文:冰棒
出品:PANews
编者注:本文做了不改变作者原意的删减。
所有关心DeFi领域的人士,都和dForce一起度过了惊心动魄的53小时。
庆幸的是,这次黑客的手段并没有那么高明,在被盗的第二日,基于黑客在攻击前后留下的痕迹,安全团队成功确定了准确的黑客画像,并开始与国内外各方资源进行交叉对比,获得突破性线索,离黑客越来越近。第三日,黑客在重重压力下,与dForce主动沟通,并开始归还部分资产。继续沟通后,所有资产被成功找回。
dForce的峰回路转是幸运女神的眷顾,从业者短暂庆贺之余,更需要进行一场关于DeFi的大反思和大讨论。
DeFi惊魂53小时
考虑到还有一些不了解该事件的读者,我们先回顾下本次黑客事件的经过。
4月18日、19日接连两天,发生了两起DeFi智能合约被攻击事件,共计被盗金额高达2546万美元。Uniswap被攻击在先,但因为被盗金额21.7万美元并不是太高,没有引起投资者的注意。没想到24小时内,Lendf.Me也被黑客用类似的手法攻陷,被盗金额高达2524万美元,资金池当中只剩下6美元资产。
dForce与EntroFi合作推动实体资产融资:10月26日消息,借贷与合成资产协议dForce与实体资产融资平台EntroFi达成合作,共同推动实体资产融资(包括地产、债券、担保贷款、收购融资、应收账款等)。其中通过跨协议之间的流动性整合,dForce可以通过EntroFi对接各类实体融资需求,使借款人可以在授信额度内铸造USX,EntroFi将主要负责项目层面的尽职调查和落实执行。[2021/10/26 20:58:48]
具有戏剧性的是,在不少受害人通过memo留言请求黑客退回资产之后,黑客往Lendf.Me账户退回了全部的38万HUSD和320HBTC,以及部分将PAX替换的12万个ETH,并附留言“betterfutrue”。
截至4月21日14:00,黑客几乎将所有转移资产全部打回Lendf.Me账户。不管是黑客们盗亦有道,还是迫于各方压力退还资产,柳暗花明的同时,行业参与者还需要深刻的反思DeFi行业目前的问题。
据PeckShield公众号推文介绍,这次黑客攻击DeFi的原理是:攻击者利用以太坊ERC777标准的transferFrom()回调机制,在内部调用?_callTokensToSend()?回调函数时劫持交易,并在真正更新余额的_move()函数之前进行恶意攻击。
以太坊的ERC777标准,可以看作是ERC20的升级版本,本身没有太大问题。但是将Uniswap/Lendf.me和ERC777结合使用的时候,系统出现了漏洞,给了黑客可乘之机。
dForce与UPRETS合作尝试链上实体资产融资:10月13日消息,借贷与合成资产协议dForce与实体资产数字化平台UPRETS达成合作,双方将共同推动链上的实体资产融资。dForce将提供免信任、透明、高效的去中心化金融基础设施,UPRETS会协助合规实体资产数字化并上链流通。
目前,UPRETS正在协助MakerDAO完成首笔太阳能农场为底层资产的借贷融资。本次合作将为dForce生态引入实体资产,而不再仅局限于DeFi领域的资产。[2021/10/13 20:25:59]
Lendf.Me官方团队dForceNetwork在4月19日03:38分发文,也承认黑客主要是利用Lendf.Me和ERC777的兼容性发动攻击。
所以说,分别来看ERC777的代码和dForce的代码都是经过安全审计无漏洞,但当两者相结合的时候,便产生了系统性的安全风险。
都是去中心化的协议,这时候,很难说这究竟是谁的责任。
亲历者的反思
事发后,与交易所被盗币的维权现场不同,dForce社区整体比较冷静,大部分用户也会站在官方团队的立场去建议和宽慰。这或许是因为,dForce的用户,不少是类似于币乎的创始人咕噜、文艺复兴基金曹寅这样的DeFi参与者和建设者。
dForce发起提议计划永久性销毁USDx协议分解费用:11月1日,去中心化金融协议dForce官方发推称,社区已发起提议,计划永久性销毁从USDx分解中收取的DF费用,与此同时还建议实施USDx协议升级,升级后该协议可以自动销毁分解费用。官方公布的数据显示,USDx协议进行分解目前需要支付0.1%的DF。截至2020年10月30日,累计费用为37,678 DF。
注:USDx是由算法稳定币支持的合成稳定币,其成分和权重可通过链上治理进行调整。币支持的合成稳定币,其成分和权重可通过链上治理进行调整。1 USDx = 80%USDC + 10%PAX + 10%TUSD。任何人都可以随时使用该协议铸造或分解USDx。[2020/11/1 11:22:51]
大部分用户在理性的反思自己没有做好资产的配置和安全识别。咕噜称自己应该是受损最大的用户,并发表了一篇对参与DeFi风险管理的建议,主要是以下6点:
1.智能合约代码安全性引入的风险
首先,安全审计报告是规避智能合约风险的第一道关口,也是目前唯一能前置规避智能合约风险的措施。其次,时间是最好的检验。经过长时间有效实战检验的智能合约,风险显著降低。
2.智能合约AdminKey引入的运营风险
运营方是否主动披露AdminKey权限的存在,一个负责任的运营方应该有义务主动披露AdminKey权限;AdminKey的权限范围,可以冻结、转移、没收用户资产的AdminKey权限,需要格外当心;是否对AdminKey权限设置了延时生效机制。延时生效机制是防范AdminKey的侵入式权限对用户造成伤害的有效防御手段,同时也是反应运营方态度的关键看点;看持有AdminKey权限的运营方本身是否信誉良好.
dForce:调整USDx储备成分币的DIP003提案已通过,将于7月30日执行:dForce官方宣布,调整USDx储备成分币的改进方案提议DIP003已通过,将于7月30日执行。据悉,该提案建议调整如下:
1. 鉴于USDC不断增长的市值,提议将其比例从35%提升至80%;
2. 由于PAX的市值较小且暂无DeFi利息市场的支持,提议将其比例从35%调整至10%;
3. 综合TUSD的市值、二级市场流动性和有限的DeFi利息市场支持,提议将其比例从30%调整至10%。(Medium)[2020/7/27]
3.持有特定资产本身的风险
持有的资产本身具有价格波动的市场风险、资产被Token合约本身的AdminKey冻结/没收的风险,等等。
4.抵押借贷类DeFi本身的市场风险
在抵押协作中规定针对特定单一抵押品的抵押数量上限,上限的设定须与该抵押品的市场真实流动性匹配,尤其是要考虑泛滥的刷成交量这类因素;评估抵押协议中的平仓机制设计是否合理,平仓机制是否能有效利用市场中的流动性进行平仓;评估被纳入的抵押品本身的风险。
5.智能合约平台的风险
安全审计+长时间的有效实战检验
6.用户自身私钥管理的风险
学习私钥保管的相关知识,通过使用智能钱包规避私钥管理的风险。
dForce将于明晚21:00公布3号治理投票的最终结果:dForce官方宣布,将于北京时间明日21:00公布3号治理投票的最终结果。
注:此前消息, dForce发起调整USDx储备成分币的改进方案提议DIP003。调整如下:
1. 鉴于USDC不断增长的市值,提议将其比例从35%提升至80%;
2. 由于PAX的市值较小且暂无DeFi利息市场的支持,提议将其比例从35%调整至10%;
3. 综合TUSD的市值、二级市场流动性和有限的DeFi利息市场支持,提议将其比例从30%调整至10%。[2020/7/26]
橙皮书的创始人李阳同样也是用户,在得知被黑客攻击时,他用了“魂魄离开肉体的死亡之飘”来形容当时的感受,事后他反思到,“如果我们真的想突破币圈,获得更多普通用户的信任,在产品设计,风险提示,用户体验,品牌塑造上,还有太多太多要做。就现在的状态,即使一个用户真心想尝试使用defi的产品,艰难的跨过诸多入门关卡,也会被现有defi产品的主页给挡在门外。一个理财产品总得有风险提示和权责说明吧?”
当然,在反思之余,用户们并没有丧失对DeFi的信心,正如曹寅所说,“这次事件之后,整个DeFi社区对安全的重视和投入会上升一个数量级,用户的对DeFi的认知也会提高不少,这次事件就当作DeFi建设者们神农尝百草吧。"
欲速则不达,简单的才是耐用的
从去年年初开始,DeFi似乎进入了大爆炸的阶段,各类DeFi引用接踵而至。这样大跨步发展,注定会埋下隐雷。
“最近三个月来,我看到DeFi新应用和新资产正以至少每天两三个的速度涌现,而DeFi协议之间的可组合性,使得DeFi的复杂性更是呈现指数级别增长,协议互相之间的影响已经超越了单纯的乐高积木组合方式。”曹寅表示。
和曹寅持一样的观点,IOSGVentures在推特连发几问提出质疑:DeFi的复杂性是否超越了其成熟度?协议的组合带来机会,同时也面临兼容性风险。DeFi产品需要解决代码审计以及安全性问题,DeFi虽然相比于传统金融有更高的收益,但高收益往往对应的是高风险,DeFi还需要更多的风险提示。
同时不少开发团队也需要放缓协议的速度,确保产品在上线之前有合格的审计以及漏洞排查。
“市场能力固然重要,但研发能力也要匹配上自己的野心。”DeFiLabs创始人代世超呼吁,希望中国社区投入更多研发和专业资源在cryptofinance领域。目前defi领域颠覆性的创新产品都是国外先行研发。中国defi社区正在起步,但研发资源还比较薄弱。
但这里可能有一个悖论,既对于初创企业而言,审计费用,延长交付时间,都会增加成本,反之又极具风险。
对于DeFi之所以收益普遍比CeFi高出很多,其收益主要来源于DeFi的开销低,省去了传统行业的中间商。而当代码100%完全没有问题的情况下,风险降低市场的收益也会随着下降。
对于用户来讲,高收益和透明性最大的拥趸因素,在DeFi没有做好这两点的情况下,用户需要慎重选择参与,目前来看,时间仍然是最好的试金石。
当然,对于DeFi产品,在行业内也有着很多的抨击和怀疑。在这次事件发生之后,DeFi和CeFi也成为了热门讨论话题。
DeFi还是CeFi,不是选择题
追求金融平权的加密朋克们,一开始就将DeFi置于CeFi的对立面。DeFi的黑客事件,更使得有些人提出了“DeFi无用论”的观点,或者建议重新审视DeFi的内在价值。但单从安全角度而言,成立了上百年的CeFi也经历过很多安全事故,直到2016年也出现过黑客连续通过swift盗取厄瓜多尔、菲律宾、孟加拉一众银行的事件。
不管是DeFi还是CeFi,都有一个必经的试错和成长的打磨过程。和比特币被死亡200多次一样,经历伤痛是新生事物必经的阶段。就区块链能够带来的变革领域来看,区块链技术未来有着巨大的发展潜力。有人称DeFi属于早期产品,其实就区块链的成熟期来看,现在所有的区块链产品仅仅是起步阶段而已,只不过行业参与者总会高估行业的发展时期。
以结果为导向,技术的发展是为了提高生产效率。在去中心化和中心化的争论当中,我们更多的是应该考虑效能的最大化,而非达到目的的手段,不需要非黑即白,非彼即此。
比如政府和一些慈善企业推出的企业联盟链,即使看上去没有那么的去中心化,但也能做到高效的处理事务,让1+1大于2。
MakerDAO中国社区负责人潘超在文章中写道,去中心化和中心化代表着两种截然不同的力量和理念,就像跷跷板两端的?DeFi?和?CeFi,彼此水火不相容,但之间的流动性却使它们成为金融的环节。这些环节在金融活动中不但不互相抵触,而且彼此都同样是必要的,正是这种必要性才形成金融的平衡。
DeFi和CeFi并不是必选题,在技术层面可以考虑融合两者的优势,达到最终用户的需求。在用户选择层面,也没有必要太过在意D还是C,能够满足用户需求的产品,才是最好的产品。当然,在文末还要提一句,dForce作为亚洲的DeFi代表,甚至在社区中掀起了对中国人产品的口诛笔伐和冷言嘲讽。
正如曹寅所说,我们现在必须立刻意识到,DeFi的发展已经进入了危险区域,无论是否有竞争关系,其实都是在一艘飞船上。开发者们应该放下各种门户之见和利益立场,携手合作,设计打造出更安全的DeFi飞船,为飞船上的用户负责。
标签:DEFDEFITHEERNDEFLCTPhoenixDefiSwapThe Coop NetworkJuggernaut
文:人民网新媒体智库研究员张力、见习助理研究员郭雨璠 来源:人民网 编者注:原标题为《央行数字货币:支付新体验,治理新局面》4月14日晚,一张央行数字货币在农行账户内测的照片在网络流传开.
距离市值最大的加密货币比特币的区块奖励减半只有不到三周的时间,加密媒体Cointelegraph发文对加密矿工的态度以及减半后的价格走势进行了分析.
本文来源:中共中央党校官网,原文刊于《行政管理改革》2020年第4期,原文标题《区块链嵌入政府管理方式变革研究》,作者:刘炼箴杨东在将信息技术应用于政府管理的背景下.
“经常看到有人说交易太难赚钱了,那什么是容易赚钱的呢,绝大部分企业都活不过3年,连想打工当个“社畜”都要去大学读4年书,出来了一个月才几千块,关键还不一定能找到工作”.
前言 4月23日,经济学家、数字资产研究院学术与技术委员会主任朱嘉明出席了《医疗新基建:产业、金融、科技的深度重构》线上研讨会,并做了总结发言.
美国程序员RossUlbricht是比特币领域最知名的人物之一。乌布利希特也因其网上绰号“恐惧海盗罗伯茨”而闻名,他因为经营丝绸之路而被很多人知晓,丝绸之路是臭名昭著的暗网市场,推动了加密货币的.