Der ultimative Leitfaden zum Aufbau eines DeFi Lending Protocol Smart Contract

Kernprinzipien des Architekturdesigns

1. Ein DeFi-Kreditprotokoll muss eine strikte Trennung zwischen der Sicherheitenverwaltung und der Schuldenbuchhaltungsebene durchsetzen. Diese Isolierung verhindert eine Kreuzkontamination bei Liquidationsereignissen oder Oracle-Preisaktualisierungen.

2. Alle Zinssatzberechnungen basieren auf einer zeitgewichteten Zinseszinslogik, die direkt in Solidity implementiert ist, wodurch externe Zeitstempelabhängigkeiten vermieden werden, die durch Absprachen mit Bergleuten manipuliert werden könnten.

3. Das Protokoll erzwingt ein fest codiertes maximales Beleihungsauslaufverhältnis pro Vermögenswertpaar, das als unveränderliche Konstanten und nicht als erweiterbare Speicherplätze gespeichert wird, wodurch Governance-Override-Vektoren bei Marktstress eliminiert werden.

4. Die Kreditposition jedes Benutzers wird durch eine eindeutige Struktur dargestellt, die Kapital, aufgelaufene Zinsen und den Zeitstempel der letzten Aktualisierung enthält – alles atomar innerhalb eines einzigen Transaktionsbereichs aktualisiert.

5. Das Asset-Whitelisting erfolgt nur zum Zeitpunkt der Bereitstellung. Das Hinzufügen neuer Token zur Laufzeit ist nicht zulässig, wodurch verhindert wird, dass böswillige ERC-20-Implementierungen Sicherheitsprüfungen umgehen.

Sicherheitenbewertung und Oracle-Integration

1. Preis-Feeds stammen ausschließlich von dezentralen Orakeln mit mindestens drei unabhängigen Knotenbetreibern, von denen jeder vor der Aggregation unterzeichnete Bescheinigungen einreichen muss.

2. Das Protokoll lehnt jede Preisabweichung von mehr als 5 % vom Median aller aktiven Oracles für mehr als zwei aufeinanderfolgende Blockintervalle ab und löst so einen Leistungsschalter aus, der neue Kredite stoppt.

3. Der Wert der Sicherheit wird anhand eines gewichteten Durchschnitts der letzten drei Oracle-Antworten berechnet, nicht nur der aktuellsten, wodurch die Anfälligkeit für Flash-Crash-Manipulationen verringert wird.

4. Jeder unterstützte Vermögenswert muss vor der Aufnahme in die Sicherheitenliste des Protokolls einen verifizierten Chainlink-Preis-Feed mit historischen Betriebszeitdaten von mindestens sieben Tagen bereitstellen.

5. Oracle-Update-Zeitstempel werden anhand von Block-Zeitstempeln mit einem Toleranzfenster von ±15 Sekunden validiert; Werte außerhalb dieses Bereichs werden ohne Fallback-Mechanismen verworfen.

Liquidationsmechanismen und Anreizausrichtung

1. Liquidationen finden statt, wenn der Gesundheitsfaktor eines Kreditnehmers unter 1,0 fällt, berechnet als (Sicherheitenwert × LTV) / Schuldenwert, wobei sowohl Zähler als auch Nenner anhand von Live-Oracle-Preisen neu bewertet werden.

2. Liquidatoren erhalten einen festen Bonus von 5 %, der auf den liquidierten Schuldentoken lautet und direkt aus dem Sicherheitensaldo des Kreditnehmers gezahlt wird, bevor er auf die Wallet des Liquidators übertragen wird.

3. Teilliquidationen werden durchgesetzt: Nicht mehr als 50 % der ausstehenden Schulden dürfen in einer einzigen Transaktion liquidiert werden, um die Zahlungsfähigkeit des Kreditnehmers bei volatilen Märkten zu wahren.

4. Das Protokoll sieht eine Verzögerung von mindestens 10 Blöcken zwischen der Erkennung eines Gesundheitsfaktorverstoßes und der ausführbaren Liquidation vor, sodass Zeit für die manuelle Rückzahlung oder die Aufstockung der Sicherheiten bleibt.

5. Liquidationsstrafen sind im Smart-Contract-Bytecode fest einprogrammiert und können nicht durch Proxy-Upgrades oder Governance-Vorschläge geändert werden.

Anforderungen an Sicherheitsüberprüfungen und formale Verifizierung

1. Alle arithmetischen Operationen nutzen die SafeMath-Bibliothek von OpenZeppelin, wobei Überlauf- und Unterlaufprüfungen in jeden Multiplikations-, Divisions- und Potenzierungsaufruf integriert sind.

2. Der Vertrag wird einem symbolischen Ausführungstest mit MythX unterzogen, wobei die Abdeckungsschwellenwerte auf eine Zweigtrefferrate von 98 % über alle Zustandsübergänge hinweg festgelegt sind.

3. Wiedereintrittswächter werden auf jede öffentliche Funktion angewendet, die Salden ändert oder Ereignisse ausgibt, wobei nicht wiedereintrittsfähige Modifikatoren verwendet werden, die von geprüften Basisverträgen geerbt werden.

4. Externe Aufrufe an Protokolle von Drittanbietern wie Uniswap V3-Pools sind auf vorab genehmigte Fabrikadressen beschränkt, die in der Kette über den keccak256-Hash-Vergleich überprüft wurden.

5. Alle Ereignisemissionen enthalten indizierte Parameter für kritische Zustandsänderungen, einschließlich BorrowAmount, RepayAmount und LiquidateAmount, um eine zuverlässige Off-Chain-Überwachung zu ermöglichen.

Häufig gestellte Fragen

Q1. Können Benutzer mehrere Assets gleichzeitig in einer einzigen Transaktion bereitstellen? Ja. Das Protokoll unterstützt Batch-Einzahlungsvorgänge, bei denen Benutzer ETH, DAI und USDC in einem atomaren Aufruf bereitstellen können, wobei jedes Asset nacheinander, aber im selben Ausführungskontext verarbeitet wird.

Q2. Wie behandelt das Protokoll die ETH als Sicherheit, wenn eine verpackte ETH erforderlich ist? Der Vertrag verpackt native ETH bei der Einzahlung automatisch in WETH und entpackt sie bei der Auszahlung unter Verwendung der offiziellen WETH9-Vertragsadresse, die im Mainnet bereitgestellt wird.

Q3. Gibt es eine Obergrenze für die Gesamtkreditkapazität pro Vermögenswert? Für jedes Asset gibt es eine fest codierte Obergrenze, die bei der Bereitstellung definiert und in Wei-Einheiten ausgedrückt wird. Sobald dies erreicht ist, werden neue Kredite für diesen Vermögenswert mit einem benutzerdefinierten Fehlercode zurückgesetzt.

Q4. Werden Schnellkredite für Arbitrage- oder Liquidationszwecke unterstützt? Die Flash-Darlehensfunktionalität ist direkt in den Kernvertrag eingebettet. Jeder externe Anrufer kann ein Schnelldarlehen ausführen, sofern er innerhalb derselben Transaktion den Kapitalbetrag zuzüglich einer Gebühr von 0,09 % zurückzahlt.