细数Defi应用,及其潜在与暴露的风险、缺陷和安全性问题

2020-04-02  本文已影响0人  witkey

原文链接:Talking about Defi application and its risks

作者:FutureMoney

今年早些时候,以太坊的去中心化金融市场价值超过10亿美元。与此同时,以太坊2.0的测试网络已于今年年初成功启动,并计划于第三季度正式启动。当所有人都以为以太坊2.0的推出将使Defin全面爆发时,流行病带来的全球资产暴跌也为Defi的未来发展蒙上了阴影。这场流动性危机对金融市场产生了巨大影响。由于以太坊网络的延迟,MakerDAO的一部分抵押品以接近0的价格被拍卖,损失了567万美元,其中最大的金库债务仓库损失了35,000 ETH。目前,Maker在以太坊上占Defi市场的70%,而贷款业务则占整个Defi市场的84%。

同时,Defi的安全性问题逐渐变得更加突出,自今年以来,大量的网络攻击造成了巨大损失。这为整个Defi开发人员和Defi应用程序用户敲响了警钟。当Defi在市场上逐渐变得炙手可热时,不可预测事件的连续性使市场气氛黯淡,用户应留意Defi协议,以便最大程度地识别风险。 FutureMoney研究团队对上述问题进行了深入的研究和思考,反映了Defi的性质,并分析了暴露的风险,缺陷和安全性问题。

1. Defi的地位和性质

Defi通过创建信任自由的协议来复制现有的金融服务,该协议的规则是预先定义的,并且完全开放给参与者。通常,人们不再需要集中式企业来协调资本分配,而只需要执行协议的智能合约。这降低了该行业的准入门槛,并且所有愿意遵守规则的人都可以参与。同时,Defi还提高了效率。它通过智能合约,而不是通过法律系统执行传统的财务执行,从而降低了人为错误和执行成本的风险。当前,借贷是Defi的主要应用,但诸如金融衍生工具之类的其他应用也正在涌现。他们试图构建所有平台。没有中间人,票据交换所,没有可信赖的第三方,甚至没有任何有形组织的信任,只需要可靠的智能合约。

Defi的核心概念是任何人都可以使用。分为三级:无权限,开发人员无权限(开放源代码),节点无权限(共识)和用户无权限。

未经许可的开发人员:任何将项目开源的开发人员都可以通过请求参与代码和协议的更新。

无权限的节点:任何节点都可以成为矿工或验证者,通常指共识机制POW或POS。

无权限的用户:任何人都可以访问网络,包括创建,传输,合同交互等。

只要能够满足用户权限的金融项目都可以包括在去中心化金融的类别中,那么,未经许可的开发人员和节点通常需要权衡效率,安全性和分散性这三个方面。

在讨论Defi时,我们经常以分散为主体来讨论和设计具有财务属性的应用程序和协议。但是,要充分了解Defi,我们应该以金融为主体,看看哪些领域可以分散。查看以下类别:

自从诞生以来,Defi一直在发展。在当前的Defi生态系统中,顶级应用程序出现在以下领域。让我们做一个简单的解释:

融资:融资是指项目有助于筹集资金。不需要访问的融资完全是众筹。传统的众筹筹集资金以换取股票。区块链上的融资是作为代币(ICO)的回报。尽管ICO有争议,但它仍然是Defi的首次应用。尽管最早的Mastercoin失败了,但后来变成了著名的Tether网络Omni。

贷款:随着外部资金的不断进入和基本软件的不断完善,Defi可以参与贷款。 MakerDAO,Compound,Dharma是贷款领域中的顶级应用程序。稳定的代币DAI已成为以太坊的基础货币和贷款引擎,它更像是以太坊储备超额发行的央行货币。目前,整个借贷领域占Defi申请的84%,但是3月份的ETH暴跌导致Maker被迫清算并偿还债务,这在一定程度上阻碍了整个Defi的发展。

衍生产品:在金融衍生产品领域,当前最流行的Defi应用程序是Synthetix,它是一种基于以太坊的合成资产发行协议。用户可以铸造,持有和交易各种合成资产。用户可以通过综合资产获得多头和空头相关资产。合成资产不仅包括加密的数字货币,还包括传统金融资产。除Synthetix之外,其他衍生产品应用还包括dydx的保证金交易和Augur提供的二元期权。目前,衍生品市场占Defi整体规模的7%至8%,这具有很大的增长空间,因为它为Defi提供了使用传统金融资产和各种更复杂的交易策略的渠道。

投资管理:投资管理是可以分散实施的另一个领域。通过自动执行合约和无序访问的网络,Defi的协议可以将曾经是证券公司的蛋糕分发给独立投资者。该领域的发展目前处于初期阶段。只有有更多的金融产品,它才能逐渐发展。它将成为未来Defi生态系统的重要组成部分。当前的主要协议是Melonport。

DEX:去中心化交易是最近的热门话题。无需托管在区块链上的去中心化交易将提供更快,更安全的清算和流动性。 Uniswap是DEX上的顶级项目。这是用于以太坊上代币交易的自动化协议。没有本机代币,没有集中的订单簿,并且平台不收取任何费用。目前,Uniswap平台已锁定30,000 ETH,Uniswap平台是当前第三大具有锁定值的Defi平台。不仅如此,它现在已成为其他Defi平台的基础,为其他Defi平台提供了流动性。

总而言之,Defi的核心概念是无许可的,可以通过智能合约协议而不是第三方集中式组织来实现资金分配。还有当前Defi生态系统中的几个主流应用程序领域,以及其中代表性的顶级应用程序。这些领域和应用已经形成了一定的规模和价值锁定。但是,当前的Defi生态系统仍处于发展初期,并且存在大量风险。这些缺陷和漏洞最近一直在不断暴露。下面我们将分析当前Defi生态中的各种缺陷和风险。

2. Defi的缺陷和风险

2020年2月15日,bZx协议上发生了闪电贷款攻击事件。攻击者通过复杂手段赚了35万美元。但是,在出现更多细节之后,事情变得更加复杂。两天后,攻击再次发生,这次攻击者获利65万美元。后来,Curve项目遇到了类似的问题。在3月12日和3月13日,MakerDAO的清算活动导致协议损失567万美元,这不完全是由ETH暴跌造成的,而是由于某些管理员操作方法等造成的。在过去的几周中,Defi生态经历了巨大的动荡。在几次攻击下,许多未使用的缺陷开始暴露出来。当我们对Defi的未来发展感到乐观时,Defi应用程序的风险和安全性问题逐渐浮出水面。我们在这里重新检查风险和缺陷。

利用智能合约漏洞进行黑客攻击

智能合约是安全可靠的,这是理所当然的。但是后来对bZx协议的攻击以及Curve项目带来的问题为我们敲响了警钟。面对新兴技术,我们不能认为它是理所当然的。智能合约也可能受到攻击。实际上,对bZx攻击的最终调查结果表明,突破仍然在于代码本身的错误。 

Defi本质上将加密货币和智能合约放在一起。固有风险的这两件事的结合自然会产生更大的风险。从技术上讲,每当多个系统相互连接,相互依赖或堆叠在一起时,将面临极大的风险。

在审查Defi项目的合同安全性时,用户应集中精力于其智能合约审核报告。权威机构或团队提供的审计报告可以在一定程度上提供担保信用背书,例如著名的samczsun。审查的另一个重要指标是合约持有资产的大小和合约持有资产的时间。例如,Compound合约在至少六个月内节省了2000万美元的资产,在至少两个月内节省了5000万美元以上的资产。我们可以使用合约持有资产规模*合约持有资产时间作为判断合约安全系数的指标。

Defi贷款的结构性缺陷

目前,Defi市场上最大的贷款领域存在结构性限制和过多的承诺。在传统的贷款市场中,只有少数公司相互竞争以有效地获得分配资金,而借方和贷方都存在障碍。这样的公司几乎没有外部竞争,但内部结构高度。根据Defi协议,有数百万的资金来源。在更高的层次上,协议也在相互竞争。 Defi的模式将吸引更多的市场参与者,并加剧他们之间的竞争。

但是,传统的贷款公司具有很大的优势。他们可以提供无抵押或部分抵押贷款来扩大市场。

目前,Defi无法以相同的方式执行规则。去中心化贷款协议目前存在结构效率低下的问题。除非这个问题能够得到缓解,否则很难进一步扩大贷款市场。目前,贷款的市场价值占整个Defi行业的80%。如果这个结构性问题没有解决,市场很快就会遇到瓶颈。要解决此缺点,我们必须首先解决去中心化应用程序面临的其他一些问题,例如集中式身份验证,隐私屏障等。

超级管理员可能会造成毁灭性的损失

大多数Defi协议具有某种集中化的机制,该机制允许“超级管理员”通过强硬的手段来干扰协议的运行。如果管理员“滥用职权”,或者管理员地址被黑,并且私钥被泄露,那么在大多数情况下,可以轻松窃取Defi协议中承诺的所有资产。管理员可以是一个地址,多个签名的钱包或投票程序。

在查看Defi应用程序时,用户应更多地查看管理员具有的权限、暂停协议、修改帐户余额,白名单或黑名单,升级子系统,升级整个系统,依此类推。用户应仔细分析这些权限的特定划分以及链上治理的方式,以确定Defi协议对管理员造成的风险。

潜在的市场操纵风险

如果我们回顾一下bZx攻击,我们可以看到,这不仅是网络黑客攻击,而且是复杂的套利和市场操纵计划。因此,代码可以正确运行,并且不能保证系统没有风险。 Sam Sun是一位出色的智能合约白帽子黑客。他在Fulcrum中提出,依靠链上价格预测变量而不验证回报率,bZx将很容易受到原子价格操纵。在文章中,他研究了如果操纵他们依赖的方法,智能合约会做出破坏性反应。如果攻击者可以使价格短暂飙升,则可以从协议的“贷款水平”中获取更多,从而掠夺某些人的财富。

Defi协议本身的设计缺陷使攻击者有操纵市场的空间,这对于普通用户而言很难找到。目前,协议本身的质量只能通过市场上一些专业的审计报告来判断。对于已经长时间在线的Defi协议,还可以通过查看其自身的管理资金规模,时间和安全运行时间来判断协议本身的安全性。另外,用户需要注意协议和奖励计划中披露的信息。信息披露越完整,就越可能意识到所涉及的风险。

依赖风险

由于网络是公共的,并且以太坊充满了恶意攻击者,因此开发人员无法假定该协议以外的任何合约都将采取任何行动。但是许多Defi必须做出这样的假设,因为该协议本身是基于其他一些现有的基本合约。

这就像软件开发中的耦合原理。如果依靠其他合约或Defi协议创建漏洞,那么这种联系几乎是不可避免的,并且Defi应用程序自然就面临很大的风险。要了解协议本身是否安全可靠,还需要知道协议所依赖的其他合同是否安全可靠。

此外,如果可以升级管理数百万用户存款的Defi系统,则必须考虑该系统的安全性和稳定性。首先,升级协议可能会导致与其他合同的兼容性问题。相反,升级其他系统也可能导致协议不兼容。大多数Defi智能合约都是可升级的。用户需要跟踪协议升级的记录并获取下一次协议升级的信息,以便进行充分的资产准备。

关于依赖风险,用户需要集中精力了解外部依赖的预言机,交换,第三方智能合约和支持的代币。就目前而言,如果这些外部依赖的合约是稳定且可靠的,则外部依赖方面的安全性已经相对较高。

流动风险

为了判断流动性风险,必须注意协议资产的利用率。下面以Compound为例进行说明。例如,复合利用率达到98.62%,这意味着98.62%的DAI已被借出。因此,只有少量的贷方可以收回存入的DAI。如果有很多DAI债权人想同时收回存入的DAI,则其提款行为将耗尽所有DAI。如果用户继续提款,交易将失败,他将不得不等待更多的借款人退还贷款才能提款。当某些DAI债权人试图一次提取全部DAI时,就会发生挤兑,并产生流动性风险。

用户必须了解如何处理Defi项目的流动性问题,才能决定是否承担此类流动性风险。例如, Compound公司应对流动性风险的方法很简单。 Compound在白皮书中写道:“该协议不保证流动性;相反,它依靠利率模型来激励。当资产需求非常旺盛时,协议的流动性将会下降(代币可以提取或借出);在这种情况下,利率将上升,从而刺激供应并抑制借贷。 “换句话说, Compound可以用来应对流动性风险的唯一工具是管理员的利率模型。当利率达到最高时,将存在流动性危机和集中的运行风险,而贷方唯一能做的就是与超级管理员提高利率以刺激还款。

Defi项目主要锁定或抵押资产,每个项目在处理流动性时都有不同的策略和工具。用户应充分了解其机制,并在以后决定所获得平台的收益是否值得承担平台上的流动性风险。

3.结论

我们可以看到,Defi的核心概念是未经许可的。它要求每个人平等参与,并且不需要可信赖的第三方参与。权力下放的目标不是权力下放,而是更加开放和公平。 Defi与传统FinTech的区别在于后者基于数据和机器学习算法,以实现更准确的信用评估和预测,而Defi平等对待所有参与者,这是Defi的发展目标和初衷。

由于Defi缺乏身份验证和信用系统,技术仍处于早期阶段以及其他因素,Defi生态目前面临一定风险。 Defi最近几个月经历的动荡包括MakerDAO的清算,bZx和Curve攻击。在几次攻击下,许多缺陷已被突出显示,这使我们不得不认真讨论Defi应用程序面临的安全问题。

但是,Defi不会停止,也不应该停止。从总体上看,Defi的机制仍对传统金融有很大的改善和优化效果,其社会资源优化配置的潜力尚未得到充分发挥。经过短暂的调整,我们几乎可以确定Defi会在未来爆发并在一定程度上改善我们的基础金融业务,但这需要时间,而且Defi协议的沉没可能要花费数十年。可以预见,在未来的很长一段时间内,Defi将与传统金融并存,而去中心化金融将很好地补充中央机构在跨境,利基市场和缺乏金融基础设施领域的支付和贷款。

——感谢阅读——

上一篇下一篇

猜你喜欢

热点阅读