今年以來去中心化金融(DeFi)項目引發熱潮,至今仍未退燒,然而在廣受歡迎的背後,逐漸顯現出「未經合約審計」風險。在 DeFi 的世界中,智能合約就是一切,合約的任何一項漏洞都可能造成嚴重後果,因此出現了以智能合約作為保險標的的嘗試。
(背景知識:DeFi 帝國的擴張之路:繼超越比特幣之後,YFI 走向「保險」?)
8月24日,“萬卉Dovey”在社群媒體上爆料稱,新的流動性挖礦項目chick被審計團隊發現留有合約後門,團隊可以隨時將合約中的資金轉走。
這正是火爆DeFi盛夏的一個真實縮影,在層出不窮的極高收益流動性挖礦項目面前,“年化1000%”、“萬倍漲幅”的吸引力往往掩蓋了“未經合約審計”的致命風險。
在爆炸式增長的規模尤其是令市場參與者心動的“萬倍造富效應”之下,Fomo(Fear of Missing Out)情緒前所未有地蔓延。
延伸閱讀:SBF|FTX執行長談DeFi:我以為食物幣挖礦「是一場泡沫」,但我現在不確定了
火熱的“DeFi盛夏”,漸行漸近的“天際線”
自從uniswap等AMM類型DEX應用引爆市場以來,預言機、流動性挖礦、Yield Farming等諸多DeFi概念板塊交替接棒,一步步將市場情緒推向高潮。
截至2020年8月30日,整個DeFi世界中的總鎖倉量(TVL,即ETH及各類ERC-20代幣的總價值)已經達到 107 億美元,這可能也是人類歷史上首次實現百億美元的資產,直接託管於一堆可嵌套的協議程式碼之上自動交易。
而不斷膨脹的DeFi市場規模中,目前鎖定資產排行榜前三名的分別為:
- Aave鎖定資產總價值15億美元
- Maker鎖定資產總價值14億美元
- Uniswap鎖定資產總價值11億美元
市場的分化也在DeFi爆炸式增長中加速。除了Maker之外,Aave、Curve、Yearn幾乎都是後來居上的新秀,各種新設計與玩法規則的項目讓人眼花繚亂,甚至冰火兩重天。
延伸閱讀:酸黃瓜挖礦|V神讚賞後單日飛漲1200% ,解析Pickle「維持穩定幣錨定」的微創新
DEX類也開始逐步碾壓二線甚至挑戰一線交易平台,就在8月30日,Uniswap也再次達到一個新的里程碑——24小時交易量有史以來首次高於Coinbase,Uniswap 24小時交易量超過4.26億美元,同期Coinbase Pro 24小時交易量則為3.48億美元。
但繁榮之下亦隱憂漸顯,急匆匆滾滾向前的車輪之下,亦埋藏了不少漏洞地雷,尤其是對多層嵌套的DeFi協議而言。各種DeFi 金融工具結合成為常態,以自動化演算法為驅動,價值雖然在整個區塊鏈網路中能以更加迅速的方式流動,但也同時意味著任何一個單點風險都有可能引發“蝴蝶效應”。
延伸閱讀:歷史時刻!Uniswap 日交易量首度超車 Coinbase Pro,達 4.26 億美元敲響 CeFi 警鐘
層出不窮的“亂象”,技術人才的天堂
尤其是在規模已經達到百億級別的同時,龐大的規模下任何一處細微的漏洞,都會造成不可估量的後果,甚至成為技術人才(駭客)的萬能提款機。
遠的就有今年上半年在15秒內透過“DeFi樂高”獲取數十萬美元的“bZx事件”。
“攻擊者”利用bZx的“合約漏洞”,在一個以太坊區塊時間內(不足15秒)充分利用“DeFi樂高”——5個DeFi產品之間(dydx、Compound、bZx、Uniswap、kyber)互相的合約調用,在未曾動用自有資金的前提下,一環緊套一環,最終通過在漏洞間操縱價格,成功“套利”數十萬美元。
延伸閱讀:今年第三起!借貸協議 bZx 再傳攻擊事件,損失 800 萬美元全由保險基金承擔
另外8月13日的“YAM漏洞事件”。
短短24小時內價格和社群氣氛經歷了一場罕見的“雲霄飛車”,最終造成治理合約中75萬枚yCRV 被永久鎖定。
與此同時,在所有的合約風險類型中,疏忽的合約漏洞如果算是無法避免的“概率性天災”,那惡意設計的騙局則是徹底無法避免的“人禍”。尤其是在沒有自帶合約審計的前提下,一旦用戶不加考察地將資產轉入,就無異於給“駭客“送錢。
延伸閱讀:「對不起,我失敗了」Yam Finance沈痛宣告項目死亡幣暴跌99%,待2.0再出發
有人揭露了最近的一個典型流動性挖礦圈套,該項目在用戶第一次授權時是給了staking contract,但它還進一步在第二次授權時要求用戶授權給他們轉帳權(transferFrom 函數授權) 。
要是沒看合約的,估計大部分韭菜就無腦授權了。這種情況下你把錢從合約裡面拿走都沒用,需要手動取消授權,真的是殺豬盤中的殺豬盤,估計很多韭菜還死的不明不白
包括文章開頭提到的流動性挖礦項目chick,後續就被發現團隊向合約中打的第一筆資金是通過Tornado cash匿名幣進行轉帳,也極大可能是從一開始做的一個局。
而在目前的火熱“挖礦”氛圍下,這種類似的騙局只多不少,因而看似狂飆猛進的DeFi,更像是將百億美元金山放在露天不設防環境下的“火中取栗”遊戲。
作為託管著近百億美元資產的一堆互相嵌套的協議程式碼,DeFi已經有足夠底氣去逐步承擔起變革的可能,在絕大多數的“區塊鏈”眼中,它也在一步步成為擁有無限可能的“希望之地”。
但它需要走的更加穩健,“希望之地”變成“萬惡之源”的,僅一線之隔。
去中心化保險方興未艾,能否為DeFi保駕護航?
在DeFi世界中,智能合約本身就意味著一切,而合約程式碼中的任何一項漏洞都有可能直接造成致命的後果。不同於傳統世界中較為清晰的理賠邏輯與權責劃定,智能合約本身的保險嘗試則才剛剛起步。
以去中心化保險Nexus Mutual(NXM)為例,作為建立在以太坊網路上的互助保險項目,NXM是目前區塊鏈生態中最先也是幾乎唯一一個相對較為成熟“智能合約保險”產品。目前總鎖倉價值在所有DeFi項目中排名16(7380萬美元),也是唯一上榜的去中心化保險項目。
作為以智能合約為保險標的的保險產品,NXM保險責任明確為“程式碼的非預期使用(unintended uses of code)”。
在具體的使用流程中,用戶通過需要先通過KYC成為會員後方可以支付對應的DAI、Ether 或NXM購買該保險產品(如果用DAI、Ether 支付,系統後台會自動將它們兌換成NXM 代幣支付) 。
其中90% 的NXM用於購買保險後銷毀,剩下10%,當指定的智能合約遭到駭客攻擊時,投保的會員可以進行索賠從而挽回損失,如果不索賠,則會返還給用戶。
“bZx 事件”也是NXM理賠通過的典型案例,初步自證了NXM這類去中心化保險在防範用戶表智能合約風險方面的有益嘗試。
不過目前DeFi領域的去中心化保險,相較於已經頗為成熟的傳統保險業態,還處在一種探索的早期階段——索賠事件發生後需要進行索賠治理。
但在去中心保險中,結合代幣治理模型,索賠請求恰好與擁有決定是否進行理賠權力的持幣人站在利益對面。仍是以NXM為例,至今為止26起相關的索賠,成功索賠的只有3例。“fhrp”就對此一針見血:
“賠不賠是持幣人投票決定的,你買了保險,車撞了讓保險公司的股東來決定賠不賠?那答案當然是不賠咯”。
而且從嚴格意義上講,NXM的理賠付款更偏向於由象徵性的經濟激勵措施強制執行,和傳統的保險公司理賠說到底仍有很大的差別。
不過在規模催生下,大家也逐步把越來越多的目光投到去中心化保險需求上,YFI在近期也宣布正式進軍DeFi保險領域,相信未來一定也還會有更多新的保險機制湧現出來。
對於駭客而言,託管於程式碼之上的百億資產不啻於一座裸露在他們面前的金礦,而對DeFi即將到達的遠方而言,百億美元只是起點,誰將為接下來無限可能的DeFi世界保駕護航,讓我們拭目以待。
📍相關報導📍
怒批蘋果打壓DeFi,Coinbase執行長:iOS不讓我們用戶訪問 DeFi 應用程式
權威數據網站 Messari 執行長:Defi 泡沫會比人們預期的更快破裂
DeFi 中心化危機?Curve CEO 掌控71%治理投票權:本想抵銷 YFI 過半權重,我反應過度了
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
