DeFi 系統的複雜性使得駭客攻擊頻發,DeFi 專案應從代幣價值驅動因素、預言機、定價和拍賣機制,以及危機治理維度完善經濟學機制設計。
撰文:Johnny Antos,諮詢公司 Prysm Group 合夥人
編譯:詹涓
去中心化金融 (DeFi) 被譽為加密世界的下一場革命。但最近針對 DeFi 專案的駭客攻擊激增表明,DeFi 專案可能仍不夠成熟,無法完全取代標準的金融服務。
經濟學告訴我們,當博弈複雜機制存在激勵時,就有可能發生意外事件。
我們的分析表明,在過去的一年裡,有 5% 的 DeFi 價值(價值 5,000 萬美元的加密資產)在駭客攻擊和其他平臺攻擊中遭到破壞,部分原因是 DeFi 平臺設計中的經濟漏洞。
這僅僅是個開始。
如果沒有健全的經濟學,駭客攻擊、訴訟、怨聲載道的使用者和宣佈緊急狀態的推文數量將會激增,嚴重阻礙 DeFi 的潛在增長和擴張。
什麼是 DeFi,為什麼它成了靶子?
廣義上,DeFi 包括了所有專注於金融基礎設施非中介化的專案(見下圖),其中包括穩定幣、借貸、衍生品和交易所等應用。
資料來源:Prysm Group 分析,截至 2019 年 9 月
自 2017 年以來,DeFi 協議中儲存的價值已經飆升,並在 2020 年初探向 10 億美元大關(見下圖)。在 DeFi 首次被駭客攻擊的前夕,《財富》在 2020 年 2 月寫道,「感覺 DeFi 將站穩腳跟。」
資料來源:DeFi Pulse,截至 2020 年 5 月
隨著 DeFi 的價值增加,對其攻擊的潛在收益也會增加。不出所料,正當 DeFi 儲存的價值達到最大值時,駭客攻擊在 2020 年大幅增加。
資料來源:Prysm Group 分析,截至 2020 年 5 月
當數以百萬計美元可能面臨這些風險時, 「快速行動,打破常規」的科技信條就會承載著重大責任。此外,當使用者的信任被破壞時,被攻擊的協議很難得以恢復;在 dForce 的 Lendf.Me 智慧合約被抽走 2,500 萬美元后,該平臺仍被關閉,使用者可能再也不會回來(鏈聞注:隨著 dForce 團隊成功追討回被抽走的資金,該團隊正計劃逐步開放 Lend.Me 平臺,並爭取使用者迴歸)。
在 Prysm Group,我們專注於識別、分析和解決區塊鏈平臺在釋出和成長過程中面臨的經濟漏洞。在這些 DeFi 事件中,出現了四種經濟安全威脅。DeFi 專案必須投資於瞭解這些漏洞是如何發生的,以及如何修復它們 (如果要獲得大量採用的話)。我們目前已經看到的DeFi 專案經濟安全威脅主要有四種:
加密代幣價值的相關決定因素
DeFi 代幣和金融工具的價值驅動因素往往是其他法定貨幣(如一籃子貨幣)和 / 或其他代幣(如穩定幣)的複雜組合。
這樣一來,惡意參與者的意外事件或操作導致代幣價格發生變化的風險就會較高,而且這種變化可能是人們不希望看到的。
MakerDAO 是一個管理著 DAI 的 DeFi 生態系統,DAI 是它的穩定幣。它被稱為「DeFi 的哥斯拉」。在黑色星期四,ETH 網路擁堵導致多個關鍵的 MakerDAO 機制出現重大故障。MakerDAO 事件的一個關鍵驅動因素是 DAI 穩定幣與其抵押品來源(當時是 ETH 和 BAT)之間的關係。
DAI 的價值不僅取決於其抵押品的價格,而且隱性地取決於其抵押品來源市場的平穩執行。當 ETH 的價格在黑色星期四大幅下跌時,ETH 交易市場變得擁堵。在 MakerDAO 上,這導致了小金庫 (Vault) 所有者無法存入額外的抵押品,清算人 (Keeper) 無法獲得 DAI 的流動性,最終導致 DAI 脫離了它的掛鉤。
由於黑色星期四事件的影響,MakerDAO 已經擴大了抵押品的來源集,將 ETH、BAT、USDC 和 wBTC 納入其中,試圖解決抵押品和風險集中的問題。不過,DAI 抵押品中約 90% 的抵押品仍然是 ETH。此外,MakerDAO 還需要仔細考慮未來這些抵押品來源的任何一個底層平臺上的事件會對 DAI 產生怎樣的影響。
對於任何沒有完全抵押的穩定幣(代幣與抵押品的比例為 1-1),平臺必須瞭解驅動其代幣價值的各種相互依存關係,並制定出針對任何弱點的補救計劃。在設計過程中進行基於代理的模擬,可以幫助確定代幣設計中最容易受到不良事件影響的元素。
預言機在 DeFi 中的激勵相容性
DeFi 通常依賴於某種形式的預言機,其中許多個體報告資訊,由一個複合函式確定協議隨後使用的「真相」。
預言機可以簡單地傳遞與代幣相關的資訊,如當前價格,但也可以涉及更有爭議、更復雜的資訊,如平臺 Augur 上投注事件的解決方案。
當個人有獲利動機,並且能夠以低成本左右預言機的方向時,平臺就會受到損害。這也是上述眾多事件中的安全威脅。Pegnet 是一個去中心化的穩定幣平臺,自 2019 年 8 月上線以來,該平臺已經透過其網路轉移了超過 5 億美元的資金。
然而在 2020 年 4 月,四家挖礦實體成功地在 Pegnet 平臺上提交了 pJPY 預言機前 50 名報價中的 35 個,人為地將其 pJPY 代幣的起始餘額從區區 11 美元抬高到了約 670 萬美元。儘管這些挖礦實體沒有兌現其 pJPY,但它們清楚地表明,透過預言機進行重大價格操縱是完全有可能的。
與基於區塊鏈系統的許多元件一樣,預言機的設計可以透過博弈論模型進行分析。對預言機設計進行嚴格分析,可以揭示出每個利益相關者在進行不誠實(但在經濟上也許是理性的)行為時可能採用的精確策略和步驟,並設計槓桿以緩解這些行為。
DeFi 定價和拍賣機制
許多 DeFi 系統通常需要各種金融工具的定價和拍賣機制。
糟糕的拍賣設計可能導致低效率的結果,從而傷及系統和利益相關者。
在 MakerDAO 系統中,當小金庫的抵押品價值下降到某個閾值時,金庫被清算並拍賣給一組清算人,這些清算人將 DAI 注入到系統中,以換取 ETH (或其他代幣計價的)抵押品。如果有多個清算人(或多個清算機器人)參與這些拍賣,競價競爭會導致拍賣的抵押品被以公平的價格購買。
然而,正如我們在 Coindesk 之前的一篇文章中提到的,拍賣機制的失敗在前面討論的 MakerDAO 事件中扮演了關鍵角色。以太坊的網路擁塞創造了這樣一種場景:兩名清算人在清算拍賣中各自單獨出價,以零 DAI 的出價贏得多個拍賣。由於 MakerDAO 的拍賣機制沒有指定底價或最低出價,因此無法阻止清算後 ETH 資產被無償出售。這在 MakerDAO 系統中造成了 570 萬美元的缺口,併為 MakerDAO 帶來了一系列其他問題。
關於拍賣設計有著豐富的經濟學研究文獻。有兩個因素已經被證明對拍賣結果有重大影響,一是是否規定了底價,二是如何確定拍賣結束時間。如果將這些研究中的見解應用到 MakerDAO 的設計中,將會極大地改善這些拍賣的運作,避免 MakerDAO 系統再次出現數百萬美元的赤字。
DeFi 中的治理差距
DeFi 系統存在這樣的風險:一個小小的經濟漏洞就可能破壞整個系統的完整性。
這種風險可以透過建立專門的風險管理機制,如後備方案、故障保護和危機治理機制等得以減輕。然而,構建應急保障元件往往很複雜。
在 Lendf.Me 事件中,dForce 本可以透過某種危機治理機制來防止損失。然而據我們所知,在系統遭到破壞時,沒有任何緊急關機程式或計劃來及時停止平臺運營。從 dForce 團隊得知攻擊的訊息到 Lendf.Me 存款被凍結之間大概隔了 4 個小時。dForce 沒有運用去中心化治理,因此並不需要花時間來協調利益相關者執行應急程式,在這種情況下居然仍然無法及時行動,這令人驚訝。
此外,在 dForce 採取行動後,他們沒有完全暫停資金流入借貸協議,而是在網站上簡單地掛出了紅色警告橫幅,上書「請勿繼續供應」。
緩慢的行動,有限的響應,這些都不成其為促進使用者信任的緊急行動。
正如我們在前一篇 CoinDesk 文章中所討論的那樣,定義明確的危機治理是任何區塊鏈平臺的重要組成部分。從平臺上線開始,就必須有一套明確的規則,規定哪些事件會觸發危機治理流程,誰獲准代表平臺做出決定,以及他們有哪些行動的選項,這一點至關重要。
如果沒有這一套基礎設施,危機期間不採取行動所帶來的混亂可能會造成重大損害,並阻礙使用者的採用。
DeFi 需要經濟安全
DeFi 系統非常複雜。雖然複雜的系統可以提供重要的價值,但複雜性也為自利行為者的遊戲行為提供了許多途徑。
在 DeFi 中,金融工具的建立、轉移、關閉或銷燬都必須以精確的順序滿足特定的演算法標準,這可能是一個特點,但也會造成經濟上的漏洞。DeFi 系統的建立者有責任和義務開發出在經濟和技術層面上安全的平臺。
為了避免使用者損失和崩潰,嚴格的經濟稽覈對於 DeFi 專案至關重要。
