文:冰棒
出品:PANews
編者注:本文做了不改變作者原意的刪減。
所有關心DeFi領域的人士,都和dForce一起度過了驚心動魄的53小時。
慶幸的是,這次黑客的手段并沒有那么高明,在被盜的第二日,基于黑客在攻擊前后留下的痕跡,安全團隊成功確定了準確的黑客畫像,并開始與國內外各方資源進行交叉對比,獲得突破性線索,離黑客越來越近。第三日,黑客在重重壓力下,與dForce主動溝通,并開始歸還部分資產。繼續溝通后,所有資產被成功找回。
dForce的峰回路轉是幸運女神的眷顧,從業者短暫慶賀之余,更需要進行一場關于DeFi的大反思和大討論。
DeFi驚魂53小時
考慮到還有一些不了解該事件的讀者,我們先回顧下本次黑客事件的經過。
4月18日、19日接連兩天,發生了兩起DeFi智能合約被攻擊事件,共計被盜金額高達2546萬美元。Uniswap被攻擊在先,但因為被盜金額21.7萬美元并不是太高,沒有引起投資者的注意。沒想到24小時內,Lendf.Me也被黑客用類似的手法攻陷,被盜金額高達2524萬美元,資金池當中只剩下6美元資產。
dForce創始人Mindao:上海升級標志著以太坊原生利率政策的確定:金色財經報道,dForce創始人Mindao發文稱,ETH提現拋壓分析都試圖通過量化去分析質變事件,必然是謬以千里;提現是完成以太坊貨幣政策確定性的關鍵事件,不是簡單加息、減息的市場操作;它標志著以太坊原生利率政策的確定,也是crypto的原生利率市場和美元利率政策分庭抗禮的起點。
此前他曾表示,上海升級后,ETH有幾個基本面變化:(1)不確定性消除,愿長期質押的人會增加,ETH的凈質押率預計會從現在15%到40%+;(2)質押的ETH從股權性質變債權性質,LSD們的流動性優勢沒那么明顯,節點質押的ETH會變成類零息債券,面值折扣大概0.08%,節點多元化會打破LSD龍頭的壟斷;(3)ETH經濟模型完成閉環[2023/4/14 14:02:49]
具有戲劇性的是,在不少受害人通過memo留言請求黑客退回資產之后,黑客往Lendf.Me賬戶退回了全部的38萬HUSD和320HBTC,以及部分將PAX替換的12萬個ETH,并附留言“betterfutrue”。
截至4月21日14:00,黑客幾乎將所有轉移資產全部打回Lendf.Me賬戶。不管是黑客們盜亦有道,還是迫于各方壓力退還資產,柳暗花明的同時,行業參與者還需要深刻的反思DeFi行業目前的問題。
據PeckShield公眾號推文介紹,這次黑客攻擊DeFi的原理是:攻擊者利用以太坊ERC777標準的transferFrom()回調機制,在內部調用?_callTokensToSend()?回調函數時劫持交易,并在真正更新余額的_move()函數之前進行惡意攻擊。
DeFi協議dForce上線質押功能,并提供自由質押和鎖定質押兩種模式:3月25日消息,DeFi 協議 dForce 宣布上線協議 Token DF 質押功能,并提供自由質押和鎖定質押兩種質押模式。用戶可根據需要選擇 DF 鎖定方式,以獲取不同的收益率。
此前報道,dForce 是一個去中心化借貸協議,允許用戶通過超額抵押的方式生成不同的 Stablecoin 貸款。[2022/3/25 14:18:24]
以太坊的ERC777標準,可以看作是ERC20的升級版本,本身沒有太大問題。但是將Uniswap/Lendf.me和ERC777結合使用的時候,系統出現了漏洞,給了黑客可乘之機。
Lendf.Me官方團隊dForceNetwork在4月19日03:38分發文,也承認黑客主要是利用Lendf.Me和ERC777的兼容性發動攻擊。
所以說,分別來看ERC777的代碼和dForce的代碼都是經過安全審計無漏洞,但當兩者相結合的時候,便產生了系統性的安全風險。
都是去中心化的協議,這時候,很難說這究竟是誰的責任。
親歷者的反思
事發后,與交易所被盜幣的維權現場不同,dForce社區整體比較冷靜,大部分用戶也會站在官方團隊的立場去建議和寬慰。這或許是因為,dForce的用戶,不少是類似于幣乎的創始人咕嚕、文藝復興基金曹寅這樣的DeFi參與者和建設者。
MCDEX將上線dForce原生穩定幣USX池:10月15日消息,去中心化永續合約交易平臺MCDEX將于北京時間10月18日8:00上線借貸與合成資產協議dForce原生穩定幣USX池,用戶可以使用USX進行BTC、ETH、BNB永續合約的交易和結算,賺取MCB激勵,或向MCDEX的USX池子提供流動性,賺取交易手續費。
去中心化穩定幣USX用于衍生品交易,意味著用戶可以使用各類主流加密資產和生息資產作為抵押物進行永續合約交易,提升資本效率,推動USX在非借貸場景中的應用和普及,并為dForceDAO帶來額外的交易費收入。[2021/10/15 20:32:10]
大部分用戶在理性的反思自己沒有做好資產的配置和安全識別。咕嚕稱自己應該是受損最大的用戶,并發表了一篇對參與DeFi風險管理的建議,主要是以下6點:
1.智能合約代碼安全性引入的風險
首先,安全審計報告是規避智能合約風險的第一道關口,也是目前唯一能前置規避智能合約風險的措施。其次,時間是最好的檢驗。經過長時間有效實戰檢驗的智能合約,風險顯著降低。
2.智能合約AdminKey引入的運營風險
運營方是否主動披露AdminKey權限的存在,一個負責任的運營方應該有義務主動披露AdminKey權限;AdminKey的權限范圍,可以凍結、轉移、沒收用戶資產的AdminKey權限,需要格外當心;是否對AdminKey權限設置了延時生效機制。延時生效機制是防范AdminKey的侵入式權限對用戶造成傷害的有效防御手段,同時也是反應運營方態度的關鍵看點;看持有AdminKey權限的運營方本身是否信譽良好.
火幣FastTrack項目dForce:CeFi和DeFi是“前店后廠”的關系:9月10日,火幣全球站第13期FastTrack項目dForce創始人楊民道在接受星球日報CEO Mandy訪談時表示,CeFi和DeFi是“前店后廠”的關系,兩者相輔相成。中心化平臺作為和用戶最直接的入口,會成為用戶端的巨大的流量入口。而DeFi可以幫助CeFi把部分的業務流程DeFi化,比如借貸、存款生息這類型的業務,所以中心化平臺的功能DeFi化會是巨大的趨勢,因為中后臺的成本可以大大節省。??
據悉,近期火幣率先推出了“DeFi挖礦”、“新幣挖礦”等產品,打開了普通用戶高效、安全、零摩擦、豐厚獎勵的“DeFi 挖礦”的行業級入口。 楊民道認為,對于中心化平臺來說,DeFi有非常大的全球資金的優勢和資產端的連接的靈活性。希望中心化合作平臺可以更多接入DeFi協議,比如dForce的穩定幣協議就有按照秒提供利息的便利方式。DeFi和CeFi在很多維度上都有融合的機會。[2020/9/10]
3.持有特定資產本身的風險
持有的資產本身具有價格波動的市場風險、資產被Token合約本身的AdminKey凍結/沒收的風險,等等。
4.抵押借貸類DeFi本身的市場風險
在抵押協作中規定針對特定單一抵押品的抵押數量上限,上限的設定須與該抵押品的市場真實流動性匹配,尤其是要考慮泛濫的刷成交量這類因素;評估抵押協議中的平倉機制設計是否合理,平倉機制是否能有效利用市場中的流動性進行平倉;評估被納入的抵押品本身的風險。
dForce宣布推出生息市場,支持USDx、DAI等:繼去中心化合成型穩定幣USDx之后,dForce官方宣布推出第二個核心資產協議——生息市場(Yield Markets)。生息市場將率先支持USDx、GOLDx、USDT、USDC、DAI。用戶將代幣存入生息市場將自動獲得相應比例的dToken(例如,存入USDT將獲得dUSDT),每枚dToken都代表了底層儲備代幣和其所對應的收益權。( dForce Network)[2020/7/28]
5.智能合約平臺的風險
安全審計+長時間的有效實戰檢驗
6.用戶自身私鑰管理的風險
學習私鑰保管的相關知識,通過使用智能錢包規避私鑰管理的風險。
橙皮書的創始人李陽同樣也是用戶,在得知被黑客攻擊時,他用了“魂魄離開肉體的死亡之飄”來形容當時的感受,事后他反思到,“如果我們真的想突破幣圈,獲得更多普通用戶的信任,在產品設計,風險提示,用戶體驗,品牌塑造上,還有太多太多要做。就現在的狀態,即使一個用戶真心想嘗試使用defi的產品,艱難的跨過諸多入門關卡,也會被現有defi產品的主頁給擋在門外。一個理財產品總得有風險提示和權責說明吧?”
當然,在反思之余,用戶們并沒有喪失對DeFi的信心,正如曹寅所說,“這次事件之后,整個DeFi社區對安全的重視和投入會上升一個數量級,用戶的對DeFi的認知也會提高不少,這次事件就當作DeFi建設者們神農嘗百草吧。"
欲速則不達,簡單的才是耐用的
從去年年初開始,DeFi似乎進入了大爆炸的階段,各類DeFi引用接踵而至。這樣大跨步發展,注定會埋下隱雷。
“最近三個月來,我看到DeFi新應用和新資產正以至少每天兩三個的速度涌現,而DeFi協議之間的可組合性,使得DeFi的復雜性更是呈現指數級別增長,協議互相之間的影響已經超越了單純的樂高積木組合方式。”曹寅表示。
和曹寅持一樣的觀點,IOSGVentures在推特連發幾問提出質疑:DeFi的復雜性是否超越了其成熟度?協議的組合帶來機會,同時也面臨兼容性風險。DeFi產品需要解決代碼審計以及安全性問題,DeFi雖然相比于傳統金融有更高的收益,但高收益往往對應的是高風險,DeFi還需要更多的風險提示。
同時不少開發團隊也需要放緩協議的速度,確保產品在上線之前有合格的審計以及漏洞排查。
“市場能力固然重要,但研發能力也要匹配上自己的野心。”DeFiLabs創始人代世超呼吁,希望中國社區投入更多研發和專業資源在cryptofinance領域。目前defi領域顛覆性的創新產品都是國外先行研發。中國defi社區正在起步,但研發資源還比較薄弱。
但這里可能有一個悖論,既對于初創企業而言,審計費用,延長交付時間,都會增加成本,反之又極具風險。
對于DeFi之所以收益普遍比CeFi高出很多,其收益主要來源于DeFi的開銷低,省去了傳統行業的中間商。而當代碼100%完全沒有問題的情況下,風險降低市場的收益也會隨著下降。
對于用戶來講,高收益和透明性最大的擁躉因素,在DeFi沒有做好這兩點的情況下,用戶需要慎重選擇參與,目前來看,時間仍然是最好的試金石。
當然,對于DeFi產品,在行業內也有著很多的抨擊和懷疑。在這次事件發生之后,DeFi和CeFi也成為了熱門討論話題。
DeFi還是CeFi,不是選擇題
追求金融平權的加密朋克們,一開始就將DeFi置于CeFi的對立面。DeFi的黑客事件,更使得有些人提出了“DeFi無用論”的觀點,或者建議重新審視DeFi的內在價值。但單從安全角度而言,成立了上百年的CeFi也經歷過很多安全事故,直到2016年也出現過黑客連續通過swift盜取厄瓜多爾、菲律賓、孟加拉一眾銀行的事件。
不管是DeFi還是CeFi,都有一個必經的試錯和成長的打磨過程。和比特幣被死亡200多次一樣,經歷傷痛是新生事物必經的階段。就區塊鏈能夠帶來的變革領域來看,區塊鏈技術未來有著巨大的發展潛力。有人稱DeFi屬于早期產品,其實就區塊鏈的成熟期來看,現在所有的區塊鏈產品僅僅是起步階段而已,只不過行業參與者總會高估行業的發展時期。
以結果為導向,技術的發展是為了提高生產效率。在去中心化和中心化的爭論當中,我們更多的是應該考慮效能的最大化,而非達到目的的手段,不需要非黑即白,非彼即此。
比如政府和一些慈善企業推出的企業聯盟鏈,即使看上去沒有那么的去中心化,但也能做到高效的處理事務,讓1+1大于2。
MakerDAO中國社區負責人潘超在文章中寫道,去中心化和中心化代表著兩種截然不同的力量和理念,就像蹺蹺板兩端的?DeFi?和?CeFi,彼此水火不相容,但之間的流動性卻使它們成為金融的環節。這些環節在金融活動中不但不互相抵觸,而且彼此都同樣是必要的,正是這種必要性才形成金融的平衡。
DeFi和CeFi并不是必選題,在技術層面可以考慮融合兩者的優勢,達到最終用戶的需求。在用戶選擇層面,也沒有必要太過在意D還是C,能夠滿足用戶需求的產品,才是最好的產品。當然,在文末還要提一句,dForce作為亞洲的DeFi代表,甚至在社區中掀起了對中國人產品的口誅筆伐和冷言嘲諷。
正如曹寅所說,我們現在必須立刻意識到,DeFi的發展已經進入了危險區域,無論是否有競爭關系,其實都是在一艘飛船上。開發者們應該放下各種門戶之見和利益立場,攜手合作,設計打造出更安全的DeFi飛船,為飛船上的用戶負責。
Tags:EFIDEFIDEFFORCEefi幣暴跌DefiDollar DAOdefi幣價格漲跌原理Phoenix Force
4月14日消息,美國聯邦調查局在其官網發布警告稱,與新冠大流行有關的騙局預計將會增加,欺詐者會利用日益加劇的恐懼情緒和不確定性竊取受害者的資金,并通過復雜的加密貨幣生態系統洗錢.
1900/1/1 0:00:00小結 本文試圖從貨幣流通理論出發構建代幣經濟體價值及代幣”內在價值”的評估框架。根據貨幣流通理論,銷毀不能直接提高代幣的理論價格.
1900/1/1 0:00:00導讀 工信部公示首屆全國區塊鏈和分布式記賬技術標準化技術委員會委員名單,多位上市公司人員在列。 摘要 技術標準建設提速,產業應用有望爆發.
1900/1/1 0:00:00作者:NEST愛好者_DW1987最近有人因為312DeFi事件開始批判去中心化,有點像吃了帶毛豬就罵豬肉垃圾。這些人不去想想事情的根源,是屠夫沒有剃好毛呢,還是豬肉本身就不值一試.
1900/1/1 0:00:00本文來源:騰訊研究院,原題《疫情下的區塊鏈產業:缺位、共識與機遇》新冠疫情的爆發,為各行各業帶來了嚴峻考驗,也為數字化技術、行業提供了新的發展契機.
1900/1/1 0:00:00國家發改委今天首次明確新型基礎設施的范圍,國家發改委相關負責人表示,初步研究認為,新型基礎設施是以新發展理念為引領,以技術創新為驅動,以信息網絡為基礎,面向高質量發展需要.
1900/1/1 0:00:00