DEF:外部压力下 DeFi之夏还能否重现？_Loop Energy

狂热的“DeFi之夏”在加密历史中留下了浓墨重彩的一笔，而如今由于宏观经济状况的恶化以及监管等因素造成的下行压力，DeFi之夏能否重现？Compound Labs的创始人Rob Leshner给出了自己的答案。

作者：Darren Kleine | Blockworks

编译：Felix, PANews

当DeFi还是一个新事物时，加密行业痴迷于这个快速发展的赛道及其众多创新。这一段时间，是DeFi之夏。

但鉴于当前的宏观经济状况和重点监管，情况发生了变化。DeFi之夏已是遥远的历史。

安全团队：跨链DEX聚合器Transit Swap因任意外部调用问题被黑，被盗资金规模超2300万美元:10月2日消息，据慢雾安全团队情报，2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击，导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元，黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析：

1. 当用户在Transit Swap进行swap时，会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。

2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入，本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。

3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作，但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入，路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。

4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址，未对 calldata 数据进行具体检查。

5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据，此时兑换合约被指定为权限管理合约地址，兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。

此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查，导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。

截止到目前，黑客已将 2,500 BNB 转移到 Tornado Cash，剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现，黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]

在最近一期的《Empire》播客中，Compound Labs创始人Rob Leshner回答了一个关于DeFi可能重回夏天的问题：究竟是什么，会把人们拉回DeFi？

推特CEO：对垃圾邮件账户进行外部评估是不可能的:5月17日消息，推特CEO表示，跟马斯克大概描述了垃圾邮件的捕获过程，但对垃圾邮件账户进行外部评估是不可能的。公司内部对过去四个季度垃圾邮件账户占比的估计为“远低于5%”。

此前消息，伊隆·马斯克在社交媒体上表示，如果能够顺利完成对推特的收购，他将致力于彻底解决平台上存在的垃圾邮件机器人问题，并且要对所有账户进行真人验证。（金十）[2022/5/17 3:20:20]

Rob Leshner首先介绍了当前形势：“去年发生的真正大的趋势之一是传统金融的利率已经超过了DeFi利率。其中一个问题是像SVB这样的银行因承担了太多的利率风险而倒闭。”

数据：有21个波卡生态系统项目获得5200万美元外部投资者资金:据The Block Research统计数据，共有21个在波卡Polkadot生态系统上开发的项目获得了外部投资者资金（非赠款或Polkadot财政部）。这些项目总共分配了约5200万美元，平均交易规模约为270万美元，中位交易规模为150万美元。另外，自2019年起，Web3基金会共发放了205笔拨款，用于开发和研究Polkadot、Kusama和他们的区块链应用框架Substrate。[2021/1/15 16:16:54]

Rob Leshner说：“另一个原因是人们不再像以前那样试图赚取DeFi利率了。”

政策 | 印度政府就加密货币监管政策寻求外部法律机构建议:据bitcoinnews报道，根据一份RTI报告显示，印度政府部门正在寻求外部法律机构的建议，以帮助其对加密货币监管政策进行最终敲定，并预计将于本月晚些时候向财政部上交一份完整一致的法律框架报告。[2019/2/5]

他解释说，截至目前，赚取短期国债的利息要比DeFi利息更容易。最重要的是，最近的事件导致了投资者极为敏感，投资者对所有交易对手的信任度都降低了，即使是最可信的交易对手也是如此。

但Rob Leshner预计DeFi自身的优势会把人们拉回来。Rob Leshner认为，DeFi与传统金融体系的不透明形成了鲜明对比，DeFi的优点在最近的经济灾难中凸显出来。该领域过去的灾难，如FTX惨败，导致用户对传统金融体系失去信任，使得用户更倾向于自我管理和透明。

“相信他们的话，或者自己去验证。如果你不用担心自己被，这会是一件很震撼的事情。”

Rob Leshner称，自动化是DeFi比CeFi更具优势的另一个重要特性。“DeFi全天候24*7自主工作，没有真正的管理者或维护。与CeFi的任何工具相比，长期、自主的智能合约，本身就被视为一种实施金融市场和产品更好的工具。

Sommelier联合创始人Zaki Manian表示，自己经营银行的想法很棒，这意味着人们不需要再相信那些不透明的、中心化的机构，但他表示，目前还行不通，因为用户必须承担自己经营银行的复杂而艰巨的工作。

Zaki Manian认为，自动化是解决这个问题的方法。它允许用户享受非托管、透明的DeFi体验，同时将赚取收益、管理投资组合等复杂性工作转移到适应性市场策略中。

自动化还可以使稳定币产生收益，“这与你从国债中获得收益，以及使用加密资产进行金融性操作（注：例如买卖币、“挖矿”等）获得收益相比，更具竞争力。”

Zaki Manian坚称：“除了当前代表投机性的流动性类型之外，这些类型的收益产生对于吸引资本进入该领域至关重要。”

尽管如此，Zaki Manian承认，仍有需要改进的地方。目前正在改进的主要有两个方面：一是用户体验差距，太多的DeFi对非加密人士来说是难以理解的；二是在提供的产品种类上，DeFi相对于传统金融而言存在差距。

“人们想要功能强大、易于使用的产品。”

随着时间的推移，DeFi的自主性对开发者和市场而言，具有巨大的吸引力。相比之下，维护传统市场（包括记账、对账等活动）的工作量是惊人的。

Leshner补充说，将人们拉回DeFi的最后一个因素是它的可组合性。由于系统的互操作性，DeFi中某一领域的进步有利于整个生态系统。"当你成为DeFi用户后，你可以同时受益于不同应用程序平台的所有改进。"这是一个强大的功能，就像一股看不见的风潮，形成持续改进的网络效应。

Leshner相信，人们将全面回归DeFi。“它的优点是如此强大，最终DeFi将获胜。最近的所有灾难都在强化这一事实，让我比以往任何时候都更有信心。”

PANews

媒体专栏

阅读更多

金色财经 善欧巴

Chainlink预言机

金色早8点

白话区块链

Odaily星球日报

Arcane Labs

深潮TechFlow

欧科云链

BTCStudy

MarsBit

标签：DEFDEFINERESHdefi币是什么币DOGDEFILoop EnergyCFRESH币

Ethereum热门资讯