[時事觀察] 未來將來：浴火重生的DeFi

文/marxwang

(原標題：從 Uniswap / LendF.Me 盜領事件，看 Defi 的自我修煉之路）
僅僅在一週內，Defi 就發生兩起重大盜領事件。

首先 4/18日，Uniswap ImBTC-ETH 流動池發生盜領，造成超過30萬美金損失。緊接著隔日(4/19) 借貸平台 lendF.me 資金池也出現類似盜領情況，損失將近2470萬美金（詳見下方摘要）。

事件發生後，讓外界好奇的是，究竟項目遭遇什麼問題導致資金被盜？更重要的是，兩起事件所造成後續影響為何？未來需如何改進？

探究這些問題前，讀者可先了解『DeFi 運作架構』才好了解事情的全貌。

**圖一：DeFi 運作架構**
出處：Ivan Martinez Medium 連結

起因：DeFi 成也架構，敗也架構

由上圖可看出，DeFi 服務是架構在底層模組之上。在以太坊 DeFi 生態系中，從底層公鏈到流動層共可分為五層 ( Layer 0 – 4 )。就好像建造房子需要先打地基，然後才能往上加蓋。房子要蓋得穩，地基首先必須穩固。

分層架構的設計思維，在業界十分普遍，像是OSI模型（Open System Interconnection Reference Model）七層架構。這種架構的優點可以彈性而靈活的擴展。上層選用下層的服務作為基礎，提供更上一層的支撐。不過如此一來，風險也伴隨增加。當下層服務存在漏洞或者設計上缺陷時，上層服務因為依賴耦合關係，必定會受到影響。

本次Uniswap 事件就是一例！Uniswap 開發團隊早已發覺在代幣交換協議（Ｖ1版）中，已無法安全地交換ERC777規範發行代幣。

**Uniswap 對外宣告，在服務中交換 ERC-777 代幣並不安全**（出自 Uniswap Github)

事發之後，Tokenlon 補充，此次危機只存在「結合 ERC777與Uniswap/Lendf.me」交互運作時

還好，漫霧安全團隊表示，即便協議層存在重入攻擊的可能性，也能透過合約程式碼修補。

問題解決惹。 Problem Solved.
除非你要自找麻煩，不然建議你關掉視窗，不要繼續往下讀。
————（我是分隔線）———

當你跨越這條線，代表你準備好接受更多挑戰。又或者，以下概念也許你已經不陌生或是感到老生常談。沒關係，我們就把這些點子當作修煉檢查表，逐項打勾吧。

☐修煉1 :DeFi 基礎建設的強化

Defi 基礎建設範疇定義為：Layer 0 – 4（參考上圖一）。
具體強化重點可分成「資安」與「功能」改進兩部分。

由於 Defi 生態系目前仍以以太坊為主流，資安領域的重點在於保全智能合約程式與協議改進。程式語言已Solidity優先，但不限於此。由於沒想要寫萬言小說，所以以下重點摘錄，並只點出問題。（如果已經有解法，請不吝賜教）。

資安問題
根據知乎 Solidity 十大問題的整理（連結）：

Reentrancy – 重入
Access Control – 访问控制
Arithmetic Issues – 算术问题（整数上下溢出）
Unchecked Return Values For Low Level Calls – 未严格判断不安全函数调用返回值
Denial of Service – 拒绝服务
Bad Randomness – 可预测的随机处理
Front Running
Time manipulation
Short Address Attack – 短地址攻击
Unknown Unknowns – 其他未知

功能問題
一、交易效能改進：
1.交易擁塞：大量交易造成區塊打包塞車，並且會造成連鎖加成反應。
2.跨鏈交易處理：代幣資產交換不可避免，資產都註冊在單一公鏈很理想，但未必符合未來趨勢。
二、預言機改進：價格如同時間一樣神聖，現實中我們利用昂貴的原子鐘為大家定時，鏈上的預言機報價仍然存落差障礙，尤其是 chainlink之類的機制改進。
三、協議改進：如同Uniswap 協議已經推出V2版，支援更多幣種（如ERC777）與增強功能詳細可參考 https://uniswap.org/blog/uniswap-v2/

回歸本事件的思考。技術上而言，本事件的各別協議是安全的。但是Defi 普遍存在協議間/模組間的交互場景，將會製造更多風險不確定性。這兩事件也暴露出，與Defi 急速發展相比，風險意識提升速度仍嫌不足。服務提供者可以做出更多貢獻。

☐修煉2: 用戶必須心存風險意識

Defi ，顧名思義是分散式網路金融，屬於一種新興金融領域。即便Defi 借鏡傳統金融的發展，作法上仍有很大的差異。投資最怕的就是誤會，因此這邊還是要提醒Defi用戶，關注你的資產。再好的新方案，投資前務必分散風險，並且做好功課，再自主進行決策。

（以下省略）

☐修煉3: DeFi 體驗再進化

這不僅是Defi 問題，可以說是加密貨幣/區塊鏈服務或Dapp的共同問題：體驗。
根據科技導入生命週期（Technology Adoption Life Cycle) 曲線，如果Defi 算是科技上的一種全新體驗，可以吸引多少人加入使用？

嘗試問自己以下問題：
1.加密錢包為何要助記詞才能用？每一個錢包都要記一組助記詞跟密碼？這是幫助用戶還是在阻擾用戶（開放討論，基本教義派勿戰）
2. 我們要提供的體驗是挫折，還是享受？

成功的體驗改進結果只有一種：「回不去了」

未來將來：浴火重生的DeFi

很喜歡漫畫『聖鬥士星矢』中的不死鳥一輝（鳳凰星座フェニックスイッキ）角色。因為他總是能夠在歷經粉身碎骨之後，一次又一次的浴火重生。如果 Defi 真的有那麼一天擠身主流，與傳統金融成為人類社會的重要一部分，相信它也是歷經一次又一次的考驗，不斷改進，直至成為可以被大多數人接受的新事物！

我真心期盼那一天的到來。

備註

1. Uniswap事件整理

攻擊對象：Uniswap 中 imBTC 資金池（透過 Uniswap V1 ）
事件揭露：
1. Tokenlon 發文表示， ImBTC 在 Uniswap 的資金池已被提領一空 ( drained )。
2.安全人員Julien Bouteloup (@bneiluj) 於Twitter 協議漏洞（尚未被修補），由於協議允許合約呼叫改造過的 hook (鉤子函式），允許再次呼叫提領 transferFrom 函式，致使攻擊方取得更多的 ETH與ImBTC代幣。如此一來，等同資金池代幣隨交易不斷被提取，直至提領一空。

延伸閱讀
1. imBTC Uniswap Pool Drained for ~$300k in ETH – DeFi ERC777 Exploit
https://defirate.com/imbtc-uniswap-hack/

2.『慢雾：详解 Uniswap 的 ERC777 重入风险』https://www.chainnews.com/articles/533666270146.htm

2.LendF.Me 事件整理

攻擊對象：LendF.me 借貸平台資金池
事件揭露： Tokenlon 推文，表明LendF.me 出現類似 4/18重入攻擊。
總損失： 約2,470萬美金（共12幣種資產被盜）
攻擊手法：重入攻擊（Reentrancy），利用二次supply()函式內呼叫提領函式 withdrew()累積攻擊方可提用額度並且進行提款，導致資金池被提領一空。經估計損失是LendF.me 擁有資產的99%。

延伸閱讀
1.Tokenlon : About Recent Uniswap and Lendf.Me Reentrancy Attacks
https://medium.com/imtoken/about-recent-uniswap-and-lendf-me-reentrancy-attacks-7cebe834cb3
2.慢雾：解析 DeFi 平台 Lendf.Me 攻击细节及防御建议 – 链闻 ChainNews
https://www.chainnews.com/articles/427601377396.htm

總結這兩次攻擊，雖然損失金額相差甚多，相同之處在於其攻擊手法均透協議漏洞或程式碼變數置換，發起重入攻擊（Reentrancy Attack）。而不同之處則是Uniswap 案件中，雖然Uniswap v1協議本身就不支援ERC777代幣並且已經揭露在案（2018.12月），但這種攻擊只復現在 ImBTC 搭配Uniswap 交換協議情境下，各別使用並不會出現危機。

3. （4/21 事件更新）鋒迴路轉，Lendf.Me 被盜的代幣已經全數歸還。

Dapp Pocket專欄/DeFi 每週報告, 2020 四月 Week 3

作者: marx / Anderson、Atomic Loans、Binance、Binance Smart Chain、Brendan Foster、Celo Gold、CMC、Coinbase、Coinbase Custody、CoinMarketCap、COMP、Compound、Dapp Pocket、DCEP、Defi、Defi Score、DeFi 手冊、DEX、dForce、Dharma、Fulcrum、Hakka Finance、Lendf.Me、Libra、Maker、MakerDao、Pelith、Raizel、Rober Leshner、Thomas、uniswap、WFH、客家財經、楊民道、沛理科技、陳品

By Dapp Pocket/ 區塊誌授權轉載

本週摘要

上週末對 DeFi 界不是個假日，Uniswap 與 Lendf.Me 接連遭到重入攻擊，後者損失達史上最高的 2400 萬美元。另一方面，穩定幣則有重大發展，中國央行發起的 DCEP 距離正式上線似乎將進入倒數階段；兩大全球性穩定幣 Libra 與 Celo 各有進展，臉書的 Libra 推出白皮書 2.0 有望解決各國對其壟斷的疑慮，由多個知名 VC 支持的 Celo Gold 也敲定將於 5 月 7 日開放購買。而本週為大家節選的大佬觀點有：Ryan Adams 用戰爭來比喻監管式加密銀行與去中心協議的關係；Compound 創辦人 Robert Leshner 對於 Lendf.Me 違反其著作權發表評論；以及對於時下最夯的 WFH (Work From Home)，Dharma 與 Coinbase 的老闆有著完全相反的看法。

DeFi（Decentralized Finance）是指去中心化的金融服務。簡單來說同樣是金融服務，但以去中心化的模式運營，解決傳統金融產業交易速度慢、成本高、易遭駭客攻擊、且會被國家或組織濫用等問題。目前的 DeFi 生態已能提供借貸生息、做空資產、高倍率槓桿操作甚至獨有的閃電貸服務。

作者介紹

Raizel / 政大經濟系，被比特幣套牢於是轉而關注 DeFi
Thomas / 在波士頓從事晶片設計的 DeFi 愛好者
Anderson / Dapp Pocket 創辦人，DeFi 存款 > 銀行存款

(一) 本週大事記

Uniswap 和 lendf.Me 遭攻擊始末：願 DeFi 世界里沒有 ERC777

04 月 18 日上午 08:58 開始， DeFi 平台 Uniswap 被黑客利用重入漏洞實施了攻擊。大約 24 小時後，於 04 月 19 日（昨天）上午 08:45，又一知名 DeFi 平台 Lendf.Me 被以類似的手段實施了攻擊。

攻擊的原理是：攻擊者通過以太坊上少有 token 使用的 ERC777 的 transferFrom() 回調機制，利用在內部調用_callTokensToSend() 回調函數劫持交易 , 並在真正更新餘額的_move() 函數之前進行惡意攻擊。

在 Uniswap 的攻擊案例中，攻擊者利用此漏洞消耗盡 Uniswap ETH-imBTC 池約 1,278 個 ETH。而在 Lendf.Me 中，攻擊者則是利用它來任意增加內部 imBTC 抵押金額，並通過從其他可用的 Lendf.Me 交易中借入 10 多種資產（總價值約 2,524 萬美元）。

Source: https://www.chainnews.com/articles/461365073330.htm

dForce 創辦人：正與交易所和執法機構合作追查駭客，「我們不會被打倒」

dForce 創辦人楊民道在一篇公開的文章中回顧了此次攻擊事件，他表示在當日早上 9 點團隊發現異常後，立即臨時關停 Lendf.Me 和 USDx 合約，並關停網站並展開調查，目前正試圖與駭客溝通並全力追回被盜資金。民道同時公開了追回被盜資金及後續解決該事件的幾個措施，包括：1. 聯繫了頂級安全公司，對 Lendf.Me 進行更全面的安全性評估；2. 與合作夥伴一起制訂解決方案，對系統進行資本重組，「雖然我們遭遇了攻擊，但不會就此被打倒」；3. 正在與主流交易所、場外交易商和執法機構合作，調查該情況，扣留被盜資金並追查黑客。

Source: https://www.chainnews.com/news/636723865284.htm

Libra 白皮書 2.0：為了迎合合規機構要求，Libra 都做了哪些改變？

近期 Libra 發佈白皮書 2.0 版本，在最新的版本中可以看到Libra似乎已經向監管機構做出了讓步，一直堅持想要做一個籃子穩定幣的 Libra 終於鬆口，並明確表示將要迎合合規的需求。新版白皮書有以下四點重點更新：第一，在多幣種穩定幣的基礎上，還將提供單一幣種穩定幣；第二，通過一個強大的合規框架來增強 Libra 支付系統的安全；第三，放棄未來向無許可制度的過渡，同時保持其關鍵的經濟屬性；第四，在 Libra 儲備中設建一個強有力的保護措施。

Source: https://zombit.info/libra-white-paper-2/

Celo 透過 Coinlist 的公開拍賣將於 5 月 7 日舉行，Celo Gold 起拍價為 12 美元

金融應用開源平台 Celo 將於 5 月 7 日透過 Coinlist 公開出售其應用代幣 Celo Gold（cGLD），此次拍賣的起始價為 12 美元，底價為 1 美元。同時，cGLD 應用代幣的總供應量為 10 億枚，按照底價 1 美元的估值，Celo Gold 將估值約 10 億美元。Celo 在去年 8 月完成 3000 萬美元融資，主要投資人包含加密貨幣基金 a16z crypto 和 Polychain、Dragonfly Capital。除了 Celo Gold 以及與美元掛鉤的穩定幣 Celo Dollar，該團隊還開發了一錢包，用戶可通過電話號碼將 Celo Dollar 轉賬給沒有安裝錢包的用戶。

Source: https://www.chainnews.com/news/447749221004.htm

傳統美元將受威脅？中國四大國有銀行開放測試錢包 APP，數位人民幣上線倒數中

據中媒報導，中國農業銀行（Agricultural Bank of China, ABC）正在對央行數位貨幣 DCEP 進行錢包的內部測試。這是中國自 2019 年透露將推出官方版的虛擬貨幣以來，其 DCEP 距離上線正式進入倒數階段。中國數位貨幣（Digtal currency/Electronic payment, DCEP）已開始執行試點計畫。根據測試版 APP 的截圖顯示，DCEP 錢包將支援數位資產兌換、管理、交易記錄查詢等功能，同時也支持掃描支付、轉帳、收付款、手機晶片支付等基礎行動支付的功能。

Source: https://www.abmedia.io/chinese-state-owned-bank-releases-test-app-for-central-banks-digital-currency/

Atomic Loans 在比特幣網絡上發展 DeFi

Atomic Loans 是一家致力於在比特幣網絡打造 DeFi 系統的新創公司，於本月 14 日獲得由舊金山的 Initialized Capital 牽頭的種子輪融資，募集到了 245 萬美元。該公司支持者還有 ConsenSys、摩根溪、Bison Trails 等等。據其公告，Atomic Loans 的協議可以提供比特幣與以太坊借貸市場雙向互通的服務，即用戶可以抵押 BTC 在非監管平台上，並借出 Dai 與 USDC 等穩定幣。

Source: https://decrypt.co/25569/venture-capitalists-bet-big-on-defi-coming-to-bitcoin

Compound 正式啟用治理代幣 COMP，已獲 Coinbase Custody 支持

Coinbase Custody 是 Coinbase 底下提供貨幣託管的服務。開放金融貨幣市場協議 Compound 於上週四正式啟用其治理代幣 COMP，目前 Coinbase Custody 也已經啟動了對 Compound 治理的支持，包括開放託管 COMP 和各類 cTokens。去年 11 月，Compound 獲得了 2500 萬美元的 a 輪融資，據該公司首席執行官 Robert Leshner 今年 2 月所說，Compound 權力下放給社群的過程將是一個漸進的過程，隨著時間的推移，在逐漸擴大社群參與治理的能力。

Source: https://www.theblockbeats.com/news/15487

幣安推出「Binance Smart Chain」測試網，支持智能合約、與以太坊兼容

據稱加密貨幣交易所 Binance 官方公告，幣安即將啟動一個以太坊兼容的區塊鏈系統，其平台幣 Binance（BNB）作為原生代幣。根據幣安官網最新公告的白皮書，該系統名為 Binance Smart Chain，在引入智能合約功能下幾個最大的特色如：

與虛擬機（EVM）兼容，支持所有現有的以太坊工具以及如何的交易費。
原生的跨鏈通訊。
原生的鏈上治理，基於 21 個驗證節點的 DPoS（代理權益證明）。

Source: https://www.abmedia.io/binance-is-launching-a-new-ethereum-compatible-blockchain-binance-smart-chain/

(二) 數據指標

本週數據採計自 2020/4/14/~4/20，價格擷取時間以下午 2:00 為原則。TVL 指 Total Value Locked，即儲存在該平台中的資產總值，是觀察平台規模很好的指標。數據來源為：DeFi Pulse、CoinMarketCap、Maker 官網、Compound 官網、AAVE 官網等。

DeFi 借貸平台規模

DEX 規模

Dai APR

Coin & Token Value

(三) 大佬觀點

Ryan Sean Adams：幣安挑戰以太坊，這是加密銀行與貨幣協議的戰爭

針對日前幣安推出智能鏈，Mythos 創辦人 Ryan Sean Adams 在其推特上引述了他曾撰寫過的一篇文章。文內指出，幣安、BitMex、BlockFi 等加密銀行 (交易所) 與免許可的貨幣協議如 Maker、Uniswap、Compound 勢必會有一場戰爭，因為他們的終極目標是相同的。雙方都用加密貨幣作為流動性媒介，但差異在於加密銀行是閉鎖式經營－需要許可的服務；而貨幣協議則使用開源平台與開放式經營－免許可的服務，人人可用。

Ryan 在結論中提到，他認為這場戰爭最後可能會由加密銀行合併貨幣協議告終。他認為這兩方將會在競爭過程中有著更多合作般的互動，而兩者終將依同成長，並且最後的戰爭會導向開放式金融對決傳統金融－也就是加密貨幣對上法幣；Bank 對上 Bankless。

Robert Leshner：一個項目如果竊取別人的著作權，那麼他們大概沒能力或沒意願去考慮到安全性

借貸平台 Compound 創辦人 Robert Leshner 日前針對 Lendf.Me 遭到攻擊發表意見。他語帶戲謔的說道，一個沒有自己的專家來開發智能合約的專案，反而是去竊盜或仿製別人有著作權的 code，這樣的專案基本上不會在意安全性。「希望開發者和用戶能從這次 Lendf.Me 攻擊事件學到一課。」

Brendan Foster：我很懷疑遠距工作這件事

一種政策兩樣情，日前借貸平台 Dharma 創辦人 Brendan Foster 在一篇推文中表達了他對於遠距工作的質疑。他指出一個簡單的邏輯：如果從來沒人認為在戀愛上遠距離會和能見面一樣好，那麼憑什麼工作上大家卻都認為遠距沒有不好？

Brian Armstrong：居家隔離滿開心的

另一方面，Coinbase 創辦人 Brian Armstrong 轉推了一篇 Andrew Wilkinson 的推文，文內提到遠距工作有助於他與家人相處時間、週五的睡眠時間、還有環境吵雜問題也減少了。而 Brian 的態度從他的回應中清晰可見：Same。

(四) 專家來訪

DeFi 專家來訪第一集，我們很榮幸邀請到沛理科技 (Pelith) 創辦人 — 陳品，來跟我們聊聊他的最新專案 “客家財經” 和分享其對 DeFi 的看法。2015 年時陳品透過挖礦進入區塊鏈的世界，透過接案積累區塊鏈開發經驗，接著創辦 Pelith，自 2018 年 8 月成立至今已推出超過 12 個區塊鏈產品。

什麼是客家財經 Hakka Finance？

與時下大多 DeFi 公司或 DeFi protocol 瞄準指數成長的巨大專案不同，客家財經想另闢蹊徑，創造一個抽象的品牌，旗下將會囊括非常多 DeFi 小產品，各自提供不同的價值，在長尾市場裡聚沙成塔。因此，與 Compound、MakerDAO 的單一明確主題不同，客家財經將能靈活因應市場需求作嘗試，目標是成為 DeFi 界的投資銀行，並通過 DAO 實現品牌和所有子產品的鏈上治理。

客家財經目前已推出的產品有哪些？

「Fulcrum 緊急脫逃裝置」，在 bZx 被攻擊後的流動性危機裡，提供存戶單鍵贖回 iToken (以 iETH 為主) 的服務。
「DeFi 手冊」，想成為 DeFi 界的維基百科、操作手冊、教科書，提供 DeFi 開發人員快速查詢所有常用的 DeFi protocol、interface 和 usage。

即將推出的產品呢？

針對 MakerDAO 系統性風險的 DeFi 保險，以雨天基金的方式對沖 emergency shutdown 的黑天鵝事件，相比之下，現有的 DeFi 保險協議只對沖價格波動與穩定幣脫錨，而 Nexus Mutual 則是屬性較為廣泛的行業互助會，所有人共用一個保險池。
在以太幣價格上發行的結構型基金，推出債券、ETF、基金等中風險的商品，促進 DeFi 市場上的風險級別多元化。
低流動性版的投資協議，投資標的為低流動性的數位資產，給願意接受較長贖回期的投資人提供更高的利率，並增加 DeFi 生態系的穩定性。

快問快答

Q：簡短解釋重入攻擊、Lendf.Me 被駭的攻擊手法，並提供你的看法？

在 EVM 上，當一個合約呼叫另一個合約的函數時，等同將執行權限交棒。若接棒的合約帶有惡意，則可能回頭呼叫交棒合約的其他函數，在先前執行環境尚未收尾的情況下導致危險。Lendf.Me 這次被駭的攻擊手法是，在平台合約尚未來得及扣款的情形下，攻擊合約持續呼叫平台合約的提款函數，將資金池榨乾。儘管 Lendf.Me 使用 (照抄) 的是純粹針對 ERC-20 設計的 Compound V1 的合約，但卻接受屬於 ERC-777 代幣的 imBTC 作為抵押品，導致嚴重的安全漏洞。

Q：對「DeFi 金融危機有可能是 DeFi 市場發展過程中的常態」的說法，你怎麼看？

確實有可能，因為 DeFi 領域的發展仍有太多未知數，再加上 DeFi 市場本質上排拒人為介入，所以無法照搬傳統市場的熔斷機制。但是，這是 DeFi 領域的 feature 而不是 bug，因為 DeFi 的目標就是成為不受人為、人治因素影響的金融系統。儘管成本沈痛，對 DeFi 產業發展來說可能是無可避免的。開發方可以注意的是謹慎經營團隊文化。

Q：三句話總結以太坊 2.0？

以太坊 2.0 是一個非常有野心的擴容方案。它與其他做高 TPS 鏈的最大差異在於，其他的鏈做到的是常數級別的擴容，例如將 TPS 從 x 提升到 10000x；以太坊 2.0 想做的是複雜度級別的擴容，將 TPS 從 x 提升到 x 平方。長線來看，以太坊 2.0 才是終極的解法。

Q：在全球 DeFi 領域裡最欣賞的人是？

特別敬佩 iearn.finance 的創辦人 Andre Cronje，他以個人的力量快速迭代出很多很有用的 DeFi 協議和產品，可以說是以太坊可組合性的代言人。可惜因為與社群的紛爭，Cronje 已從 DeFi 開發工作裡退休。

Q：持有最多的 3 個 token？

首先是以太幣，原因自明。第二個是 KNC，也就是 Kyber Network 去中心化交易所的平台幣，先前黑客松獲獎時恰好在價格相對低點得到 KNC，巧逢 KNC 上架 Coinbase Pro 時的大漲。最後，我持有各式各樣 DeFi 協議推出的 token，例如 Compound DAI、Fulcrum DAI、Aave DAI 等，對我來說就像存款的存條一樣。

詳細訪談內容請收聽 Soundcloud！

(五) 我們觀點

DeFi 平台接連遭駭，作為用戶和開發者該怎麼辦？

上週末兩天之內連續發生了兩起駭客攻擊事件，雖然 Uniswap 攻擊事件相對損失金額少，但 dForce 底下的 Lendf.Me 平台遭竊史上最高的約 2500 萬美元。本週 DeFi 專家來訪邀請的陳品也提到，這次受到攻擊的智能合約其實都是受過專家審計的，卻還是遭到攻擊。加上 2 月的 bZx 閃電貸事件、3 月的 0 Dai 拍賣事件，DeFi 領域似乎充斥著駭客攻擊的風險。

相較於傳統金融，DeFi 還像是剛出生的小嬰兒，其技術和應用還在快速成長中，現階段肯定有較高多技術面的風險。然而，我們現今所使用的各種科技，哪個不是這樣學中錯、錯中學慢慢茁壯的呢？有句話說，風險從來不是來自投資標的，而是你對投資標的的不了解。作為用戶，我們應該做的是慎選能信賴的營運團隊，例如從 TVL 可以看出平台規模、參考 DeFi Score 上提供的許多指標、好的協議也會有清楚的白皮書或文件讓你了解其原理，總之多花時間去了解你所投資的項目並做好資產分散；作為開發者，我們是這領域的先驅，不能只是盲目使用別人的程式或把責任都丟給外部專家把關，我們認為必須花時間正確的設計協議和充足的測試、詳細了解使用的每塊 DeFi lego、不斷吸取別人的教訓並改進、並做好風險控管為最壞的情況做打算。DeFi 作為金融服務與新科技的結合，獲利時大賺、跌倒時大賠都不令人意外，我們認為應該保持的心態是－大膽的發想，戒慎恐懼的實作。

談談 DeFi 開源程式和著作權保護

在 Lendf.Me 攻擊事件後，Compound 創辦人 Robert Leshner 的發言令人感到好奇，使用開源 (Open Source) 程式竟然會違反著作權？開源通常是為了能讓其他開發者使用並創造更好的程式，或讓別人能貢獻其力協助改進程式，是一個共好的精神。當然，也不代表可以隨意讓人使用自己的智慧財產，一般來說會有使用條款（Licence）作為限制，像是 MIT, GPL 等。比較嚴格的條款會限制他人做商業使用時需符合一些條件，像是其衍生程式也必須開源，如沒有遵守當然是會違反其著作權。

Compound 的程式碼並沒有使用任何 License，而是完全保留其著作權只開放私人使用，商業使用則沒有明確說明，讓希望使用其程式碼的人無所適從。你可能會問，那為什麼要開源？因為這是 DeFi 協議取得公眾信任最好的方式，透過公開程式碼證明沒有在其中藏有後門，並讓大家共同確認其安全性，另外也讓其他開發者了解其運作方式方便做整合。我們可以理解 Compound 的作法，但還是希望更多人將其程式以通用的 License 開放出來，讓大家能基於其上開發更好的程式，藉此能更快速的趕上傳統金融產業。畢竟如果有所謂的 DeFi 護城河，那應該是程式其上搭建的服務和死忠用戶，這些才是無法輕易被複製的。反之作為一位開發者，尊重別人程式的著作權是再基本不過的事。

Lendf.Me