DeFi的优势与风险
2022-04-08 13:55
DeFi的崛起脱离不了贷币经济学与创新的实践,这小节先说DeFi优点,先从效率来看,一般去银行办理业务,时间为一般的上班时间周一到周五,并且晚上不开放,只能去ATM取钱,DeFi上的协议更像是自动贩卖机结合ATM,7X24小时的在网络上服务,去储蓄、贷款、抵押,每个服务都像是提供了金融服务的自动贩卖机并有多样的选择,算利息的方式有每秒计息到帐或是每个区块时间计息方式,并且只要付更便宜的费用与更快速的时间去完成跨境汇款,去中间机构化并省下大量人力成本开销;开放金融和普及化,不分年龄与财产多寡都可以在代码面前得到同等待遇的服务包容性。区块链的特色公开透明,是大家耳熟能知的,在转账成功后可以看到这个交易是被打包在哪一个区块高度,跟产生的哈希值是多少,并且都是公开信息见图一可已被每个人看到这笔交易,从A地址到B地址传输了多少资产跟多少费用,看到系统的执行与状态,并且任何人都可以查看智能合约的代码并验证。DeFi除了高利率的吸引外,像是自动化做市商,透过算法自动去完成交换,与可编程及开源的模式,让金融有了科技的力量并可以使最新的模式与创新不断的藉由不同人去迭代跟新,碰撞出意想不到的火花。DeFi比传统金融的历史中相比短短几年而已,前一章节提到DeFi的生态,发现了很多金融创新相较传统金融,DeFi应用程序通常相较更简单,更快,像是Uniswap(自动化做市商协议)的恒定函数做市商,利用精简的函数模型去支撑起DeFi乐高里面的大梁,再到AAVE(闪电贷)让人人都可以快速的瞬间调动大量资金,还无需任何抵押物,并且利用闪电贷具有原子性,去防止坏帐风险,是传统金融现阶段无法做到的创新点。灰度2021年的《去中心化金融》报告中,表示从TradFi到DeFi的模式转变见表一,DeFi旨在提供一模式转变,从当今跨多个渠道提供传统银行业务的方式,更公开透明的提供不排他性的服务,很多用代码去做出决定。DeFi是一个互联网原生银行服务生态系统,由运行在以太坊等加密云经济平台上的软件应用程序支持DeFi的应用程序由于其全球性而通常被称为dApp(去中心化应用程序),它为任何拥有互联网连接的人提供金融服务在全球任何地方。DeFi dApps利用由加密网络用户管理的开源软件协议去中介化传统金融公司提供的许多服务。DeFi直到最近才出现,但该行业已经迅速成熟,可以促进多种基础银行服务,如图二,第一行由左到右分别是去中心化、集中化加密和传统金融,第一列从上到下分别为稳定币、借贷、交易所、衍生品、数据、资产管理。DeFi安全性是大家最关注的事情,像是网络攻击也是预防的重点。日蚀攻击(Eclipse Attack),针对单个节点进行攻击;Dos(Denial of Service)攻击,使目标网络或系统资源耗尽,让服务暂时中断或停止,导致其正常使用者无法存取;女巫攻击(Sybil Attack),通过创建大量假身份来破坏共识,并利用这些身份可以完成线下一人在线多票,如果大规模的女巫攻击中覆盖超过51%的系统,就破化共识有机会造成双重支出问题。共识上攻击像是51%攻击,一个矿工藉由控制超过50%的网络挖掘哈希率去改控制整个网络,可以去改变交易纪录;双花攻击,一笔钱同时花掉两次,一般情况是不被全网同意的,通常是在控制算力后,掌控了该网络才有;自私挖矿(Selfish mining)是一种欺骗性的加密货币挖矿策略,拥有算力的个人或是团体,去解决哈希,打开一个新区块,并将其从公共区块链中扣留,并创建一个分叉,对其进行挖掘以领先于公共区块链。还有其他的风险存在例如智能合约中的代码是错误,或是代码逻辑出了问题,可以能造成可以重复转出资金,或是未经授权的访问的重要功能,会导致毁灭性的灾难。以太坊创办人维塔利克曾经说过高利率的天平两端分坐着短暂的套利机会和未知的风险。DeFi的未知风险也是新的黑客用新型的攻击方式来获取资金,DeFi协议可组合性攻击,利用池之间的过度套利、闪贷攻击、Oracle攻击、跨链桥攻击、治理攻击…等一系列同时组合式的攻击风险。拉地毯骗局(rug pull),分成硬拉的使用恶意代码跟窃取流动性;软拉是只恶意倾销资产Cointelegraph报导2021年,估计有77亿美元从投资者手中被盗用拉地毯加密货币骗局。这些投资者相信他们投资的是合法项目,只是让地毯从他们脚下拉出来。目前拉地毯骗局不一定是非法的,但一定是不道德的。闪贷攻击,还是大家听到最为害怕的,因为不用抵押品就可以短时间拿到大量资金去对协议攻击,我们要先了解闪电贷本身是工具不会自动攻击。只是为攻击者提供了足够多的资金去针对协议漏洞大肆攻击。可以看到图三为2020年2月到2021年6月的被闪贷攻击的项目纪录,已损失2.4亿美元的资金了,有不少的闪电贷攻击是针对链上预言机去攻击,让预言机上的数据失灵导致协议更容易受到价格操纵,所以一个好的去中心化预言机的防篡改能力和安全性很重要,防止数据被恶意操纵。历史上的经典教材bZx被闪电贷攻击过程见图四,2020年2月14日美国情人节当天,攻击者用了五个DeFi协议,在区块高度为9484688这个以太坊区块3秒内完成打包里面包含了闪电贷攻击,没有动用额外的资金,仅仅花了8.23美元的矿工费用,却净赚1,271ETH(当时等值35万美元),当中使用都是耳熟能详的DeFi项目dYdX、Compound、bZx、Kyber、Uniswap。主要在区块高度为9484688跟后续的兑换资金70多笔交易分散在区块高度为9484917到9496602,主要闪电贷攻击的交易哈希:0xb5c8bd9430b6cc87a0e2fe110ece6bf527fa4f170a4bc8cd032f768fc5219838。流程大致上是攻击者透过闪电贷借钱成为巨鲸,再到流动性不足的利用交易所合约漏洞开5倍杠杆拉高wBTC价格,再将手里原本借来的巨额wBTC高位套现,完成了一次低成本的Pump&Dump的组合拳。1.(闪电贷款)攻击者透过dYdX平台的闪电贷款借了1万个wETH,过程中不用任何抵押品。2.(抵押囤贷)存入Compound协议5,500个ETH为抵押品去借112个wBTC来囤积。3.(提供保证金交易)存入抵押1,300个ETH在bZx利用保证金交易功能,借到共5,638个wETH,相对是ETHwBTC比率开了5倍杠杆的空头头寸(sETHwBTCx5,预期会ETHwBTC比率下降来获利)4.将5,638个wETH要交换成wBTC透过Kyber Swap找到最佳价格在Uniswap。5.(兑换拉高价格)透过Uniswap交换到51个wBTC,Uniswap相应池子深度不够,导致wBTC价格暂时大幅上涨,有严重的滑点,使Uniswap的wETH/wBTC价格上涨了3倍(110wETH/wBTC),同时51wBTC资不抵债使bZx合约违约,锁定住在bZx抵押1,300ETH。6.Uniswap上的wETH/wBTC价格滑点持续存在。7.(兑换出货)将囤积的112wBTC在最好的价格用Uniswap交换获得6,871wETH(61.4wETH/wBTC),从中开始获利。8.(偿还闪电贷款)6,871wETH+原本借来没用上的3,200wETH去偿还dYdX闪电贷款1万个wETH,剩余71wETH(该区块高度完成攻击,已经看到可得利润)。9.(兑换、借贷)累积71wETH及扣掉须归还在Compound借出的112个wBTC用并取回抵押的5,500个ETH,市场行情价(38.5wETH/wBTC),总获利1,271个ETH,攻击者避免大额交易的滑点,在完成攻击1小时左右开始分批兑换wBTC赎回ETH,70多笔交易全部在48小时内完成,扣除手续费估算出攻击净获利1,200个ETH。wETH(wrapped ETH)是为了让不符合ERC-20标准的ETH(Ether)可更便于用于在去中心化应用程序,提高区块链之间的互操作性,方便理解为wETH为ETH的1:1可兑换ERC20版本。攻击者有获利了,从另外角度单看从各DeFi项目上看损失,dYdX,提供闪电贷服务并收回资金;Compound,用超额抵押完成借款,并归还赚到费用;bZx,合约漏洞没有触发清算仓位损失严重;Kyber,正常服务交换资产无损失;Uniswap,正常服务交换资产无损失。下方分析回顾攻击原因:1.闪电贷有多地方可以借,dYdX的闪电贷款的优势是还款时不用额外给平台费用,像是Aave对每笔闪电贷收取0.09%的费用2.闪电贷选择借出ETH原因是dydx中的资金储备量有90%都是ETH约有80,000颗,可以借出足够的数量让人人都有机会用低成本当巨鲸。2.使用Compound借出wBTC是因为Compound是当时wBTC供应充足的资金池,有足够资金去Pump&Dump。3.选择bZx作为抬升价格的平台,是由于攻击者发现bZx的保证金交易合约代码中出了漏洞,检查杠杆仓位是合约异常的部分,因为程序代码的编写逻辑错误,使得这次套利行为得以成功。bZx智能合约这次的漏洞,在wETH要在Uniswap交换之前,未能检查滑点的风险,未能再交换前发现资不抵债,攻击者的抵押品无法偿还借款,跟让杠杆交易的担保风控出了问题,还还成功交易,代码中存在的漏洞,应该写进去合约禁止交易成功。4.Uniswap交易对的流动性不足,让攻击者在bZx完成五倍做空ETH/wBTC是将5,638wETH在Uniswap换成wBTC,其中的问题在于Uniswap当时ETH/wBTC这组交易对中的流动性不足,其中资金池中仅有2,818ETH以及77wBTC,在这种情况下大额兑换wBTC将会造成大幅度地滑点,藉此短时间快速的影响价格,如果流动性足够情况下5,638wETH可以兑换到约153颗wBTC,但现在因为流动性不足最后却只换得了51wBTC,并使得ETH/wBTC的比率瞬间飙升+200%,让攻击者能以更高的价格在Uniswap中抛售囤积的wBTC套取暴利。攻击者利用bZx智能合约的漏洞,让本应锁定的bZx资金泄漏到Uniswap去影响价格,完成了一次低成本的拉高出货。闪电贷的设计是工具并没有错,同样有1万个ETH的任何人都可以做一样的事情,只上让资金取得更快更便宜。可以看到下表二,是累计84次的DeFi漏洞利用(Exploit)时间表,截止至今损失的资金高达25亿美元,其中一些漏洞同时发生在多条链上,以太坊53次、币安智能链22次…等。损失金额前十大的损失金额8次发生在2021、2次发生在2022,有6次损失金额超过1亿美元,占全部的损失金额7成约17.8亿美元;有协议多次被攻击像是Cream Finance 3次、THORChain 3次、PancakeBunny 3次、Dao Maker 2次(DAO Maker与MakerDAO没有直接关连)、bZx 2次,尽管会有黑客返还资金,但还是值得我们警惕。(n/a表示其合约出现缺陷但没有直接损失金额)根据表二,损失金额排名第一的Poly Network,是DeFi行业有史以来最大的资金被黑客攻击,时间发生在2021年8月10日Poly Network是让不同的跨链加密资产交换的跨链桥提供商,黑客利用合约调动之间的漏洞去盗走等值6.1亿美元并转移到黑客的以太坊、BSC、Polygon上的三个地址,并被Poly Network官方推特公布地址并呼吁交易所跟矿工将这些地址列为黑名单。之后Poly Network在Twitter上的一封公开信中,Poly团队希望黑客可以交流与归还被盗的资金。8月11日,黑客返还了大约2.6亿美元,到8月23日,黑客已经返还几乎所有被黑的资金。这绝对是DeFi历史中最大也最离奇的案例,黑客转走6亿美金的庞大金额,最后归还资金,开始被Poly Network称呼"白帽先生",并开出首席安全顾问的工作及提供50万美元漏洞赏金,随然都被黑客拒绝了。损失金额排名第二的,Solana公链的跨链桥Wormhole,时间在今年2022的2月3日,黑客攻击者利用协议中的一个漏洞,在Solana区块链上欺诈性的铸造了120,000个Ether代币(约3.26亿美元),然后将他们大量出售,Wormhole当日发送消息给攻击者的地址,希望返还资金并提供一份白帽协议与1000万美元的漏洞赏金,目前没有后续归还消息了。CNBC报导区块链数据平台Chainalysis的2021年加密犯罪报告表示:加密货币生态系统中的犯罪损失正在越来越小,犯罪损失比一年前增加了79%,DeFi的交易量却增长了912%。[2]David Grider,Matt Maximo.DECENTRALIZED FINANCE (DeFi)Internet Banking Beyond[R].美国:Grayscale,2021.[3]Logan DeFi. 闪电贷攻击——DeFi 的烦恼?2021.https://www.binance.org/zh/blog/shan-dian-dai-gong-ji-defi-de-fan-nao/[4]Valerio Puggioni.Crypto rug pulls: What is a rug pull in crypto and 6 ways to spot.2022.https://cointelegraph.com/explained/crypto-rug-pulls-what-is-a-rug-pull-in-crypto-and-6-ways-to-spot-it[5]Haseeb Qureshi.Dragonfly:全面解读闪电贷,DeFi安全模式全然改变.2020https://blockspaper.com/vi/article/153[6]bZx Exploit Transaction Hash .2020https://etherscan.io/tx/0xb5c8bd9430b6cc87a0e2fe110ece6bf527fa4f170a4bc8cd032f768fc5219838[7]PeckShield.bZx Hack Full Disclosure (With Detailed Profit Analysis).2020https://peckshield.medium.com/bzx-hack-full-disclosure-with-detailed-profit-analysis-e6b1fa9b18fc[8]Camila Russo.Arbs Exploit DeFi to Make $900k in Seconds; Provoke Soul-Searching in the Process.2020https://newsletter.thedefiant.io/p/arbs-exploit-defi-to-make-900k-in[9]Tino Lin.【DeFi】如何用15秒赚1000万.2020https://medium.com/asmond/defi-%E5%A6%82%E4%BD%95%E7%94%A8-15-%E7%A7%92%E8%B3%BA-1000%E8%90%AC-1076f5f03705[10]Qin K., Zhou L.,Livshits B.,Gervais A.(2021)Attacking the DeFi Ecosystem with Flash Loans for Fun and Profit. In: Borisov N., Diaz C. (eds) Financial Cryptography and Data Security. FC 2021. Lecture Notes in Computer Science, vol 12674. Springer, Berlin, Heidelberg.https://cryptosec.info/defi-hacks/[12]MacKenzie Sigalos.Crypto scammers took a record $14 billion in 2021https://www.cnbc.com/2022/01/06/crypto-scammers-took-a-record-14-billion-in-2021-chainalysis.html 【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。
