導讀

今年年初以太坊上Defi的鎖定市值一度突破了10億美金,同時以太坊2.0的測試網絡也已在年初的時候順利上線,併計劃在第三季度正式上線。當大家都以為,Defi將隨著以太坊2.0的上線獲得全面爆發的時候,一場疫情帶來的全球資產暴跌讓Defi的未來發展蒙上了一層陰影。其中ETH的暴跌,導致MakerDAO的清算協議損失567萬美元,背後的原因是由於網絡擁堵,一些質押品被以接近0的價格拍賣,價值832萬美元。其中最大的vault債倉損失了3.5萬ETH,而最划算的拍賣利潤達到3萬ETH。在本次事件前,Maker占到了以太坊上Defi市場70%的份額,而藉貸業務佔了整個Defi市場84%的份額。這場流動性清算對Defi市場造成了的巨大影響。

與此同時,今年以來Defi的安全問題也逐漸凸顯,幾次網絡攻擊造成了大量的損失。這給整個Defi生態開發者以及Defi應用的用戶都敲響了警鐘。 Defi在市場上正逐漸火熱的時候,連續的突發事件無疑給市場情緒潑了一盆涼水,使我們不得不冷靜下來,重新思考Defi的本質,其目前存在的缺陷,風險和安全隱患,以及用戶應該從哪些方面去關注Defi協議,以便最大程度的識別風險。 FutureMoney研究團隊對上述問題進行了深入的研究和思考,對Defi的本質進行了反省,並對其暴露出來的風險,缺陷及安全問題進行了分析。下面我們就來詳細討論這幾個問題。

Defi的本質和現狀

Defi通過創建免信任型協議來複製現有的金融服務,這些協議的規則是預先定義好的,而且完全開放參與。在本質上,人們不再需要一個中心化的企業來協調資本配置,而只需要執行協議的智能合約就可以了。這一點降低了行業進入的門檻,參與者資格是向所有願意遵守規則的人開放的。同時,Defi也提高了效率,它是由智能合約執行的,而不是傳統金融由法律系統強制執行,降低了人為作惡風險和執行成本。目前,借貸是Defi的一個主要的應用場景,但是金融衍生品等其他應用也在接踵而至。他們嘗試全部建立在去中心化平台上,沒有中間人,清算所,不需要可信第三方,甚至完全不需要信任任何有形的機構,而只需要可靠的智能合約就可以了。

對Defi而言,最核心的概念就在於低門檻,無需准入。而無需准入有三個層級,開發者無需准入(Open Source),節點無需准入(Consensus),用戶無需准入。

  • 開發者無需准入:項目開源任何開發者可以通過pull request的形式參與代碼和協議更新。

  • 節點無需准入:任何節點都可以成為礦工或驗證者,這往往指的的是共識機制,POW或POS。

  • 用戶無需准入: 任何人都可以接入網絡,包括創建,轉賬,合約互動等。

只要滿足使用者無需准入的金融項目都可以屬於去中心化金融的範疇,而開發者以及節點的無需准入一般需要在效率,安全,去中心化這三者之中做權衡。

當我們討論Defi的時候,往往以去中心化為主體,討論和設計具有金融屬性的應用和協議。但是要更全面理解Defi, 應該以金融為主體,看看哪些領域可以去中心化。請看如下分類:

640?wx_fmt=png

圖片來源:www.theblockcrypto.com

Defi從誕生之時發展至今, 一直在不斷的演化。在目前的Defi生態中,下面幾個領域都出現了頂級的應用。我們來做一個簡單的說明:

融資:融資指項目向外界籌集資金,無需准入的融資是完全意義上的眾籌。傳統眾籌以產品和服務為回報募集資金。而區塊鏈上的融資以代幣為回報,也就是ICO。儘管ICO飽受爭議,但它仍然是第一個金融屬性的應用落地。雖然最早的Mastercoin失敗了,但其後來也轉型為了大家熟知的Tether網絡Omni。

借貸:隨著外部資金的不斷進入以及基礎軟件的不斷完善,Defi就可以涉及和有規模化的採用金融的核心功能進行借貸。 MakerDAO, Compound, Dharma是藉貸領域的頂級應用。穩定幣DAI成為了以太坊上的基礎貨幣和貸款引擎,它更像是超額“以太坊本位”儲備下發行的央行貨幣。目前整個借貸領域佔了Defi應用84%的份額,但是3月ETH的暴跌,致使Maker被迫清算,償還債務,讓整個Defi的發展,受到了一定的阻礙。

衍生品:在金融衍生品領域,目前最受歡迎的Defi應用是Synthetix,它是一個建立在以太坊上的合成資產發行協議,用戶可以鑄造,持有並交易多種多樣的合成資產,用戶可以通過合成資產獲得相關資產的做多和做空,合成資產不僅包括加密數字貨幣,同時還可以包括傳統的金融資產。除了Synthetix之外,其他的衍生品應用還包括dydx的保證金交易,Augur提供的二元期權等。目前,衍生品市場佔Defi總體規模的7%~8%,具有很大的增長空間,因為它為Defi利用傳統金融資產,及更多樣更複雜的交易策略提供了通道。

投資管理:在有了相對豐富的金融產品後,投資管理是另一個可以去中心化實現的領域。通過自動執行合約和無序准入的網絡,Defi的協議可以將過去只屬於證券公司的蛋糕,分給獨立投資人。這個領域的發展目前處於早期,在有了更多的金融產品後,它才可以逐漸發展起來,未來它將是Defi生態中的一個重要的組成部分。目前的主要協議是Melonport。

DEX交易所:去中心化交易所,是最近一個熱門的話題,在區塊鏈上無需託管的去中心化交易將提供更快,更安全的清結算和流動性。 Uniswap是DEX上的頂級項目。它是以太坊上實現代幣交易的自動化協議,沒有原生代幣,沒有中心化訂單薄,平台不收取任何費用。目前,Uniswap平台上鎖定了3萬個ETH,是目前第三大鎖定價值的Defi平台。不僅如此,目前它已經成為其他Defi平台的基礎,為其他的Defi平台提供流動性。

綜上所述,Defi的本質是無需准入,低門檻,由智能合約協議實現協調配置資本,而不是第三方中心化機構。也介紹了目前Defi生態中主流的幾個應用領域,以及其中具有代表性的頂級應用。這些領域和應用已經形成了一定的規模和價值鎖定。但是,目前的Defi生態仍然處於發展的初期,應用中存在大量的安全隱患和風險,這些缺陷和漏洞在最近不斷的暴露出來。下面我們就來分析下,目前Defi生態中的各種缺陷和風險。

Defi的缺陷與風險

2020年2月15日bZx協議上發生閃電貸攻擊事件,攻擊者通過複雜的手段獲利35萬美金,然而,更多的細節浮出水面後,事情變得越來越複雜,兩天后,攻擊再次發生,而這次攻擊者獲利65萬美元。後來Curve項目也出現了類似的問題。 3月12日與3月13日,MakerDAO的清算活動導致協議損失567萬美金,而這不完全由ETH暴跌導致,而是因為一些keeper的操作手法,等等.....在過去幾個月,Defi生態經歷了巨大的動盪,數次攻擊之下,許多未被利用過的缺陷開始暴露出來,在我們看好Defi未來大發展的時候,Defi應用的風險和安全問題逐漸浮出水面,讓我們不得不重新審視Defi的應用,重新反省其中的風險和缺陷。

黑客攻擊,利用智能合約漏洞

原本我們理所當然的認為智能合約是安全可靠的。但是bZx協議上的攻擊以及後來的Curve項目上出現的問題,為我們敲響了警鐘。面對一個新興發展的技術,我們不能想當然。智能合約也是可以被攻擊的,事實上bZx的攻擊最終調查的結果顯示,其突破還是在代碼本身的錯誤上。 Defi本質上是將密碼學貨幣和智能合約放在了一起,這兩個本身就具備風險的事物結合在一起,自然就會產生更大的風險。每當有多個系統相互連接,彼此依賴,或者相互疊加時,從技術上講,你就是處在巨大的風險之中。

用戶在考察一個Defi項目的合約安全性時,應該重點考察其智能合約審計報告,權威的機構或團隊提供的審計報告能夠在一定程度上提供安全性的信用背書,如著名的samczsun. 另外一個重要的考察指標是合約保存的資產規模, 以及合約保存的資產時間。例如compound合約至少6個月保存2000萬美金資產,至少兩個月保存超過5000萬資產。我們可以將合約持有資產規模 * 合約持有資產時間,作為一個指數來判斷合約的安全係數。

Defi在藉貸上的結構性缺陷

目前佔Defi市場最大的借貸領域存在著結構性局限問題,超額質押。在傳統藉貸市場中,只有少數幾個公司相互競爭,高效獲取資本進行分配,借貸雙方都有壁壘。這種公司的外部競爭很小,但內部是高度結構化的。 Defi協議下有上百萬個資本來源,從更高層次上說,協議之間也在相互競爭。 Defi的模式會吸引更多的市場參與者,並激化他們之間的競爭。

然而,傳統藉貸公司有一個很大的優勢,合約是強制性的,最終依賴槍桿子和鐵籠子,他們可以提供無抵押或部分抵押貸款,從而擴大市場。目前,Defi無法以同樣的方式來執行規則,去中心化借貸協議目前存在這種結構性低效問題,除非能夠緩解這個問題,否則很難在藉貸市場上進一步擴大。目前,Defi借貸鎖定質押的市值占到了整個Defi行業的8成,如果這個結構性問題一直得不到解決,那麼市場很快就會遇到瓶頸。要解決這個缺陷,就要先解決去中心化應用所面臨的其他一些問題,如中心化身份驗證,隱私壁壘等。

超級管理者洩漏將導致毀滅性損失

大部分Defi協議都具有一些中心化的機制,允許“超級管理員”以強硬的手段干涉協議的運行。如果管理員“濫用職權”, 或者管理員地址被黑客攻擊,導致私鑰洩漏出去,那麼大多數情況下,所有質押在Defi協議中的資產都可以輕鬆的被竊取。管理員可以是單一地址,多重簽名錢包,或者是一個投票的過程。

用戶在審查一個Defi應用的時候,應該更多的查看管理員具備哪些權限?暫停協議?修改賬戶餘額?設置白名單/黑名單?升級子系統?升級整個系統(這個需要重點考察)等等。用戶應該仔細分析這些權限的具體劃分以及鏈上治理的方式,以此判定該Defi協議由管理者帶來的風險到底有多大。

Defi協議本身的缺陷:潛在市場操縱風險

如果我們回頭仔細研究bZx攻擊事件,我們就可以發現這並不僅僅是一次網絡黑客的攻擊,而是一套複雜的套利和市場操縱計劃。因此代碼能夠正確正常的運行,並不能保證系統就沒有風險。 Sam Sun是一位出色的智能合約白帽黑客,他在《Fulcrum》中提出,在沒有驗證回報率的情況下依賴一個鏈上去中心化的價格預言機,bZx將很容易收到原子化價格操縱的影響,在文章中他研究瞭如果操縱他們所依賴的餵價方式,智能合約就能做出破壞性響應,如果一名攻擊者能導致價格短暫飆升,它就能從協議中獲得遠超其水平的貸款,從而洗劫一些人的財富。

Defi協議本身的設計缺陷,導致攻擊者有市場操縱的空間,對普通用戶來說,是很難發現的。目前只能通過市場上一些專業的審計報告來評判協議本身的優劣。對於已上線許久的Defi協議,也可以通過查看其本身管理資金規模,時間,穩定運行時間等指標來判斷協議本身的安全性。另外,用戶需要關注協議披露的信息和獎勵計劃,這些信息披露越完全,你可能越能察覺到其中的風險。

依賴性風險

因為網絡是公開的,同時以太坊上充斥著不懷好意的攻擊者,因此開發者並不能假設本協議以外的合約一定會採取什麼行為。但是許多Defi又不得不做出這樣的假設,因為協議本身是建立在別的已有的一些基礎合約之上的。

這就如同軟件開發中的耦合性原理,如果你所依賴其他合約或者Defi協議產生了漏洞,那麼這種聯動幾乎是必然的,你的Defi應用自然也處於巨大的風險之中。要了解協議本身是否安全可靠,還需要了解一下協議所依賴的其他合約是否是安全穩定的。

此外,當一個管理著百萬美金用戶存款的Defi系統可以升級時,那麼系統的安全性和穩定性就是必須要考慮的因素了。首先,你的協議升級,可能導致與其他合約的兼容性出現問題,反之,其他系統的升級,也可能導致你的協議不兼容。而大部分的Defi智能合約都是可升級的。用戶需要追踪協議升級的記錄,以及獲得下次協議升級的信息,以做好充分的資產準備。

關於依賴性風險,用戶需要重點了解外部依賴的預言機,交易所,第三方智能合約,以及支持的代幣。就目前而言,如果外部依賴的這幾個合約是穩定可靠的,在外部依賴性方面的安全性就已經是比較高的了。

流動性風險

我們必須要關注協議資產的利用率,以判斷流動性風險。下面以compound為例進行說明,例如compound的利用率達到了98.62%,也就是說98.62%的DAI已經借出。所以,只有一小部分的出借方可以收回存入的DAI。如果有很多DAI債權方在同一時刻想要收回存入的DAI,他們的提款行為就會耗盡所有的DAI。如果用戶繼續提款操作,那麼就會出現交易失敗,不得不等到更多的借款方歸還貸款後才能進行提款。當一部分DAI債權人試圖一次性取出全部的DAI時,銀行擠兌就發生了,出現了流動性風險。

用戶必須對Defi項目的流動性問題的處理方式有所了解,以決定是否承擔這樣的流動性風險。例如,Compound處理流動性風險的方式就很直接,Compound在白皮書中寫道, “該協議不保證流動性;相反,它依靠利率模型進行激勵。在資產需求極為旺盛的時候,協議流動性將減少(可供提款或出借的代幣);在這種情況下,利率會上升,從而刺激供應並抑制借貸”。也就是說,Compound唯一能處理流動性風險的工具就是管理員提升利率模型。利率達到最大將出現流動性危機和集中擠兌風險,而出借方唯一能做的事情就是用超級管理員提高利率,刺激還款。

Defi項目大多會鎖定或質押資產,而每個項目在應對流動性時,都有不同的策略和工具。用戶要充分了解其機制以後決定,獲取的平台利益,是否值得承擔該平台上的流動性風險。

總結

我們可以看到,Defi的本質核心,是圍繞無需准入,低門檻進行的,是需要人人平等的參與,不需要可信第三方的介入。去中心化的目標,不是去中心化本身,而是要更加開放和公平。 Defi和傳統FinTech的區別在於,後者基於數據與機器學習算法,實現更精準的信用評估和預測,而Defi則是對所有參與者一視同仁,這是Defi的發展目標和初衷。

由於Defi本身缺乏身份驗證和信用體系,技術仍然處於早期等因素,Defi生態目前處於一定的風險之中。最近幾個月Defi經歷的動盪,包括MakerDAO的清算,bZx和Curve的攻擊事件等。在數次攻擊下,許多缺陷凸顯了出來,讓我們不得不嚴肅的討論Defi應用面臨的安全問題。以上我們分析了主流Defi面臨或已經遭遇的風險。

但是,Defi不會停下,也不該停下。 Defi的機制在大方向上對傳統金融仍然有極大的改進和優化作用,其對社會資源最優分配能力的潛力還沒有完全發揮出來。技術在不斷的發展,制度也在不斷的完善。在短暫的調整之後,我們幾乎可以肯定Defi在未來必將爆發,在一定程度上改進我們的基礎金融業務,但這需要時間,Defi協議的下沉可能會花費數十年之久。可以預見的是,在將來很長一段時間,Defi將和傳統金融同時存在,去中心化金融將很好的補充中心化機構在跨境領域,利基市場和缺乏金融基礎設施地區的支付,貸款和信用。去中心化金融更好的名字應該是開放式金融。

關於FutureMoney

FutureMoney是全球領先的數字貨幣資產管理公司,專注於基金管理、量化分析及區塊鏈技術研究。旗下設有行業研究院、區塊鏈股權基金和多個數字貨幣信託。投研方向覆蓋基礎公鏈、應用協議和去中心化金融服務等,為投資人和被投項目提供專業化的投資諮詢服務。

FutureMoney致力於搭建合規的金融資管平台,積極推動全球範圍內的數字資產監管及合規業務,計劃為數字貨幣投資提供一條快速安全的通道。