LP 不虧反而小賺一筆,記一次因禍得福的安全漏洞攻擊。

撰文:LeftOfCenter

剛剛啓動流動性挖礦兩天的固定利息加密借貸協議 88mph,因合約漏洞導致攻擊被緊急關停,幸運的是,項目方反應迅速將資金安全轉移,並在不到 24 小時內完成了漏洞修復,並宣佈 將於北京時間 11 月 21 日凌晨 4 點重啓第二輪流動性挖礦,新啓動的流動性挖礦同樣持續 14 天,將向參與用戶分發 88,000 MPH 代幣。

頗具戲劇性的是,由於團隊凍結了該名攻擊者放在 MPH 債券合約中價值 10 萬美元的資產,並決定將這些額外的收益分配給流動性提供者,因此這一次攻擊不但沒有導致用戶遭受損失,反而還讓首批參與者獲得了一筆意外的「獎勵」。目前申領界面已經上線,88mph 流動性提供者可在 此處 申領 ETH。

在這場與黑客的正面交鋒中,88mph 開發團隊通過及時的反應有效保護了用戶的財產安全,並在很短的時間裏完成了漏洞修復,反而爲項目贏得了口碑。不過這一安全事故又一次爲市場敲響了警鐘高利潤的 DeFi 遊戲同樣孕育高風險,即使是經驗豐富的開發者以及已通過審覈的合約,也不能百分之百保障安全。

88mph 攻擊事件始末

11 月 16 日,固定利息加密借貸協議 88mph 啓動流動性挖礦。

根據官方公告,此次流動性挖礦將持續 14 天,用戶可通過存款和購買浮息債券獲得其原生代幣 MPH,通過在 Uniswap 上爲 MPH/ETH 交易對提供流動性賺取更多原生代幣 MPH,88mph 將通過此次挖礦計劃總共分配 88,000 MPH,每日分配約爲 6285 MPH。

就在流動性挖礦啓動後兩日,一名攻擊者利用 MPHMinter 的合約漏洞試圖盜取其在 Uniswap 流動性資金池中的所有 ETH,結果被著名白帽 samczsun 發現並通知了項目方。

開發者隨即暫停了流動性挖礦,將 ETH/MPH 池中的資金轉移到治理多籤錢包中,以保持資金安全,並在不到 24 小時的時間裏永久修復了漏洞。

與此同時,由於開發團隊凍結了該名攻擊者放在 MPH 債券合約中價值 10 萬美元的資產,並決定將這些額外的收益分配給流動性提供者,此次向流動性提供者空投的 ETH 包括本金和攻擊者的部分 ETH。也就是說,這一次攻擊用戶財產不僅沒有損失,反而還小賺一筆。

截至目前爲主,88mph 已宣佈將於北京時間 11 月 21 日凌晨 4 點重啓第二輪流動性挖礦,新啓動的流動性挖礦同樣持續 14 天,將向參與用戶分發 88,000 MPH 代幣。

值得一提的是,88mph 的開發者 Zefram Lou 背景堅實,涉足包括 Betoken 在內的多個區塊鏈應用的核心開發,擅長以太坊 dApp 開發,熟練掌握 Python、Java,以及 Web 與 iOS 開發,熱衷於區塊鏈、機器學習、虛擬 / 增強 / 混合現實等,涉足的項目包括反大鯨 DAO 組織 WhalerDAO 、無損捐贈協議 PoolDAI 和 DAO 平臺 Fantastic12。

事實上,88mph 早前就已通過 Quantstamp 的安全審覈。根據 Quantstamp 出具的安全審覈報告,88mph 的存款和債券智能合約已通過 Quantstamp 審覈,其流動性挖礦和質押合約則是從 Synthetix 分叉而來。所有合約的所有權均已轉移至 Timelock 合約。(Timelock 合約地址:0x4027d912A19E3Cd540FB580aF6A9088eAC738566#code)

此次安全審覈中,Quantstamp 總共發現了 16 個問題,其中,高風險問題有 2 個(已解決),中風險有 1 個(已解決),低風險問題有 8 個(已解決),信息風險問題有 3 個(已解決)。

雖然遭遇安全漏洞攻擊,但這個名爲「88mph」的項目仍有可圈可點之處
可以看出,通過 Quantstamp 安全審覈的僅僅是存款和債券智能合約,被攻擊則是由 MPHMinter 合約漏洞導致。

這再一次提醒我們,在參與高回報的 DeFi 挖礦策略遊戲時,應把安全看作是頭等大事,即使團隊開發經驗豐富,合約已通過審覈,也不能保障百分之百的安全。

不過,刨去安全風險,這個名爲「88mph」的項目仍有可圈可點之處,以下簡要介紹 88mph 有何獨特之處、實現原理、獨特的經濟模型,以及刨去安全風險,這個項目的流動性挖礦是否值得參與?

88mph 到底是什麼?

88mph 是一個新的固定利息加密借貸協議,允許用戶存入多種加密資產賺取固定利率的利息,此時,存款人可獲得一個代表自己存入資金的 NFT 憑證,同時保持無限的流動性。這和大多數浮動利息的加密協議不同,目前支持的加密代幣有 aUSDC、cUSDC、cUNI、yUSD 和 ycrvSBTC。

也就是說,如果你以 10%的固定年化 APY 在 88mph 中存入 100 DAI,存儲期爲 1 年,1 年到期後,你可以獲得 110 DAI。

對於波動性如此大的加密資產來說,88mph 是如何實現總是提供固定利率收益呢?88mph 是否總是可爲存款人保證承兌固定利率利息?是否存在風險呢?

想要弄清楚這些問題,需要了解 88mph 的運行原理。

實現原理

實際上,當用戶存入加密資產(USDC/UNI/yCRV/crvSBTC)時,88mph 會將這些資金投入 Compound、Aave 和 yEarn 這樣的各種 DeFi 收益協議中賺取浮動收益,從而爲存儲用戶的固定利息提供資金來源。

你也許會問,這些 DeFi 收益協議的利息都是浮動的,要是產生的收益小於應付給存儲用戶的固定利息呢?

88mph 通過將所有存款聚合在一個資金池解決該問題,這意味着 88mph 會將所有存儲資金放入一個獨立池中,一旦存款期結束,用戶就可以從中提取存款。

將所有存款資金放入一個獨立池中有什麼好處呢?

第一個好處是平衡風險。由於池中有多種不同的協議代幣,當一種協議的浮動利率 APY 下跌時,有可能另一種協議的浮動利率 APY 在上漲,此時,前者下跌造成的債務就可由後者浮動利率 APY 上漲產生的收益來彌補。從而降低破產風險,提升 88mph 系統中各種加密資產利率的穩定性。

第二個好處是保持 88mph 的償付能力。一個池中各個存款的到期日有重疊的時間,也就是說,當一個更早到期的存款出現收益赤字時,可用另一個到期日更晚的存儲本金支付前者的收益差額部分,雖然這本身不能直接解決債務問題,但結合風險平衡和浮動利率的波動性,有助於保持 88mph 的償付能力。

如果有更壞的情況發生呢?即如果浮動利率 APY 降至很低並長時間保持該值的話,那麼一開始基於較高浮動利率生成的固定利率值就會產生赤字,有可能無法承兌存款人到期日的利息收益,時間足夠長的話,甚至可能導致整個池範圍的破產事件。

爲此,88mph 還提供了一種機制「浮動利率債券」。購買浮動利率債券後,即可填補池中一筆或多筆存款產生的債務,作爲交換,債券買家則獲得這些存款產生的收益。

比如,如果 Kevin 一年期限的存款利息生成不足,給 88mph 帶來了 5 個代幣的利息債務赤字(5%的固定利率),此時 Chad 購買了該債務的浮動利率債券,並填補了這筆債務。

此時,Chad 可獲得的風險收益是這 105 個代幣產生的浮動利率收益。由於 88mph 的固定利率收益等於初始浮動利率的 75%,所以,只要在 Kevin 存款有效期內,平均浮動利率下降幅度不大於 25%,Chad 總是會獲利,而如果浮動利率上升,其利潤就會增長。Chad 本質上是在對浮動利率做多

當然,爲了保障系統安全,激勵「浮動利率債券」購買,88mph 同樣採用了 MPH 代幣獎勵計劃,即購買「浮動利率債券」賺取 MPH 代幣。

MPH 代幣有何用處?

88mph 核心業務是提供固定利息的加密借貸服務,允許用戶借出多種加密資產獲得穩定的利息收益,該收益以存入時刻該代幣的浮動利息爲基準計算得出(爲其 75%),滿足了想尋求穩定年化收益 DeFi 用戶的需求,另一方面,「浮動利率債券」則提供了某種程度的保險機制,爲系統提供更加穩定的安全保障,實際上,這相對於提供了風險分層,讓風險偏好較高的用戶有機會獲取更高收益,同時承擔一定風險。

以上兩個功能是 88mph 產生長期價值的關鍵點,也就是說,只有其核心業務用得越多,產生的價值才越大,從而產生基於整個生態系統的正循環。

爲了激勵更多人使用這些核心業務,88mph 啓動了此次流動性挖礦計劃(初始代幣分發),只要使用平臺兩個核心業務(以固定利息進行定期存款和購買浮動利率債券),就可以獲得 MPH 代幣獎勵,定期存款基於存款產生的利息收益佔比進行 MPH 代幣獎勵,而浮動利率債券購買則基於購買金額佔比進行獎勵。

雖然遭遇安全漏洞攻擊,但這個名爲「88mph」的項目仍有可圈可點之處
88mph 目前支持的代幣有 aUSDC、cUSDC、cUNI、yUSD 和 ycrvSBTC,固定存儲期限從最短 7 天到最長 1 年共有 7 種選項。

不過,和大部分挖礦項目不同的是,MPH 代幣的持有並不是永久性的,而僅在業務有效期內有效,一旦到期,存款人可拿回本金和固定利息收益,此時權益憑證 NFT 被銷燬,同時需將 90% 的 MPH 獎勵代幣歸還給治理金庫。

也就是說,在存款業務到期之前,你可以使用這些獎勵的 MPH 代幣做各種各樣的操作賺取收益。比如,可參與流動性挖礦活動獲得更多代幣獎勵。根據該計劃,流動性提供者可在 Uniswap 上爲 MPH/ETH 交易對提供流動性,同時將該交易對的 LP 代幣質押在 88mph 上可賺取 MPH 代幣獎勵,在挖礦有效期的 14 天內,88mph 總共分發 88,000 MPH,每日分配約爲 6285 MPH。

在持續 14 天的流動性挖礦有效期內,MPH 代幣持有人可通過參與提供流動性賺取更多 MPH 代幣,或者在該平臺質押這些 MPH 代幣賺取更多收益,收益來源包括其他相關協議(比如 Compound 和 Curve)的耕種收益,以及 88mph 協議上產生的費用(每一次取款 88mph 會從利息中扣除 10%作爲協議費支出),該獎勵以 DAI 的形式發放。本質上,MPH 代幣是一種有有效期的生產型代幣,只有參與平臺的核心功能操作纔可以借用,在這段期間,你可以使用它進行利益最大化操作。

雖然遭遇安全漏洞攻擊,但這個名爲「88mph」的項目仍有可圈可點之處

此外,88mph 採用了 NFT 作爲用戶存款和購買憑證,每一次存款和購買債券行爲都會產生一個 NFT 憑證,持有者擁有取回本金和獲得利息的權限。 以太坊的可組合性賦予了該 NFT 無限的可能性 ,比如可將該 NFT 作爲抵押品在 RocketNFT 等貸款平臺進行貸款,並在存款到期後償還貸款。

延伸閱讀:全景式解讀下一個加密投資熱潮 NFT

可以預見,一輪流動性挖礦結束後,基本上挖礦所得的大多數 MPH 代幣會流入治理基金,此時,浮息債券購買不再有 MPH 代幣獎勵,而只限於存款功能獎勵。接着會重啓下一輪爲期 14 天的流動性挖礦。

團隊、治理和產品路線圖

88mph 屬於 Aave 第二輪生態資助計劃 中的一個項目,並已通過 Quantstamp 安全審覈。

作爲 Aave 生態資助計劃中的一支,88mph 支持的協議首當其衝是 Aave,不過暫只支持其中一種代幣資產 aUSDC,其中支持的代幣資產包括 cUSDC、cUNI、yUSD 和 ycrvSBTC。團隊表示將集成更多 Aave V2 和 Curve 中的更多資產

此外,88mph 計劃啓動更加智能的固定利率 APY 策略。此外,88mph 計劃開發更多 NFT 的應用潛力,以將存款 NFT 作爲一種資產憑證集成到更多的 Opensea 或 Rarible 上出售,在 Nftfi 抵押借入更多資產等。

治理

和大部分挖礦項目相同,88mph 鼓勵用戶進行核心操作後可獲得治理代幣獎勵,不同的是,88mph 的代幣獎勵有一個時間期限,僅在業務期內有效,但到期後,你得歸還 90% 的代幣給治理基金庫(Governance treasury,地址 0x56f34826Cc63151f74FA8f701E4f73C5EAae52AD)。88mph 計劃集成 Snapshot 激活社區治理,將協議參數集成至治理模塊,MPH 持有人將有投票權決定如何處置這些資金。

也就是說,每次用戶操作後,真正獲得的代幣只有 10%,如果想獲得 100% 的代幣,就得另外花錢買回 90%,或者花更大(10 倍)的力度進行挖礦,拿回代幣,擁有更大比重的治理權。這種設計機制導致的結果是,用戶要麼進行更多的操作行爲,要麼花費更多資金買入代幣,才能獲得掌握更大比重治理權限的投票代幣。

在 88mph 生態系統中,MPH 代幣被賦予治理功能,持有 MPH 代幣可各種社區提案投票,包括但不限於協議參數更改、MPH 代幣的歸還比例(目前 90%),新的激勵機制、資本效率策略和增長等。此外,MPH 代幣還被賦予各種收益生息功能,無論是質押生息(獎勵 DAI)還是提供流動性生息(獎勵 MPH 代幣),都可以獲得更多收益。

可以說,MPH 代幣不僅是一種治理權益代幣,更是一種生產型代幣,相當於一種生產工具,只不過這種生產工具的使用是有時間期限的。對於持有人來說,「租用」意味着時間緊迫,會促進他們更加極盡所能進行收益生產,獲得最大化收益,另一方面,如果自己的生產收益在一段時間內持續有機增長,那麼,這種租期機制的收益耕種也有利於促進現有用戶延長業務,一定程度可以促進平臺核心業務的有機增長。

開發基金

每發生一次存款操作或者債券購買行爲,就會鑄造出 MPH,與此同時,系統會根據新產生的 MPH 代幣鑄造出額外 10% 的 MPH 代幣,發送至開發者基金,用於支付該協議未來開發和維護費用。

去中心化金融仍處於早期階段,高收益的另一面是需承擔高風險,高風險不僅意味着頻發的攻擊事件有可能讓你血本無歸,而且,作爲一款去中心化的保本理財服務,還存在利率波動風險,劣後(買浮動收益債券)資產規模是否能滿足系統需求還有待時間驗證。

來源鏈接:twitter.com