DeFi 是一項需要全面自治的旅程,既危險,又遍佈着財富機會。

原文標題:《DeFi 之道丨 DeFi 黑客簡史:到處是風險,卻不乏財富機會
撰文:Hugh Karp,Nexus Mutual 創始人
編譯:Kyle

這是荒野西部時代——黑客和漏洞無時無刻不在。

對於參與者來說,瞭解以太坊的漏洞攻擊歷史很重要。從 The DAO 到 Parity 黑客事件,這些協議級別的事件影響了以太坊合約的安全性。隨着構建更多應用程序,攻擊事件的數量也隨之增加。

在 DeFi 中尤其如此。

在 DeFi 中,我們不必把金錢的信任交給別人,但是我們必須信任代碼。

我們必須相信,代碼的設計沒有缺陷——包括錯誤,經濟風險,預言機操縱,甚至中心化風險。但這很難。我們都是人,我們會犯錯誤。

這是我們的救贖恩典:代碼在外顯露的時間越長,鎖定的價值越多,代碼就越強大。我們稱其爲林迪效應。多一天沒有出現事故,我們就距離無信任金融的願景就更進一步。

休·卡普(Hugh Karp)是深入研究黑客和漏洞的人。 (但他自己竟然都被黑客黑了!)

以太坊的早期開發經歷啓發 Karp 建立了 Nexus Mutual,這是一種去中心化的保險替代方案。

本文作者便是 Hugh Karp。

DeFi 黑客攻擊簡史

DeFi 提供了機會之地。 儘管所有傳統金融人士都因其雙位數收益率將其稱爲「騙局」,但你可以找到並創造財富。 同時,那些處於前沿的人一直在賺錢。

儘管可以肯定有風險,但是市場仍然非常低效,而且在銀行提供 0%利率的時代中,值得將舊的偏見拋在一邊,至少要暫時停留一會兒,然後再進行深入研究。

在傳統金融中,大多數風險源於必須用您的錢來信任人們。

儘管許多人說 DeFi 消除了信任,但實際上是將信任從個人,機構和周圍的法律系統轉移到了代碼。 從理論上講,這意味着如果我們可以信任代碼按預期運行,那麼我們可以「刪除」信任。 不幸的是,很難以 100%的準確性進行編碼(即使經過審覈)。 大多數以太坊長期用戶在這場旅途中至少經歷過一次痛點。

爲了讓您對編碼的準確性有所瞭解,以下是每行代碼的錯誤數量:

  • 業界平均每千人 15-50
  • 已交付的軟件每 1000 箇中有 1-25 個
  • 美國航空航天局(NASA) 0.1 / 1000

編碼並不容易。 人類一直在犯錯誤。 問題在於,以太坊和去中心化金融存在大量風險。

這種風險要比信任別人更好嗎? 當然,但目前還爲時過早。

以下是一些歷史漏洞事件,可爲您提供背景信息…

早期時代

以太坊上最早出現編碼錯誤的重要案例之一是 The DAO。 The DAO 項目遭受攻擊,之後社區又在如何「修復」問題上存在分歧,以至於導致以太坊分叉併產生了以太坊經典(ETC)。

再往後的重大漏洞事件是以太坊 Parity 客戶端 bug。在該 bug 中,廣泛使用的多重簽名遭受了兩次單獨的漏洞事件,這些事件導致當時價值數百萬美元的 ETH 丟失,以及從哲學的角度來看進一步的後果。

這些 bug 加在一起是以太坊歷史上的第一批重大安全事件。 現在,我們將它們視作包含邏輯錯誤的代碼,它們根本無法按預期運行。

這兩個事件也是 Nexus Mutual 的首款產品 Smart Contract Cover 的主要靈感來源。

預言機時代

DeFi 黑客攻擊的第二次主要浪潮是由鏈上預言機操縱造成的,通常是由閃電貸導致。

這類攻擊執行起來非常複雜,但其模式類似,即依賴價格喂價的系統會臨時操縱喂價以扭曲協議的內部覈算。 然後將資金以優惠的利率進行存入,然後在將預言機重置爲正常值後立即以另一種貨幣或同一種貨幣提走。

儘管在大多數情況下還可能觸發了潛在的邏輯錯誤,但情況並非總是如此。 隨後進行了社區討論:這些事件屬於黑客攻擊,還是協議經濟邏輯被利用?

但是,總的來說,如果要使 DeFi 取得更大的成功,就需要避免這些類型的問題。

Harvest Finance:一名熟練的農民使用閃電貸從 FARM_USDT 和 FARM_USDC 池中獲取了 3380 萬美元

Value DeFi:損失 7,000,000。 這是由閃電貸引發的另一個嚴酷的教訓。

Cheese Bank:被黑客通過閃電貸 AMM 預言機攻擊拿走了 330 萬美元

Origin Protocol:通過閃電貸和假幣重新進入獲得 800 萬美元。

貨幣樂高時代

在過去的幾年中,越來越多的 DeFi 協議已經發布,並繼續相互依賴。 這是開放金融和可組合性的美妙之處——我們可以使用現有協議來構建新的應用程序。 缺點是,這自然會開始擴大攻擊面。

藉助 DeFi 的一項強大優勢,協議之間越來越多地相互構建,但這也成倍地增加了風險。

第三波攻擊潮趨向於集中在收益聚合器上,這些聚合器通常建立在許多其他 DeFi 協議之上。

這些協議往往比基本協議具有更高的風險,這僅僅是因爲它們的攻擊面更大。 作爲開發人員,可以很容易地就另一個協議的工作原理做出假設,但是有時在集成邊緣的細微差別可能會引起問題。

中心化風險

這段簡短而有趣的歷史集中在編碼風險上,假設 DeFi 完全去中心化,那麼編碼風險將涵蓋絕大部分風險。但事實並非如此。許多協議距離去中心化仍然有一段距離,因爲 DeFi 中的許多風險不僅來自智能合約錯誤,還來自中心化方面。

所有 DeFi 中最廣泛的風險可能與穩定幣故障有關。這可能包括 USDT 失去掛鉤匯率或 USDC 被政府沒收資金。 MakerDAO 的 DAI 掛鉤失敗也會導致重大問題,但更可能是由於經濟激勵失敗或風險管理監督造成的。

如果您參加 DeFi,那麼任何主要穩定幣的普遍失敗都將是災難性的。這可能是整個行業面臨的主要風險,尤其是在它仍處於起步階段時。

回到 DeFi 協議,與大多數較新的協議進行交互時,往往存在高度中心化的風險,因爲團隊通常有可能升級合約,或者在最壞的情況下「跑路」並竊取協議流動性。因此請注意這一點!在存入資金之前,請嘗試瞭解是否存在任何內置的時間延遲或其他保護措施。

某些主要的 DeFi 協議中仍然存在較低級別的中心化風險。 治理攻擊始終存在潛在的可能,惡意團體可以對系統進行升級。 我們還沒有看到很多這樣的案例,但這是完全有可能的。

代幣持有者越多樣化和廣泛,就越好。

經濟激勵風險

另一個需要警惕的主要類別是經濟激勵失敗。 幾種 DeFi 協議正在測試新的經濟遊戲,以取得一定的成果,這通常需要平衡激勵措施,以鼓勵正確的用戶行爲。

這些激勵性遊戲中許多都未經證明具有比其他風險更高的風險,我正在觀察算法穩定幣。 因此,用戶請注意該協議在多大程度上依賴經濟激勵措施才能正常工作。

DeFi 是一個機會

儘管這聽起來似乎很可怕,但 DeFi 對於願意承擔更高風險的人來說,是有豐厚回報的。 DeFi 中的風險與回報比非常龐大,但市場效率仍然非常低下。

好處是,低效率對應於那些願意進一步冒險的人的機會。

DeFi 的一大吸引力是能夠通過穩定幣或現有的加密貨幣持有者如 BTC 或 ETH 賺取收益。

在這種用例中,風險範圍較低,我稱之爲風險來自於基礎協議本身:Uniswap,Compound,Aave,MakerDAO 和 Balancer。

這些協議在去中心化程度方面比其他協議要高的多,因此風險往往更侷限於智能合約風險,經濟激勵失敗和潛在的治理攻擊。這些協議已經在主網上使用了相當長的一段時間,並擁有數十億美元的價值,這意味着它們已經在合理的程度上經過了實戰測試,表明它們可以相對免受大多數此類風險的威脅,而潛在的治理攻擊尚待充分測試。

如果您想從銀行帳戶中的幾乎 0%的收益轉移到更高的水平(例如 4-10%的範圍),這可能是最好的起點。

如果您想保護自己在 DeFi 中的錢,那麼 Nexus Mutual 還可提供針對智能合約風險的保障。 更好的是,從 4 月 26 日開始,Nexus Mutual 將擴展到一個名爲「Protocol Cover」的新產品,該產品覆蓋了智能合約風險,預言機操縱,經濟激勵失敗以及治理攻擊。 這是在 DeFi 中開始獲得收益的最安全方法之一。

有很多東西可以學習,在 DeFi 風險管理方面你可以寫一整本書。

關鍵在於從您可以承受的損失金額開始,並隨着時間的推移逐步學習。 避免風險過高,請確保在您想分配更大倉位時進行管理,以應對任何一種方案或風險。

DeFi 是一項需要全面自治的旅程,既危險,又可能非常高收益。 妥善管理您的風險將使您遊刃有餘。

來源鏈接:www.8btc.com