Eigenpie

• Eigenpie中的所有合约都设计为可升级合约，升级权限由3/6的Gnosis Safe多签控制。

• 然而，与cbETH、ethX和ankrETH相关的MLRT代币合约的升级权限目前仍由外部拥有账户（EOA）地址持有。

Cobo在发布此文章之前已联系EigenPie团队，Eigenpie团队也迅速确认承诺将在24小时内将所有MLRT代币的升级权限转移至多签钱包。

KelpDAO

• 当用户质押时，KelpDAO计算分配给用户的份额，并需要计算份额的价值。然而，我们发现，rsETHPrice在计算公式中需要手动更新，并且相应的oracle也需手动更新。各代币合约的份额价格被用作价格来源，但对于stETH，采用了1:1的直接转换。如果在质押过程中stETH在次级市场出现折扣，则可能出现潜在的套利机会。

在2月5日，KelpDAO澄清了Lido合约的汇率固定为1 stETH = 1 ETH。由于KelpDAO尚未提供提现功能，因此套利者无法利用这一策略。为了解决这一问题，KelpDAO团队提出了在推出提现时实施熔断机制的建议。该机制将在stETH的市场价格与stETH的合约价格出现显著偏差时进行评估和必要的安全措施。

Renzo

• OperatorDelegator负责根据各种存款比例将协议资金导向EigenLayer。然而，在配置OperatorDelegator时，协议未能验证所有OperatorDelegator比例的总和是否超过100%。这可能导致OperatorDelegator-1（70%）和OperatorDelegator-2（70%）同时存在的情况。

• 该问题主要影响用户资金的提现。且由于提现逻辑不完整，目前尚无法确定对本金的具体影响。

在这种情况下，Renzo团队指明资金可能会被导向错误的OperatorDelegator合约进行存款或从错误的OperatorDelegator中提取。Renzo指出，尽管此技术问题可能导致不同运营商分配的预期差异，但不会影响总锁定价值（TVL）的计算或资金的安全性。

根本上，Renzo团队将在即将进行的合约升级中解决这一技术问题。

除了与协议功能相关的风险之外，考虑在重质押过程中的LST（协议代币）风险也是至关重要的。Cobo安全团队对市场上主流LST代币进行了审查，并汇总了便于参考的发现，如下所示：

降低重质押风险：安全参与的全面指南

重质押作为一个新生概念，仍处于早期阶段。合同层面和协议层面均存在风险。

Cobo安全团队制定了一份全面的指南，帮助用户更自信和安全地应对重质押过程。

资本配置

对于拥有大量资本的用户，谨慎策略包括直接参与EigenLayer的原生ETH重质押。这一选择的逻辑在于原生ETH重质押所提供的安全性，所存入的ETH资产安全存放在信标链合约中，而非EigenLayer合约。这一结构性区别确保了更高的保护，减少了即便在合约攻击的极不可能事件中用户资产被迅速访问的风险。

对于有大量资本的用户，如果不愿经历较长的赎回时间，建议使用相对安全的stETH作为直接参与EigenLayer的资产。

对于寻求额外收益的用户，策略性地将一部分资金分配给诸如Puffer、KelpDAO、Eigenpie和Renzo等基于EigenLayer的项目是可取的。这种分配应符合他们的风险承受能力。然而，需要注意的是，这些项目均未实现提现逻辑。因此，参与这些协议的用户需要考虑相关的提现风险。此外，与相关LRT的二级市场流动性也应纳入投资过程的考虑。

监测工具和配置

本文中列出的视频当前具备合约升级和暂停的能力。此外，项目多签可以执行高风险操作。对于高级用户，建议配置相应的合约监测工具，以跟踪合约升级和项目团队执行的敏感操作。

此外，Teams和希望在项目中投资ETH的用户可以与Cobo Argus合作，设置自动化机器人以及针对Safe钱包的单签授权配置。这些配置可以根据池的总锁定价值（TVL）、ETH价格波动及大户动态等变化，自动将资金存入EigenLayer及各种重质押协议。

关于Cobo

Cobo是全球受信任的数字资产托管解决方案领导者。作为世界首个全能托管平台，Cobo提供从托管钱包到包括MPC和智能合约钱包的非托管钱包的完整解决方案，还有Wallet-as-a-Service、DeFi管理平台（Argus）及场外结算网络（SuperLoop）。Cobo受到500多家机构的信任，托管资产达数十亿美元，使数字资产的拥有者能够安全、高效地管理数字资产与Web 3.0之间的互动。Cobo已获得ISO27001认证，符合SOC2 Type 1和Type 2认证，并在四个法律管辖区内获得许可。

欲了解更多信息，请访问 www.cobo.com。

• 原文链接： coboargus.substack.com/p...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～