DeFi上資產越多越怕“翻車”,保險開始成為“香餑餑”?

買賣虛擬貨幣

8月24日,“萬卉Dovey”在社交媒體上爆料稱,新的流動性挖礦專案chick被審計團隊發現留有合約後門,團隊可以隨時將合約中的資金轉走。

這正是火爆DeFi盛夏的一個真實縮影,在層出不窮的極高收益流動性挖礦專案面前,“年化1000%”、“萬倍漲幅”的吸引力往往掩蓋了“未經合約審計”的致命風險。在爆炸式增長的體量尤其是令市場參與者心動的“萬倍造富效應”之下,Fomo(Fear of Missing Out)情緒前所未有地蔓延。

01火熱的“DeFi盛夏”,漸行漸近的“天際線”

自從uniswap等AMM型別DEX應用引爆市場以來,預言機、流動性挖礦、Yield Farming等諸多DeFi概念板塊交替接棒,一步步將市場情緒推向高潮。

截至2020年8月30日,整個DeFi世界中的總鎖倉量(TVL,即ETH及各類ERC-20代幣的總價值)已經達到93.8億美元,距離百億美元僅咫尺之遙,這可能也是人類歷史上首次實現近百億美元的資產直接明牌託管於一堆可巢狀的協議程式碼之上。

而不斷膨脹的DeFi市場體量中,目前鎖定資產排名前三甲的分別為:

Aave鎖定資產總價值16億美元;

Maker鎖定資產總價值14億美元;

Curve鎖定資產總價值13億美元;

市場的分化也在DeFi爆炸式增長中加速,除了Maker之外,Aave、Curve、Yearn幾乎都是後來居上的新秀,各種新設計與玩法規則的專案讓人眼花繚亂,甚至冰火兩重天。

DEX類也開始逐步碾壓二線甚至挑戰一線交易平臺,就在8月30日,Uniswap 也再次達到一個新的里程碑——24小時交易量有史以來首次高於Coinbase,Uniswap 24小時交易量超過4.26億美元,同期Coinbase Pro 24小時交易量則為3.48億美元。

但繁榮之下亦隱憂漸顯,急匆匆滾滾向前的車輪之下,亦埋藏了不少漏洞地雷,尤其是對多層巢狀的DeFi協議而言——各種 DeFi 金融工具結合成為常態,以自動化演算法為驅動,價值雖然在整個區塊鏈網路中能以更加迅速的方式流動,但也同時意味著任何一個單點風險都有可能引發“蝴蝶效應”。

02層出不窮的“亂象”,技術人才的天堂

尤其是在體量已經達到百億級別的同時,龐大的體量下任何一處細微的漏洞,都會造成不可估量的後果,甚至成為技術人才(駭客)的萬能提款機。

遠的就有今年上半年在15秒內透過“DeFi樂高”獲取數十萬美元的“bZx事件”。“攻擊者”利用bZx的“合約漏洞”,在一個以太坊區塊時間內(不足15秒)充分利用“DeFi樂高”——5個DeFi產品之間(dydx、Compound、bZx、Uniswap、kyber)互相的合約呼叫,在未曾動用自有資金的前提下,一環緊套一環,最終透過在漏洞間操縱價格,成功“套利”數十萬美元。

近的則有8月13日的“YAM漏洞事件”,短短24小時內價格和社羣氣氛經歷了一場罕見的“過山車”,最終造成治理合約中75萬枚 yCRV 被永久鎖定。

與此同時,在所有的合約風險型別中,疏忽的合約漏洞如果算是無法避免的“概率性天災”,那惡意設計的騙局則是徹底無法避免的“人禍”,尤其是在沒有自帶合約審計的前提下,一旦使用者不加考察地將資產轉入,就無異於給“駭客“送錢。

有人揭露了最近的一個典型流動性挖礦圈套,該專案在使用者第一次授權時是給了staking contract,但它還進一步在第二次授權時要求使用者授權給他們轉賬權(transferFrom 函式授權)。

“要是沒看合約的,估計大部分韭菜就無腦授權了。這種情況下你把錢從合約裡面拿走都沒用,需要手動取消授權,真的是殺豬盤中的殺豬盤,估計很多韭菜還死的不明不白”,包括文章開頭提到的流動性挖礦專案chick,後續就被發現團隊向合約中打的第一筆資金是透過Tornado cash匿名幣進行轉賬,也極大可能是從一開始做的一個局。

而在目前的火熱“挖礦”氛圍下,這種類似的騙局只多不少,因而看似狂飆猛進的DeFi,更像是將百億美元金山放在露天不設防環境下的“火中取栗”遊戲。

作為託管著近百億美元資產的一堆互相巢狀的協議程式碼,DeFi已經有足夠底氣去逐步承擔起變革的可能,在絕大多數的“區塊鏈”眼中,它也在一步步成為擁有無限可能的“希望之地”。

但它需要走的更加穩健,“希望之地”變成“萬惡之源”的,僅一線之隔。

03去中心化保險方興未艾,能否為DeFi保駕護航?

在DeFi世界中,智慧合約本身就意味著一切,而合約程式碼中的任何一項漏洞都有可能直接造成致命的後果。不同於傳統世界中較為清晰的理賠邏輯與權責劃定,智慧合約本身的保險嘗試則才剛剛起步。

以去中心化保險Nexus Mutual(NXM)為例,作為建立在以太坊網路上的互助保險專案,NXM是目前區塊鏈生態中最先也是幾乎唯一一個相對較為成熟“智慧合約保險”產品,目前總鎖倉價值在所有DeFi專案中排名14(7800萬美元),也是唯一上榜的去中心化保險專案。

作為以智慧合約為保險標的的保險產品,NXM保險責任明確為“程式碼的非預期使用(unintended uses of code)”。在具體的使用流程中,使用者透過需要先透過KYC成為會員後方可以支付對應的DAI、Ether 或NXM購買該保險產品(如果用 DAI、Ether 支付,系統後臺會自動將它們兌換成 NXM 代幣支付)。

其中90% 的NXM用於購買保險後銷燬,剩下 10%,當指定的智慧合約遭到駭客攻擊時,投保的會員可以進行索賠從而挽回損失,如果不索賠,則會返還給使用者。

“bZx 事件”也是 NXM理賠透過的典型案例,初步自證了NXM這類去中心化保險在防範使用者表智慧合約風險方面的有益嘗試。

不過目前DeFi領域的去中心化保險,相較於已經頗為成熟的傳統保險業態,還處在一種探索的早期階段——索賠事件發生後需要進行索賠治理,但在去中心保險中,結合代幣治理模型,索賠請求恰好與擁有決定是否進行理賠權力的持幣人站在利益對面。

仍是以NXM為例,至今為止26起相關的索賠,成功索賠的只有3例。“fhrp”就對此一針見血,“賠不賠是持幣人投票決定的,你買了保險,車撞了讓保險公司的股東來決定賠不賠?那答案當然是不賠咯”。

而且從嚴格意義上講,NXM的理賠付款更偏向於由象徵性的經濟激勵措施強制執行,和傳統的保險公司理賠兜底仍有很大區別。

不過在體量催生下,大家也逐步把越來越多的目光投到去中心化保險需求上,YFI在近期也宣佈正式進軍DeFi保險領域,相信未來一定也還會有更多新的保險機制湧現出來。

對於駭客而言,託管於程式碼之上的百億資產不啻於一座裸露在他們面前的金礦,而對DeFi即將到達的遠方而言,百億美元只是起點,誰將為接下來無限可能的DeFi世界保駕護航,讓我們拭目以待。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;