DeFi

【Dapp Pocket】DeFi 每週報告 – 四月第三週

Dapp Pocket
分享
【Dapp Pocket】DeFi 每週報告 – 四月第三週

本週摘要

上週末對 DeFi 界不是個假日,Uniswap 與 Lendf.Me 接連遭到重入攻擊,後者損失達史上最高的 2400 萬美元。另一方面,穩定幣則有重大發展,中國央行發起的 DCEP 距離正式上線似乎將進入倒數階段;兩大全球性穩定幣 Libra 與 Celo 各有進展,臉書的 Libra 推出白皮書 2.0 有望解決各國對其壟斷的疑慮,由多個知名 VC 支持的 Celo Gold 也敲定將於 5 月 7 日開放購買。而本週為大家節選的大佬觀點有:Ryan Adams 用戰爭來比喻監管式加密銀行與去中心協議的關係;Compound 創辦人 Robert Leshner 對於 Lendf.Me 違反其著作權發表評論;以及對於時下最夯的 WFH (Work From Home),Dharma 與 Coinbase 的老闆有著完全相反的看法。

DeFi(Decentralized Finance)是指去中心化的金融服務。簡單來說同樣是金融服務,但以去中心化的模式運營,解決傳統金融產業交易速度慢、成本高、易遭駭客攻擊、且會被國家或組織濫用等問題。目前的 DeFi 生態已能提供借貸生息、做空資產、高倍率槓桿操作甚至獨有的閃電貸服務。

廣告 - 內文未完請往下捲動

作者介紹

Raizel / 政大經濟系,被比特幣套牢於是轉而關注 DeFi
Thomas / 在波士頓從事晶片設計的 DeFi 愛好者
Anderson / Dapp Pocket 創辦人,DeFi 存款 > 銀行存款

(一) 本週大事記

Uniswap 和 lendf.Me 遭攻擊始末:願 DeFi 世界裡沒有 ERC777

04 月 18 日上午 08:58 開始, DeFi 平台 Uniswap 被黑客利用重入漏洞實施了攻擊。大約 24 小時後,於 04 月 19 日(昨天)上午 08:45,又一知名 DeFi 平台 Lendf.Me 被以類似的手段實施了攻擊。

攻擊的原理是:攻擊者通過以太坊上少有 token 使用的 ERC777 的 transferFrom() 回調機制,利用在內部調用_callTokensToSend() 回調函數劫持交易,並在真正更新餘額的_move() 函數之前進行惡意攻擊。

在 Uniswap 的攻擊案例中,攻擊者利用此漏洞消耗盡 Uniswap ETH-imBTC 池約 1,278 個 ETH。而在 Lendf.Me 中,攻擊者則是利用它來任意增加內部 imBTC 抵押金額,並通過從其他可用的 Lendf.Me 交易中借入 10 多種資產(總價值約 2,524 萬美元)。

Source: https://www.chainnews.com/articles/461365073330.htm

04/21 更新:黑客已向 Lendf.Me 歸還 57992 個 ETH 和 6,640,886 USDT

dForce 創辦人:正與交易所和執法機構合作追查駭客,「我們不會被打倒」

dForce 創辦人楊民道在一篇公開的文章中回顧了此次攻擊事件,他表示在當日早上 9 點團隊發現異常後,立即臨時關停 Lendf.Me 和 USDx 合約,並關停網站並展開調查,目前正試圖與駭客溝通並全力追回被盜資金。民道同時公開了追回被盜資金及後續解決該事件的幾個措施,包括:1. 聯繫了頂級安全公司,對 Lendf.Me 進行更全面的安全性評估;2. 與合作夥伴一起制訂解決方案,對系統進行資本重組,「雖然我們遭遇了攻擊,但不會就此被打倒」;3. 正在與主流交易所、場外交易商和執法機構合作,調查該情況,扣留被盜資金並追查黑客。

Source: https://www.chainnews.com/news/636723865284.htm

Libra 白皮書 2.0:為了迎合合規機構要求,Libra 都做了哪些改變?

近期 Libra 發佈白皮書 2.0 版本,在最新的版本中可以看到 Libra 似乎已經向監管機構做出了讓步,一直堅持想要做一個籃子穩定幣的 Libra 終於鬆口,並明確表示將要迎合合規的需求。新版白皮書有以下四點重點更新:第一,在多幣種穩定幣的基礎上,還將提供單一幣種穩定幣;第二,通過一個強大的合規框架來增強 Libra 支付系統的安全;第三,放棄未來向無許可制度的過渡,同時保持其關鍵的經濟屬性;第四,在 Libra 儲備中設建一個強有力的保護措施。

Source: https://zombit.info/libra-white-paper-2/

Celo 透過 Coinlist 的公開拍賣將於 5 月 7 日舉行,Celo Gold 起拍價為 12 美元

金融應用開源平台 Celo 將於 5 月 7 日透過 Coinlist 公開出售其應用代幣 Celo Gold(cGLD),此次拍賣的起始價為 12 美元,底價為 1 美元。同時,cGLD 應用代幣的總供應量為 10 億枚,按照底價 1 美元的估值,Celo Gold 將估值約 10 億美元。Celo 在去年 8 月完成 3000 萬美元融資,主要投資人包含加密貨幣基金 a16z crypto 和 Polychain、Dragonfly Capital。除了 Celo Gold 以及與美元掛鉤的穩定幣 Celo Dollar,該團隊還開發了一錢包,用戶可通過電話號碼將 Celo Dollar 轉帳給沒有安裝錢包的用戶。

Source: https://www.chainnews.com/news/447749221004.htm

傳統美元將受威脅?中國四大國有銀行開放測試錢包 APP,數位人民幣上線倒數中

據中媒報導,中國農業銀行(Agricultural Bank of China, ABC)正在對央行數位貨幣 DCEP 進行錢包的內部測試。這是中國自 2019 年透露將推出官方版的虛擬貨幣以來,其 DCEP 距離上線正式進入倒數階段。中國數位貨幣(Digtal currency/Electronic payment, DCEP)已開始執行試點計畫。根據測試版 APP 的截圖顯示,DCEP 錢包將支援數位資產兌換、管理、交易記錄查詢等功能,同時也支持掃描支付、轉帳、收付款、手機晶片支付等基礎行動支付的功能。

Source: https://www.abmedia.io/chinese-state-owned-bank-releases-test-app-for-central-banks-digital-currency/

其他還有

(二) 數據指標

本週數據採計自 2020/4/14/~4/20,擷取時間以下午 2:00 為準。TVL 指 Total Value Locked,即儲存在該平台中的資產總值。數據來源為:DeFi Pulse、CoinMarketCap、Maker 官網、Compound 官網、AAVE 官網等。

DeFi 借貸平台規模

DEX 規模

Dai APR

Coin & Token Value

(三) 大佬觀點

Ryan Sean Adams:幣安挑戰以太坊,這是加密銀行與貨幣協議的戰爭

Ryan Sean Adams – rsa.eth @RyanSAdams

Binance building its own chain to take on Ethereum Wrote this months ago: “The crypto banks and money protocols fighting for the same treasure. One permissionless the other permissioned. Irreconcilable differences. And they’re primed to fight.” Read: Crypto banks vs. money protocolsThe battle of 5 armies for money and financebankless.substack.com

April 17th 2020

11 Retweets

Robert Leshner:一個項目如果竊取別人的著作權,那麼他們大概沒能力或沒意願去考慮到安全性

🤖 Leshner @rleshner

If a project doesn’t have the expertise to develop it’s own smart contracts, and instead steals and redeploys somebody else’s copyrighted code, it’s a sign that they don’t have the capacity or intention to consider security. Hope developers & users learn from the @LendfMe hack.

April 19th 2020

52 Retweets

Brendan Foster:我很懷疑遠距工作這件事

Brendan from Dharma @brendan_dharma

I’m extremely skeptical of remote work. No one ever says “long distance is just as good as in-person” about romantic relationships. So why is everyone so sure that long distance is just as good as in-person for professional relationships?

April 15th 2020

Brian Armstrong:居家隔離滿開心的

Brian Armstrong @brian_armstrong

Same

Andrew Wilkinson @awilkinson

Finding I’m generally happier during quarantine, especially on weekends. No debate about how to spend the day. No FOMO going to bed at 9 on a Friday. Forced to cook at home, hang with family, and go on walks. Longer flow states and less background noise anxiety…

April 13th 2020

16 Retweets

(四) 專家來訪

DeFi 專家來訪第一集,我們很榮幸邀請到沛理科技 (Pelith) 創辦人—陳品,來跟我們聊聊他的最新專案「客家財經」和分享其對 DeFi 的看法。2015 年時陳品透過挖礦進入區塊鏈的世界,透過接案積累區塊鏈開發經驗,接著創辦 Pelith,自 2018 年 8 月成立至今已推出超過 12 個區塊鏈產品。

什麼是客家財經 Hakka Finance?

與時下大多 DeFi 公司或 DeFi protocol 瞄準指數成長的巨大專案不同,客家財經想另闢蹊徑,創造一個抽象的品牌,旗下將會囊括非常多 DeFi 小產品,各自提供不同的價值,在長尾市場裡聚沙成塔。因此,與 Compound、MakerDAO 的單一明確主題不同,客家財經將能靈活因應市場需求作嘗試,目標是成為 DeFi 界的投資銀行,並通過 DAO 實現品牌和所有子產品的鏈上治理。

客家財經目前已推出的產品有哪些?

  • 「Fulcrum 緊急脫逃裝置」,在 bZx 被攻擊後的流動性危機裡,提供存戶單鍵贖回 iToken (以 iETH 為主) 的服務。
  • 「DeFi 手冊」,想成為 DeFi 界的維基百科、操作手冊、教科書,提供 DeFi 開發人員快速查詢所有常用的 DeFi protocol、interface 和 usage。

即將推出的產品呢?

  • 針對 MakerDAO 系統性風險的 DeFi 保險,以雨天基金的方式對沖 emergency shutdown 的黑天鵝事件,相比之下,現有的 DeFi 保險協議只對沖價格波動與穩定幣脫錨,而 Nexus Mutual 則是屬性較為廣泛的行業互助會,所有人共用一個保險池。
  • 在以太幣價格上發行的結構型基金,推出債券、ETF、基金等中風險的商品,促進 DeFi 市場上的風險級別多元化。
  • 低流動性版的投資協議,投資標的為低流動性的數位資產,給願意接受較長贖回期的投資人提供更高的利率,並增加 DeFi 生態系的穩定性。

快問快答

Q:簡短解釋重入攻擊、Lendf.Me 被駭的攻擊手法,並提供你的看法?

在 EVM 上,當一個合約呼叫另一個合約的函數時,等同將執行權限交棒。若接棒的合約帶有惡意,則可能回頭呼叫交棒合約的其他函數,在先前執行環境尚未收尾的情況下導致危險。Lendf.Me 這次被駭的攻擊手法是,在平台合約尚未來得及扣款的情形下,攻擊合約持續呼叫平台合約的提款函數,將資金池榨乾。儘管 Lendf.Me 使用 (照抄) 的是純粹針對 ERC-20 設計的 Compound V1 的合約,但卻接受屬於 ERC-777 代幣的 imBTC 作為抵押品,導致嚴重的安全漏洞。

Q:對「DeFi 金融危機有可能是 DeFi 市場發展過程中的常態」的說法,你怎麼看?

確實有可能,因為 DeFi 領域的發展仍有太多未知數,再加上 DeFi 市場本質上排拒人為介入,所以無法照搬傳統市場的熔斷機制。但是,這是 DeFi 領域的 feature 而不是 bug,因為 DeFi 的目標就是成為不受人為、人治因素影響的金融系統。儘管成本沈痛,對 DeFi 產業發展來說可能是無可避免的。開發方可以注意的是謹慎經營團隊文化。

Q:三句話總結以太坊 2.0?

以太坊 2.0 是一個非常有野心的擴容方案。它與其他做高 TPS 鏈的最大差異在於,其他的鏈做到的是常數級別的擴容,例如將 TPS 從 x 提升到 10000x;以太坊 2.0 想做的是複雜度級別的擴容,將 TPS 從 x 提升到 x 平方。長線來看,以太坊 2.0 才是終極的解法。

Q:在全球 DeFi 領域裡最欣賞的人是?

特別敬佩 iearn.finance 的創辦人 Andre Cronje,他以個人的力量快速迭代出很多很有用的 DeFi 協議和產品,可以說是以太坊可組合性的代言人。可惜因為與社群的紛爭,Cronje 已從 DeFi 開發工作裡退休。

Q:持有最多的 3 個 token?

首先是以太幣,原因自明。第二個是 KNC,也就是 Kyber Network 去中心化交易所的平台幣,先前黑客松獲獎時恰好在價格相對低點得到 KNC,巧逢 KNC 上架 Coinbase Pro 時的大漲。最後,我持有各式各樣 DeFi 協議推出的 token,例如 Compound DAI、Fulcrum DAI、Aave DAI 等,對我來說就像存款的存條一樣。

其他還有

  • 為什麼對 DeFi 著迷?
  • DeFi 開發需要的技能樹?
  • 給 DeFi 開發者的三點建議

詳細訪談內容請收聽 Soundcloud

(五) 我們觀點

DeFi 平台接連遭駭,作為用戶和開發者該怎麼辦?

上週末兩天之內連續發生了兩起駭客攻擊事件,雖然 Uniswap 攻擊事件相對損失金額少,但 dForce 底下的 Lendf.Me 平台遭竊史上最高的約 2500 萬美元。本週 DeFi 專家來訪邀請的陳品也提到,這次受到攻擊的智能合約其實都是受過專家審計的,卻還是遭到攻擊。加上 2 月的 bZx 閃電貸事件、3 月的 0 Dai 拍賣事件,DeFi 領域似乎充斥著駭客攻擊的風險。

相較於傳統金融,DeFi 還像是剛出生的小嬰兒,其技術和應用還在快速成長中,現階段肯定有較高多技術面的風險。然而,我們現今所使用的各種科技,哪個不是這樣學中錯、錯中學慢慢茁壯的呢?有句話說,風險從來不是來自投資標的,而是你對投資標的的不了解。作為用戶,我們應該做的是慎選能信賴的營運團隊,例如從 TVL 可以看出平台規模、參考 DeFi Score 上提供的許多指標、好的協議也會有清楚的白皮書或文件讓你了解其原理,總之多花時間去了解你所投資的項目並做好資產分散;作為開發者,我們是這領域的先驅,不能只是盲目使用別人的程式或把責任都丟給外部專家把關,我們認為必須花時間正確的設計協議和充足的測試、詳細了解使用的每塊 DeFi lego、不斷吸取別人的教訓並改進、並做好風險控管為最壞的情況做打算。DeFi 作為金融服務與新科技的結合,獲利時大賺、跌倒時大賠都不令人意外,我們認為應該保持的心態是-大膽的發想,戒慎恐懼的實作。

談談 DeFi 開源程式和著作權保護

在 Lendf.Me 攻擊事件後,Compound 創辦人 Robert Leshner 的發言令人感到好奇,使用開源 (Open Source) 程式竟然會違反著作權?開源通常是為了能讓其他開發者使用並創造更好的程式,或讓別人能貢獻其力協助改進程式,是一個共好的精神。當然,也不代表可以隨意讓人使用自己的智慧財產,一般來說會有使用條款(Licence)作為限制,像是 MIT, GPL 等。比較嚴格的條款會限制他人做商業使用時需符合一些條件,像是其衍生程式也必須開源,如沒有遵守當然是會違反其著作權。

Compound 的程式碼並沒有使用任何 License,而是完全保留其著作權只開放私人使用,商業使用則沒有明確說明,讓希望使用其程式碼的人無所適從。你可能會問,那為什麼要開源?因為這是 DeFi 協議取得公眾信任最好的方式,透過公開程式碼證明沒有在其中藏有後門,並讓大家共同確認其安全性,另外也讓其他開發者了解其運作方式方便做整合。我們可以理解 Compound 的作法,但還是希望更多人將其程式以通用的 License 開放出來,讓大家能基於其上開發更好的程式, 藉此能更快速的趕上傳統金融產業。畢竟如果有所謂的 DeFi 護城河,那應該是程式其上搭建的服務和死忠用戶,這些才是無法輕易被複製的。反之作為一位開發者,尊重別人程式的著作權是再基本不過的事。

原文連結

衍伸閱讀

立即加入 Telegram 獲得最精準的區塊鏈新知、加密貨幣動態!