3月13日下午2时,Nova Club举办了第二期的“Nova会客间”线上对话栏目,本栏目由Nova研究院特别参与制作。Nova Club联合发起人、Chain Capital合伙人李翔敏作为主持人与MakerDao中国区负责人潘超、Chainlink 中国社区总监 Philip、慢雾科技合伙人 启富围绕《闪贷攻击下的Defi安全大讨论》进行深度探讨,在此基础上,还与Nova Club联合发起人、嘉楠区块链总经理邵建良以及共识实验室创始合伙人任铮就加密货币市场突发的暴跌现象展开了进一步的讨论。

人的照片上写着字

描述已自动生成

以下为Nova Club整理的全部对话内容:

李翔敏:闪贷术语首次于2018年由Marble Protocol提出,目前支持闪贷的平台包括dYdX、bZX和aave等,其中aave上线仅两个月不到,增长迅猛。请问Philip如何看待闪贷的兴起?什么因素催生,哪些方面用途?

Nova会客间第二期 | 比特币底部在哪?!&闪贷攻击下的Defi安全大作战

Philip:闪电贷就是在一笔链上交易中完成借款和还款,无需抵押。由于一笔链上交易可以包含多种操作,使得开发者可以在借款和还款间加入其它链上操作,使得这样的借贷多了很多想象空间,也变得具有意义。

我们知道 DeFi 有很多优势,但同时也存在结构性缺陷,DeFi 需要超额质押,这意味着资金利用率十分低下。而「闪电贷」允许借款人无需抵押资产即可实现借贷,从而极大提高资金利用率。

Aave 协议的闪电贷主要面向构建金融产品的开发者,直接服务于开发者群体,让更多的开发人员在无需资金的情况下,使用闪电贷创建再融资工具或套利工具,构建金融产品,从而降低开发门槛。但归根结底,这些金融产品的最终受益者是终端用户。

3月10日,稳定币USDT的发行方Tether正式宣布整合DeFi借贷协议Aave。Aave能够让客户利用闪电贷(flash loans)进行贷款,这是一种新型的贷款产品,可让用户在几乎没有风险的情况下短暂地获得无抵押贷款。Tether的首席技术官Paolo Ardoino在CryptoCompare举办数字资产峰会上透露,Tether希望成为去中心化金融(DeFi)领域的稳定币业务领导者。

李翔敏:请启富总回顾最近两次闪贷攻击事件

启富:在第一次攻击中,攻击者结合 Flash loan 和 Compound 中的贷款,对 bZx 实施攻击,主要分成以下几步:

1、从 dYdX 借了 10000 个 ETH

2、到 Compound 用 5500 ETH 借了 112个 BTC 准备抛售

3、到 bZx 中用 1300个 ETH 开 5 倍杠杆做空,换了 51.345576 个 BTC,而这里换取的 BTC 是通过 Kyber Network 来获取价格的,然而 Kyber Network 最终还是调用 Uniswap 来获取价格,5 倍杠杆开完后兑换回来的 51 个 BTC 实际上是拉高了 UniSwap 中 BTC/ETH 的价格,换取价格是 1/109,但是实际上大盘的价格不会拉到这么多

4、用从 Compound 借来的 112 个 BTC 来在 UniSwap 中卖掉,由于第三步中 bZx 中的 5 倍杠杆已经把价格拉高,所以这个时候出售 ETH 肯定是赚的,然后卖了 6871 个 ETH

5、归还 dYdX 中的借贷

第二次攻击,

1、从 bZx 的 Flash loan 借入 7500 个 ETH

2、通过 Kyber 分批买入 sUSD,拉高 Uniswap 上 sUSD/WETH 兑换价格

3、通过 Synthetix 买入大量 sUSD

4、将获得的 sUSD 转向 bZx 兑换 WETH

5、归还 bZx 的 Flash loan 借入的 7500 个 ETH

两次攻击流程稍有不同,但核心都在于攻击者控制了预言机价格,通过操纵预言机价格来获利。

李翔敏:闪贷攻击所反映出来的问题?

启富:两次闪贷攻击的主要原因还是因为 Uniswap 价格的剧烈变化最终导致资产的损失,这本该是正常的市场行为,但是通过恶意操纵市场,攻击者可通过多种方式压低或拉高价格,使项目方造成损失。

究其原因,首先是 bZX 智能合约代码存在一定的缺陷,在获取外部预言机价格时缺乏有效的风控措施;其次是 DeFi 深度不够、流动性差,导致价格极易出现大幅滑点;另外一个是 DeFi 应用上的兑换价格,可以考虑有效的结合主流中心化交易所的价格。

李翔敏:事件发生后,bZX拟与Chainlink合作。相比市面上各种预言机项目,请问Chainlink怎么看待自己的去中心化技术方案?目前有哪些其他合作伙伴?还请Philip回答这个问题

Philip:为了解决链上价格预言机的安全漏洞,bZx目前已接入了Chainlink去中心化预言机网络。他们将接入Chainlink针对DeFi产品推出的价格参考数据,其中许多都是他们需要的关键数据。

目前,Synthetix、Aave、Nexus Mutual和Loopring等DeFi项目都已接入Chainlink价格参考数据,而且未来会有更多项目加入进来,共同分享并贡献市场主流的通用价格数据。该模式将真正实现关键价格数据的去中心化维护。

Chainlink价格参考数据合约是由多个独立节点组成的去中心化预言机网络,这些节点都通过了安全评估,并具有抗女巫攻击的能力,节点操作者包括业内主流的区块链DevOps团队以及安全团队,其中许多团队都有丰富的POS节点运营经验,并在多个区块链网络中守护着价值几百万美元的资产。

这些去中心化的预言机网络提供各种主流的链上价格数据,其中包括BTC/ETH、DAI/ETH以及SNX/ETH等。每个预言机网络中都有多个独立的数据聚合商,每个独立节点分别从十个数据聚合商中选一个获取数据,所有节点获取的数据会被聚合成单一数据点,并发送至链上的参考合约。可以按固定时间更新价格(如每小时或每天更新一次);按价格偏差范围更新价格(如价格每上下浮动1%更新一次);也可两者结合。

由于预言机的数据传输模式和数据源的去中心化水平都得到了极大提升,而且准确性高于所有链上预言机模式,因此Chainlink的模式将有效提升智能合约的安全。网络中存在许多独立的预言机保障每个价格数据的安全性,因此不会在节点层面出现单点失效。这能在很大程度上优化网络运行时间,并避免预言机成为单一数据源或受到操纵或收买。同理,网络中众多独立节点从多个值得信赖的独立数据聚合商获取数据,这样做能确保Dapp用于触发智能合约的价格数据能够真实地反应市场价格。

bZx集成Chainlink后能更好地获取真实的价格数据,而且不再会轻易遭受外部攻击。除了少部分流动性过低的通证外,大多数通证在结合了市场上各大数据源后流动性都会大幅提升。因此要同时攻击所有数据源不仅耗时耗力,而且成本巨大。接入Chainlink后,bZx可以访问市场上所有价格数据,这将大幅提升抗攻击能力。

Nova会客间第二期 | 比特币底部在哪?!&闪贷攻击下的Defi安全大作战Nova会客间第二期 | 比特币底部在哪?!&闪贷攻击下的Defi安全大作战

李翔敏:Maker系统中也有预言机的设计,对于系统安全来说至关重要。其V2版的预言机方案将引入4个defi合作伙伴,类似于一种联盟预言机。请问MakerDAO怎么看待自己的这种技术方案?

潘超: Maker 第一个版本的预言机是来自于 14 个分布式个人喂价,保证匿名的安全性。新的预言机解决方案引入了公开的机构,机构可以用声誉作为担保,同时相比匿名喂价更能够抵御链下威胁。采用混合模型或许是最优的方案,既能保持匿名喂价的特性,也能受益于生态系统中利益相关者的良好声誉。

李翔敏: 2月21日,Maker投票通过“在新的治理合约中激活治理安全模块GSM”的提议,以保证在24h延迟时间里可被Maker基金会审查。但在此之前,MakerDAO曾表示放弃即时的治理控制来防止此类攻击是不值得的。这件事件后,他们又是怎么看待的?

潘超: MakerDAO 治理安全延迟模块的功能是让 MKR 的持有者,在认为存在恶意攻击的时候,延迟这一攻击的生效时间,并在该时间窗口内采取保护替换。此前治理安全模块的延迟窗口设定为 0 秒是由于多抵押 Dai 发布初期,对故障类问题可以及时修复而无需等待时间,这对于一个新运行的系统而言尤为重要。随着多抵押的稳定运行,系统故障风险越来越低,作为对系统故障与恶意攻击之间的权衡,Maker 在近日将激活治理安全模块延迟至 24 小时可以使如闪电贷类恶意攻击失效。这是当前保护系统安全的最优选择。

李翔敏: 请慢雾结合一些客户案例谈谈外部安全审计的重要性

启富:俗话说“术业有专攻”,第三方安全公司对智能合约安全、业务逻辑安全有深厚的沉淀及安全审计经验。结合我们过去审计的金融类 DApp 合约案例,安全审计能够帮助项目方的主要方向有:

1、已知漏洞检查:帮助项目方规避历史已披露的攻击手法、漏洞;

2、数据边界安全检查:研发人员在项目开发时可能会忽视极端场景下的 input output 数据;

3、业务逻辑安全优化:安全审计可以挖掘当用户不按正常流程操作时,系统可能会出现的异常情况;

4、风控体系及外部系统风险优化:提升平台风控系统的健壮性,提前发现外部系统风险。

李翔敏: MakerDao bZX事件后,Nexus Mutual 兑付了 3.1 万美元的用户索赔。请问嘉宾怎么看待DeFi保险,目前DeFi 安全事件层出不穷,但为何保险项目并未在圈内激起很大水花?请潘总和Philip分别回答一下这个问题

Nova会客间第二期 | 比特币底部在哪?!&闪贷攻击下的Defi安全大作战

潘超: 保险项目需要假设投保事件的独立性,以及事件发生后的裁定。作为一种金融系统,DeFi 的系统性关联度很高,并且商业逻辑发生在链上,加上总体规模尚小,因此不适合保险。目前的保险大多视为一种金融对冲衍生品。

Philip:全球保险行业价值数万亿美元,企业和个人管理自身风险的需求推动其不断发展。保险客户无须自行承担风险,而是通过保险产品将风险转嫁给保险公司。

保险费用将近占全球经济活动的10%。根据OECD数据显示,保费总额占全球GDP约9%。

我认为下一代数字化保险合约和风险转移产品将颠覆未来保险业。去中心化保险平台

Etherisc的创始人Renat Khasanshyn也对未来保险业与智能合约和加密货币经济的融合做过同样的预测。

预测一:到2022年会推出新型自动化以及半自动化保险产品。

参数保险模型将在很大程度上或甚至完全由数据直接驱动

理赔流程从中心化组织转移至去中心化协议

预测二:到2025年,至少会出现五个去中心化自治组织(DAO)模式的保险合作社或非托管式风险池(也称开放性金融或DeFi),参与者可以:

1、与他人分担风险

2、将风险转嫁到风险资本市场(即加密货币或再保险等传统资本市场,以及灾难债券等保险型证券)

预测三:到2030年,将使用数字化合约重新打造传统保险产品:

将传统保险合约升级至数字化保险合约,实现前所未有的隐私、透明度和确定性。

数字化保险合约实现灵活的去中心化,根除单点失效风险,大幅削减直接和间接的合规和监管成本,并为没有能力购买保险的人群降低保费。

李翔敏: 关于突发急落行情的大讨论,昨晚又一次见证历史时刻,BTC单日跌幅创历史新高,今天请来了嘉楠区块链总经理 邵建良,也是Nova club联合发起人,比特币跌这么惨,大家都挺慌的,想采访一下您的看法. 数字货币大幅跳水是什么原因?

邵建良: 这次大跌主要来源于全球的经济波动,疫情是个导火索,这个给予全球经济预期带来了很多的影响。从股票、原油、黄金等资产的变天,可以看出这次是一个恐慌性的金融波动,大家对于现金的渴望引发了对于资产变现的冲动。所以,流动性特别好的资产目前波动最大,比特币在流动性方面非常不错。

李翔敏: 比特币没有表现出应有的避险属性,你还有信仰吗?

邵建良: 信仰和避险是两回事情,比特币从诞生到现在,他就是一个不稳定的状态,也因为他还在上升期,他在成长期,所以有这样的波动和反复是很正常的,到目前为止,也没有被真正的主流市场所接纳,他还需要有一个过程去发展。信仰来自于对与技术和理念的认可,而不是对波动价格的认可。

李翔敏:怎么看未来走势?心里底价是多少?

邵建良: 未来走势长期还是向上的,短期会被世界经济的波动所影响,在资产的波动性来说比其他资产来的剧烈,原因也是因为他的流动性最强。等全球经济从这一次疫情的恐慌中走出来以后,比特币又将回到他的快车道上,现在要抓稳,坐好了,别掉下来。心里的低价,其实对我来说不是特别的重要,大家看比特币的价格能够下跌多少,关联的指标看美股的表现。美股代表的是全球经济的走向,美股没有变好,比特币等其他的大宗资产变现也不会好。

李翔敏: 共识实验室合伙人任铮老板同时也是Nova Club联合发起人也在现场,请分享目前二级市场交易情况?对于合约操作有何建议?

任铮: 抄底容易抄到腰上,我们做了一下统计,24小时内全网爆仓超过270亿人民币,人均爆仓21万人民币;USDT溢价6%;BTC季度合约均由正溢价变为负溢价;行情大跌之后,因为流动性紧缺,买卖盘较少,目前正处于宽幅震荡阶段,行情尚未平稳。这个时间段。不宜大幅抄底。可以阶段性建仓。但不宜操之过急。因为后面感觉漫长的盘整还在等着我们。

但就如邵老板所说,优质资产拿在手上在9000的时候都有买盘,何况4000。(我们)要用时间和信心换筹码,拒绝恐慌。

总结

李翔敏: 从长期看,接下去几个月是BTC最好的进场时间,在车上的不要被轻易甩下去。因为这次全球资产大跌是疫情刺破了从2009年开始累积十余年之久的全球货币泡沫。经过这次全球疫情,未来10年全球央行仍然会释放更多的货币流动性,而货币如果继续流向房地产和金融,资产泡沫会更疯狂;如果流向商品市场,则会引发持续的通货膨胀。所以从更长的时间来看,比特币的通缩机制,还是最好的抗通胀资产。

而短期看,为什么比特币没有体现避险属性,是由于去年开始的减半行情预期,行业加了太多杠杆。通过Defi和Cefi,矿工在满仓加杠杆,通过各大交易所的合约产品,散户也在加杠杆。

导致减半行情提前兑现,受这次疫情影响,加速了行业去杠杆的过程。去杠杆的过程是很痛苦的,但是过去之后,我相信比特币长期还是会继续繁荣,因为过去的10年,被死亡多次的比特币,它的生命力是最好的证明。

图片包含 照片, 对着, 监控, 黑色

描述已自动生成


特别声明
免责声明: 本文不代表CoinVoice立场,且不构成投资建议,请谨慎对待。

来源:NOVA