By Dapp Pocket/ 區塊誌授權轉載
本週摘要
上週末對 DeFi 界不是個假日,Uniswap 與 Lendf.Me 接連遭到重入攻擊,後者損失達史上最高的 2400 萬美元。另一方面,穩定幣則有重大發展,中國央行發起的 DCEP 距離正式上線似乎將進入倒數階段;兩大全球性穩定幣 Libra 與 Celo 各有進展,臉書的 Libra 推出白皮書 2.0 有望解決各國對其壟斷的疑慮,由多個知名 VC 支持的 Celo Gold 也敲定將於 5 月 7 日開放購買。而本週為大家節選的大佬觀點有:Ryan Adams 用戰爭來比喻監管式加密銀行與去中心協議的關係;Compound 創辦人 Robert Leshner 對於 Lendf.Me 違反其著作權發表評論;以及對於時下最夯的 WFH (Work From Home),Dharma 與 Coinbase 的老闆有著完全相反的看法。
DeFi(Decentralized Finance)是指去中心化的金融服務。簡單來說同樣是金融服務,但以去中心化的模式運營,解決傳統金融產業交易速度慢、成本高、易遭駭客攻擊、且會被國家或組織濫用等問題。目前的 DeFi 生態已能提供借貸生息、做空資產、高倍率槓桿操作甚至獨有的閃電貸服務。
作者介紹
Raizel / 政大經濟系,被比特幣套牢於是轉而關注 DeFi Thomas / 在波士頓從事晶片設計的 DeFi 愛好者 Anderson / Dapp Pocket 創辦人,DeFi 存款 > 銀行存款 (一) 本週大事記
Uniswap 和 lendf.Me 遭攻擊始末:願 DeFi 世界里沒有 ERC777
04 月 18 日上午 08:58 開始, DeFi 平台 Uniswap 被黑客利用重入漏洞實施了攻擊。大約 24 小時後,於 04 月 19 日(昨天)上午 08:45,又一知名 DeFi 平台 Lendf.Me 被以類似的手段實施了攻擊。
攻擊的原理是:攻擊者通過以太坊上少有 token 使用的 ERC777 的 transferFrom() 回調機制,利用在內部調用_callTokensToSend() 回調函數劫持交易 , 並在真正更新餘額的_move() 函數之前進行惡意攻擊。
在 Uniswap 的攻擊案例中,攻擊者利用此漏洞消耗盡 Uniswap ETH-imBTC 池約 1,278 個 ETH。而在 Lendf.Me 中,攻擊者則是利用它來任意增加內部 imBTC 抵押金額,並通過從其他可用的 Lendf.Me 交易中借入 10 多種資產(總價值約 2,524 萬美元)。
Source: https://www.chainnews.com/articles/461365073330.htm
dForce 創辦人:正與交易所和執法機構合作追查駭客,「我們不會被打倒」
dForce 創辦人楊民道在一篇公開的文章中回顧了此次攻擊事件,他表示在當日早上 9 點團隊發現異常後,立即臨時關停 Lendf.Me 和 USDx 合約,並關停網站並展開調查,目前正試圖與駭客溝通並全力追回被盜資金。民道同時公開了追回被盜資金及後續解決該事件的幾個措施,包括:1. 聯繫了頂級安全公司,對 Lendf.Me 進行更全面的安全性評估;2. 與合作夥伴一起制訂解決方案,對系統進行資本重組,「雖然我們遭遇了攻擊,但不會就此被打倒」;3. 正在與主流交易所、場外交易商和執法機構合作,調查該情況,扣留被盜資金並追查黑客。
Source: https://www.chainnews.com/news/636723865284.htm
Libra 白皮書 2.0:為了迎合合規機構要求,Libra 都做了哪些改變?
近期 Libra 發佈白皮書 2.0 版本,在最新的版本中可以看到Libra似乎已經向監管機構做出了讓步,一直堅持想要做一個籃子穩定幣的 Libra 終於鬆口,並明確表示將要迎合合規的需求。新版白皮書有以下四點重點更新:第一,在多幣種穩定幣的基礎上,還將提供單一幣種穩定幣;第二,通過一個強大的合規框架來增強 Libra 支付系統的安全;第三,放棄未來向無許可制度的過渡,同時保持其關鍵的經濟屬性;第四,在 Libra 儲備中設建一個強有力的保護措施。
Source: https://zombit.info/libra-white-paper-2/
Celo 透過 Coinlist 的公開拍賣將於 5 月 7 日舉行,Celo Gold 起拍價為 12 美元
金融應用開源平台 Celo 將於 5 月 7 日透過 Coinlist 公開出售其應用代幣 Celo Gold(cGLD),此次拍賣的起始價為 12 美元,底價為 1 美元。同時,cGLD 應用代幣的總供應量為 10 億枚,按照底價 1 美元的估值,Celo Gold 將估值約 10 億美元。Celo 在去年 8 月完成 3000 萬美元融資,主要投資人包含加密貨幣基金 a16z crypto 和 Polychain、Dragonfly Capital。除了 Celo Gold 以及與美元掛鉤的穩定幣 Celo Dollar,該團隊還開發了一錢包,用戶可通過電話號碼將 Celo Dollar 轉賬給沒有安裝錢包的用戶。
Source: https://www.chainnews.com/news/447749221004.htm
傳統美元將受威脅?中國四大國有銀行開放測試錢包 APP,數位人民幣上線倒數中
據中媒報導,中國農業銀行(Agricultural Bank of China, ABC)正在對央行數位貨幣 DCEP 進行錢包的內部測試。這是中國自 2019 年透露將推出官方版的虛擬貨幣以來,其 DCEP 距離上線正式進入倒數階段。中國數位貨幣(Digtal currency/Electronic payment, DCEP)已開始執行試點計畫。根據測試版 APP 的截圖顯示,DCEP 錢包將支援數位資產兌換、管理、交易記錄查詢等功能,同時也支持掃描支付、轉帳、收付款、手機晶片支付等基礎行動支付的功能。
Source: https://www.abmedia.io/chinese-state-owned-bank-releases-test-app-for-central-banks-digital-currency/
Atomic Loans 在比特幣網絡上發展 DeFi
Atomic Loans 是一家致力於在比特幣網絡打造 DeFi 系統的新創公司,於本月 14 日獲得由舊金山的 Initialized Capital 牽頭的種子輪融資,募集到了 245 萬美元。該公司支持者還有 ConsenSys、摩根溪、Bison Trails 等等。據其公告,Atomic Loans 的協議可以提供比特幣與以太坊借貸市場雙向互通的服務,即用戶可以抵押 BTC 在非監管平台上,並借出 Dai 與 USDC 等穩定幣。
Source: https://decrypt.co/25569/venture-capitalists-bet-big-on-defi-coming-to-bitcoin
Compound 正式啟用治理代幣 COMP,已獲 Coinbase Custody 支持
Coinbase Custody 是 Coinbase 底下提供貨幣託管的服務。開放金融貨幣市場協議 Compound 於上週四正式啟用其治理代幣 COMP,目前 Coinbase Custody 也已經啟動了對 Compound 治理的支持,包括開放託管 COMP 和各類 cTokens。去年 11 月,Compound 獲得了 2500 萬美元的 a 輪融資,據該公司首席執行官 Robert Leshner 今年 2 月所說,Compound 權力下放給社群的過程將是一個漸進的過程,隨著時間的推移,在逐漸擴大社群參與治理的能力。
Source: https://www.theblockbeats.com/news/15487
幣安推出「Binance Smart Chain」測試網,支持智能合約、與以太坊兼容
據稱加密貨幣交易所 Binance 官方公告,幣安即將啟動一個以太坊兼容的區塊鏈系統,其平台幣 Binance(BNB)作為原生代幣。根據幣安官網最新公告的白皮書,該系統名為 Binance Smart Chain,在引入智能合約功能下幾個最大的特色如:
與虛擬機(EVM)兼容,支持所有現有的以太坊工具以及如何的交易費。 原生的跨鏈通訊。 原生的鏈上治理,基於 21 個驗證節點的 DPoS(代理權益證明)。 Source: https://www.abmedia.io/binance-is-launching-a-new-ethereum-compatible-blockchain-binance-smart-chain/
(二) 數據指標
本週數據採計自 2020/4/14/~4/20,價格擷取時間以下午 2:00 為原則。TVL 指 Total Value Locked,即儲存在該平台中的資產總值,是觀察平台規模很好的指標。數據來源為:DeFi Pulse、CoinMarketCap、Maker 官網、Compound 官網、AAVE 官網等。
DeFi 借貸平台規模
DEX 規模
Dai APR
Coin & Token Value
(三) 大佬觀點
Ryan Sean Adams:幣安挑戰以太坊,這是加密銀行與貨幣協議的戰爭
針對日前幣安推出智能鏈,Mythos 創辦人 Ryan Sean Adams 在其推特上引述了他曾撰寫過的一篇文章。文內指出,幣安、BitMex、BlockFi 等加密銀行 (交易所) 與免許可的貨幣協議如 Maker、Uniswap、Compound 勢必會有一場戰爭,因為他們的終極目標是相同的。雙方都用加密貨幣作為流動性媒介,但差異在於加密銀行是閉鎖式經營-需要許可的服務;而貨幣協議則使用開源平台與開放式經營-免許可的服務,人人可用。
Ryan 在結論中提到,他認為這場戰爭最後可能會由加密銀行合併貨幣協議告終。他認為這兩方將會在競爭過程中有著更多合作般的互動,而兩者終將依同成長,並且最後的戰爭會導向開放式金融對決傳統金融-也就是加密貨幣對上法幣;Bank 對上 Bankless。
Robert Leshner:一個項目如果竊取別人的著作權,那麼他們大概沒能力或沒意願去考慮到安全性
借貸平台 Compound 創辦人 Robert Leshner 日前針對 Lendf.Me 遭到攻擊發表意見。他語帶戲謔的說道,一個沒有自己的專家來開發智能合約的專案,反而是去竊盜或仿製別人有著作權的 code,這樣的專案基本上不會在意安全性。「希望開發者和用戶能從這次 Lendf.Me 攻擊事件學到一課。」
Brendan Foster:我很懷疑遠距工作這件事
一種政策兩樣情,日前借貸平台 Dharma 創辦人 Brendan Foster 在一篇推文中表達了他對於遠距工作的質疑。他指出一個簡單的邏輯:如果從來沒人認為在戀愛上遠距離會和能見面一樣好,那麼憑什麼工作上大家卻都認為遠距沒有不好?
Brian Armstrong:居家隔離滿開心的
另一方面,Coinbase 創辦人 Brian Armstrong 轉推了一篇 Andrew Wilkinson 的推文,文內提到遠距工作有助於他與家人相處時間、週五的睡眠時間、還有環境吵雜問題也減少了。而 Brian 的態度從他的回應中清晰可見:Same。
(四) 專家來訪
DeFi 專家來訪第一集,我們很榮幸邀請到沛理科技 (Pelith) 創辦人 — 陳品 ,來跟我們聊聊他的最新專案 “客家財經” 和分享其對 DeFi 的看法。2015 年時陳品透過挖礦進入區塊鏈的世界,透過接案積累區塊鏈開發經驗,接著創辦 Pelith,自 2018 年 8 月成立至今已推出超過 12 個區塊鏈產品。
什麼是客家財經 Hakka Finance?
與時下大多 DeFi 公司或 DeFi protocol 瞄準指數成長的巨大專案不同,客家財經想另闢蹊徑,創造一個抽象的品牌,旗下將會囊括非常多 DeFi 小產品,各自提供不同的價值,在長尾市場裡聚沙成塔。因此,與 Compound、MakerDAO 的單一明確主題不同,客家財經將能靈活因應市場需求作嘗試,目標是成為 DeFi 界的投資銀行,並通過 DAO 實現品牌和所有子產品的鏈上治理。
客家財經目前已推出的產品有哪些?
「Fulcrum 緊急脫逃裝置」,在 bZx 被攻擊後的流動性危機裡,提供存戶單鍵贖回 iToken (以 iETH 為主) 的服務。 「DeFi 手冊」,想成為 DeFi 界的維基百科、操作手冊、教科書,提供 DeFi 開發人員快速查詢所有常用的 DeFi protocol、interface 和 usage。 即將推出的產品呢?
針對 MakerDAO 系統性風險的 DeFi 保險,以雨天基金的方式對沖 emergency shutdown 的黑天鵝事件,相比之下,現有的 DeFi 保險協議只對沖價格波動與穩定幣脫錨,而 Nexus Mutual 則是屬性較為廣泛的行業互助會,所有人共用一個保險池。 在以太幣價格上發行的結構型基金,推出債券、ETF、基金等中風險的商品,促進 DeFi 市場上的風險級別多元化。 低流動性版的投資協議,投資標的為低流動性的數位資產,給願意接受較長贖回期的投資人提供更高的利率,並增加 DeFi 生態系的穩定性。 快問快答
Q:簡短解釋重入攻擊、Lendf.Me 被駭的攻擊手法,並提供你的看法?
在 EVM 上,當一個合約呼叫另一個合約的函數時,等同將執行權限交棒。若接棒的合約帶有惡意,則可能回頭呼叫交棒合約的其他函數,在先前執行環境尚未收尾的情況下導致危險。Lendf.Me 這次被駭的攻擊手法是,在平台合約尚未來得及扣款的情形下,攻擊合約持續呼叫平台合約的提款函數,將資金池榨乾。儘管 Lendf.Me 使用 (照抄) 的是純粹針對 ERC-20 設計的 Compound V1 的合約,但卻接受屬於 ERC-777 代幣的 imBTC 作為抵押品,導致嚴重的安全漏洞。
Q:對「DeFi 金融危機有可能是 DeFi 市場發展過程中的常態」的說法,你怎麼看?
確實有可能,因為 DeFi 領域的發展仍有太多未知數,再加上 DeFi 市場本質上排拒人為介入,所以無法照搬傳統市場的熔斷機制。但是,這是 DeFi 領域的 feature 而不是 bug,因為 DeFi 的目標就是成為不受人為、人治因素影響的金融系統。儘管成本沈痛,對 DeFi 產業發展來說可能是無可避免的。開發方可以注意的是謹慎經營團隊文化。
Q:三句話總結以太坊 2.0?
以太坊 2.0 是一個非常有野心的擴容方案。它與其他做高 TPS 鏈的最大差異在於,其他的鏈做到的是常數級別的擴容,例如將 TPS 從 x 提升到 10000x;以太坊 2.0 想做的是複雜度級別的擴容,將 TPS 從 x 提升到 x 平方。長線來看,以太坊 2.0 才是終極的解法。
Q:在全球 DeFi 領域裡最欣賞的人是?
特別敬佩 iearn.finance 的創辦人 Andre Cronje,他以個人的力量快速迭代出很多很有用的 DeFi 協議和產品,可以說是以太坊可組合性的代言人。可惜因為與社群的紛爭,Cronje 已從 DeFi 開發工作裡退休。
Q:持有最多的 3 個 token?
首先是以太幣,原因自明。第二個是 KNC,也就是 Kyber Network 去中心化交易所的平台幣,先前黑客松獲獎時恰好在價格相對低點得到 KNC,巧逢 KNC 上架 Coinbase Pro 時的大漲。最後,我持有各式各樣 DeFi 協議推出的 token,例如 Compound DAI、Fulcrum DAI、Aave DAI 等,對我來說就像存款的存條一樣。
詳細訪談內容請收聽 Soundcloud !
(五) 我們觀點
DeFi 平台接連遭駭,作為用戶和開發者該怎麼辦?
上週末兩天之內連續發生了兩起駭客攻擊事件,雖然 Uniswap 攻擊事件相對損失金額少,但 dForce 底下的 Lendf.Me 平台遭竊史上最高的約 2500 萬美元。本週 DeFi 專家來訪邀請的陳品也提到,這次受到攻擊的智能合約其實都是受過專家審計的,卻還是遭到攻擊。加上 2 月的 bZx 閃電貸事件、3 月的 0 Dai 拍賣事件,DeFi 領域似乎充斥著駭客攻擊的風險。
相較於傳統金融,DeFi 還像是剛出生的小嬰兒,其技術和應用還在快速成長中,現階段肯定有較高多技術面的風險。然而,我們現今所使用的各種科技,哪個不是這樣學中錯、錯中學慢慢茁壯的呢?有句話說,風險從來不是來自投資標的,而是你對投資標的的不了解。作為用戶,我們應該做的是慎選能信賴的營運團隊,例如從 TVL 可以看出平台規模、參考 DeFi Score 上提供的許多指標、好的協議也會有清楚的白皮書或文件讓你了解其原理,總之多花時間去了解你所投資的項目並做好資產分散;作為開發者,我們是這領域的先驅,不能只是盲目使用別人的程式或把責任都丟給外部專家把關,我們認為必須花時間正確的設計協議和充足的測試、詳細了解使用的每塊 DeFi lego、不斷吸取別人的教訓並改進、並做好風險控管為最壞的情況做打算。DeFi 作為金融服務與新科技的結合,獲利時大賺、跌倒時大賠都不令人意外,我們認為應該保持的心態是-大膽的發想,戒慎恐懼的實作。
談談 DeFi 開源程式和著作權保護
在 Lendf.Me 攻擊事件後,Compound 創辦人 Robert Leshner 的發言令人感到好奇,使用開源 (Open Source) 程式竟然會違反著作權?開源通常是為了能讓其他開發者使用並創造更好的程式,或讓別人能貢獻其力協助改進程式,是一個共好的精神。當然,也不代表可以隨意讓人使用自己的智慧財產,一般來說會有使用條款(Licence)作為限制,像是 MIT, GPL 等。比較嚴格的條款會限制他人做商業使用時需符合一些條件,像是其衍生程式也必須開源,如沒有遵守當然是會違反其著作權。
Compound 的程式碼 並沒有使用任何 License,而是完全保留其著作權只開放私人使用,商業使用則沒有明確說明,讓希望使用其程式碼的人無所適從。你可能會問,那為什麼要開源?因為這是 DeFi 協議取得公眾信任最好的方式,透過公開程式碼證明沒有在其中藏有後門,並讓大家共同確認其安全性,另外也讓其他開發者了解其運作方式方便做整合。我們可以理解 Compound 的作法,但還是希望更多人將其程式以通用的 License 開放出來,讓大家能基於其上開發更好的程式, 藉此能更快速的趕上傳統金融產業。畢竟如果有所謂的 DeFi 護城河,那應該是程式其上搭建的服務和死忠用戶,這些才是無法輕易被複製的。反之作為一位開發者,尊重別人程式的著作權是再基本不過的事。
Sponsors
Dapp Pocket — 加密貨幣支付和理財 App
本報告非投資建議。
訂閱 DeFi 每週報告,立即掌握全球 DeFi 動態
