APP
中國版App下載 Android & iPhone
金色專欄
  • 發布文章
  • 發布活動

除了閃電貸 bZx 事件還給 DeFi 帶來了哪些啟示?

本周加密圈子最引入注目的要屬 bZx 攻擊事件了。

就在兩天前,一名聰明的黑客通過對幾個 DeFi 協議進行了簡單的操作,區區十幾秒就獲得了價值35 萬美元的 ETH 的套利收益。

簡單來說,某個操縱人通過「閃電貸 Flash Loan」從去中心化數字貨幣衍生品交易平臺 dYdX 借出了 1 萬枚 ETH,使用其中 5500 ETH 在 Compound 借出 112 WBTC,另外使用 1300 ETH 到 bZx 上開了 5 倍 ETH 空單(即,使用其中 5637 ETH 兌換 WBTC),由于 Uniswap 池子中可兌換的 WBTC 有限,為了繼續完成這筆兌換操作,WBTC 價格被拉高,與此同時,操縱人再把從 Compound 借到的 112 WBTC 賣出,獲得約 6800 ETH,然后歸還了最初借到的 1 萬枚 ETH (6800+3200,注:3200=4500-1300)。在這個過程中,獲利等價 36 萬美元的 ETH。

除了閃電貸,bZx 事件還給 DeFi 帶來了哪些啟示?

這次事件將 DeFi 推至風口浪尖,并讓人開始關注到「閃電貸 Flash Loan」這個新物種,這次套利行為之所以能成功,正是因為黑客利用了這種 DeFi 世界的新模式,不需要任何抵押物,只要借貸和還款在一個區塊時間完成即可,一時之間,「閃電貸 Flash Loan」成為了熱門話題。

此前,鏈聞曾經發布「貸款協議 bZx 被操縱讓閃電貸走紅,讀懂 13 秒必須還款的閃電貸的秘密」?一文,對閃電貸這種模式進行了完整的介紹。

除此之外,此次事件還引發了我們對去中心化保險、管理員密鑰等問題的廣泛討論。

DeFi 合約到底該不該設置管理員密鑰?

在事件發生后,bZx 動用管理密鑰凍結攻擊者的 51.34 WBTC,這個操作引發了廣泛爭議,一方面,項目方如果不這么做,必然會損失慘重,但如果這么做,則會讓人懷疑掌握了管理密鑰的 DeFi 項目是真的去中心化嗎?如果項目方拿著密鑰升級合約然后跑路怎么辦?

進一步來看,這是一個「對 DeFi 合約到底應不應該設置管理員密鑰(admin key)」的問題。

目前主要有這樣幾派觀點:

一派觀點認為,從管理團隊的角度來看,設置密鑰是十分必要的。因為 DeFi 合約存在不可預測的風險,如果沒有任何彌補措施,那將會引發極大風險,比如著名的theDAO 事件。

2016 年,黑客利用 DAO 代碼中的漏洞盜取了約三分之一的 DAO 資金,最終社區通過硬分叉方式回滾交易,索回丟失資金,同時也讓最初的以太網絡分叉成現在以太經典和以太坊。

事實上,目前大部分 DeFi 項目都設置了管理員密鑰。

根據 DeFi 觀察者 Chris Blec 針對多個 DeFi 項目調研整理出一份 **「DeFi 管理員密鑰風險評估」清單 **,目前大部分 DeFi 項目都設置了管理員密鑰,根據不同需求,權限控制也各不相同,有些采用的是Time Lock 方式,有些則是采用的是多簽的方式。

除了閃電貸,bZx 事件還給 DeFi 帶來了哪些啟示?

DeFi 觀察者 Chris Blec 整理的「DeFi 管理員密鑰風險評估」清單

不過,并非所有 DeFi 項目都設有管理密鑰。Uniswap 和 Instadapp 就沒有設置管理員密鑰,意味著這兩個項目的團隊無法控制用戶的資金。

一般來說,只要是可升級式的智能合約都會設置管理員密鑰。大部分團多握有私鑰都是為了對智能合約進行升級。通過密鑰對合約進行升級完善,在項目發展早期,管理員密鑰確實有存在的必要。

不過需要思考的是,用戶將資金投入到設有管理員密鑰的項目具有一定風險,對于用戶來說,會有足夠大的動機參與進來嗎?

另一派觀點則認為,如果管理員密鑰被認為是合理的,那這些 DeFi 項目和 Coinbase、幣安或 Bitmex 這個 CeFi 中心化交易所相比,又有什么區別呢?

DeFi 團隊一旦擁有管理員密鑰,意味著團隊擁有對用戶資產完全和任意的控制權,雖然密鑰的大部分功能都是用于團隊「升級」合約,但「升級」合約意味著,團隊對合約進行任何更改,甚至可以通過更改規則拿走用戶的資金,這相當于修改憲法了。

用戶應注意 DeFi 協議的風險。是否真正去中心化一個明顯的標識就是團隊是否有單方面對合約進行升級的能力,如果有,那么說明該 DeFi 協議實際上是中心化的。

去中心化保險

此次 bZx 攻擊還讓人開始注意另一個 DeFi 的重要領域,即去中心化保險業務。

隨著加密貨幣行業逐漸變得成熟,各類基礎設施開始涌現。早在去年,就出現了一大批保險服務提供商,此次 bZx 攻擊導致損失了 35 萬美元的 ETH,那么是否保險業務可以派上用場了呢?

事實上,去中心化保險服務提供商 Nexus Mutual 在 Fulcrum 平臺上部署了活躍的保險池,不過這并不意味著 bZx 此次事件可以獲得索賠。

和傳統保險模式相同,Nexus Mutual 有需要人為操作的理賠評估,還可以檢查潛在的欺詐行為。但和傳統保險不同在于,傳統保險公司可以拒絕保險購買者,但 Nexus Mutual 則無需許可,這意味著 Nexus Mutual 不能以任何方式進行歧視。

DeFi 目前存在 3 種類型的風險,第一種是技術風險,第二種是外部風險,第三種則是經濟激勵失敗風險。顯然,NexusMutual 承保范圍只包括第一種技術風險,而非后兩種,因此雖然 Nexus Mutual 針對 Fulcrum 設立了保險池,但不能進行索賠。

然而,即使不屬于索賠范圍,Nexus Mutual 社區還是針對此次事件發起了投票,雖然最終以決絕索賠而告終,但 Nexus Mutual 在此次事件中的反應也讓人印象深刻,發起的投票活動說明了,Nexus Mutual 利益相關者擁有完全的自主權,是真正的去中心化。

正如 Nexus Mutual 創始人和首席執行官 Hugh Karp 在項目官方 Discord 頻道所指出,雖然這是一起價格預言機操縱事件,而且不存在智能合約漏洞問題,這說明拒絕索償是完全合理的,但是社區會員有完全酌情決定權支付(或拒絕)索償。這種討論能為 Nexus Mutual 帶來更大的價值,它建立了社區信任,證明了 Nexus Mutual 完全是由社區控制,從而可以鼓勵用戶購買保險。

相對于 Nexus Mutual 需要復雜繁瑣的去中心化治理流程,期權形式的 DeFi 保險可能是一種更好的服務,這也讓大家把目光聚焦在后起之秀 Opyn 上。

最近上線沒多久的 Opyn 是一種期權形式的保險,目前僅為 Compound 存款保提供險服務,如果 Compound 合約遭受攻擊時用戶依舊可以取回本金和利息。對于 Compound 的用戶,可以在 Opyn 購買以 oToken 當前價格定價的期權,期權的賣方可以在價格下跌時保護 Compound 上的存款,當 Compound 合約受到攻擊,資金被偷走時,通過執行期權,Opyn 用戶仍然可以將其本金和利息拿回。Opyn 基于 Convexity 協議開發,非托管且無需信任,因此不需要保險索賠和風險評估方,DeFi 開發者可通過集成 Opyn 以為平臺用戶提供保險服務。


除了閃電貸,bZx 事件還給 DeFi 帶來了哪些啟示?


雖然尚不支持 bZx,但 Opyn 這種期權模式顯然是一種更加適合 DeFi 業務模式的保險。因為承保范圍可與黑客入侵無關,承保人可隨時要求從保險提供商的 iETH 代幣(bZx 上的用戶存款)中兌換保險費。

提出索賠也很簡單,沒有復雜的審批治理流程,用戶只需將 iToken 和 oToken 發送到 Opyn 智能合約中,即刻就可獲得保險費。只要 iToken 可轉讓,用戶就可以行使索賠權。

期權模式的保險顯然更適合 DeFi 領域,因為用戶可以精確地知道參數以及保險執行的事件,也沒有復雜的治理流程,一目了然。

事實上,Opyn 最近就「接下來希望 Opyn 支持哪些平臺」的問題發起一項調研,針對 DSR 中的 DAI、dYdX、Aave 和 bZx 發起投票,最終閃貸平臺 Aave 以 48.8% 的票數獲得最多支持。


除了閃電貸,bZx 事件還給 DeFi 帶來了哪些啟示?


與過去黑客事件不同的是,這次事件帶給我們的影響遠不止丟失一筆資產這么簡單,它更引發了我們對去中心化、治理、如何抵御風險等問題的思考,也是一種對平臺設計的檢閱,只是檢閱的代價并不小, 35 萬美元。從這個角度來看,確實可以說是一種聰明的賞金活動了。

DeFi 開放、無需許可的特性意味著無限可能,就像是蠻荒的狂野西部,野蠻生長又迸發著無限活力,來勢洶洶,勢不可擋。

而各種可無限組合的協議搭建出來的貨幣樂高,將導致更加復雜的情況發生,這意味著巨大的風險和套利的漏洞,吸引著最為聰明的頭腦來瘋狂套利掘金。

35 萬美元的套利行為只是開始。就在今天下午, bZx 再次遭到用閃電貸進行套利的黑客行為,攻擊者使用了 Synthetix 交易,目前 bZx 又一次暫停了協議。

bZx 黑客事件更是一次代價高昂的學習經驗。這次事件給我們的警醒是,作為 DeFi 項目方,不僅應該不斷檢視產品設計,考慮到可能的風險。同時,DeFi 作為一個復雜系統,就像是一個在成長的生物一樣,勢必會變得越來越復雜,基元也會越來越豐富,這意味著在不遠的將來,會暴露出更多的新問題,這就要求 DeFi 從業者應該從整體上思考和其他組件之間的交互、利益驅動和可能存在的風險,從而從整體上提高整個 DeFi 生態的安全性和魯棒性。

jinse.com
好文章,需要你的鼓勵
jinse.com
好文章,需要你的鼓勵
了解更多區塊鏈一線報道,與作者、讀者更深入探討、交流,歡迎添加小助手微信:jinsecaijing666, 進入[金色財經讀者交流群]。
發表評論
0/140
發布評論
評論
文章作者: / 責任編輯: 我要糾錯

聲明:本文由入駐金色財經的作者撰寫,觀點僅代表作者本人,絕不代表金色財經贊同其觀點或證實其描述。

提示:投資有風險,入市須謹慎。本資訊不作為投資理財建議。

金色財經 > 區塊鏈 > 除了閃電貸 bZx 事件還給 DeFi 帶來了哪些啟示?
刺激战场官网国际服