瓦力财经 | 第53期直播访谈-对话Mercurity.Finance核心开发者Kevin

2020.11.27 | 浏览:4793

本期直播访谈的主题是:DeFi项目如何预防闪电贷攻击?

 




瓦力财经,邀您一起见证区块链时代!


瓦力财经是国内领先的区块链信息服务商,追求全面、快速、专业准确的资讯与数据服务,为区块链创新者提供交流平台。我们以社区论坛为基础阵地,让资讯为瞭望灯塔,聚集区块链技术和应用的弄潮儿。目前已发展成集资讯内容、线下活动、培训、孵化器、区块链技术落地服务于一体的生态体平台。

 

瓦力哇哩直播访谈是瓦力财经旗下一档对话区块链行业大咖的尖端思想、感受前沿趋势的访谈栏目,并且与数十家区块链媒体平台达成战略合作。瓦力社区为瓦力哇哩直播访谈提供100万社区用户的流量支持,可以给访谈嘉宾带来更好的媒体宣传。


本期《瓦力哇哩》邀请到的主讲嘉宾 Mercurity.Finance核心开发者Kevin


Mercurity.Finance是一个开放的、AMM驱动的DeFi平台,为DeFi提供基础设施。Mercurity Swap是一个自动化数字资产交换和流动性协议,是Mercurity Finance的子协议。将Mercurity Swap里的LP Token,导入Mercurity Finance生态中的借贷/保险/合成资产等协议中,将极大地增加LP的资金使用效率。  


本期直播访谈的主题是:DeFi项目如何预防闪电贷攻击?



以下为采访实录:(在不改变原意的情况下,稍有删节)



主持:比特币再创新高,市场上已经有看空和看多的辩论,您作为加密货币投资者怎么看待此事?


Kevin:自从我进入到这个行业,了解了比特币之后,就坚定不移的认为比特币因为其独特的价值,市值会越来越高。


从今年10月中旬比特币摆脱下跌趋势以来,比特币的价格从10000刀涨到了19500刀,距离突破20000刀创造新高,已经近在咫尺。这一轮牛市的特征非常明显,主要是因为国际主流的金融机构开始大举买入比特币,比如灰度,Paypal等,从而引发了一轮机构抢筹的机构牛。美国有超过11家上市公司购买比特币,除去我们熟悉的几家基金平台和本身就与加密货币行业有关的公司,MicroStrategy 和Squre可能是比特币交易市场今年迎来的最大惊喜了。在8 月 11 日和9 月 15 日,MicroStrategy分两批交易买入了 38250 枚比特币,含手续费用共支出 4.25 亿美元。2020年可以称为加密货币的机构元年。


另外,本次上涨跟17年12月的牛市有很大的不同。本轮大部分卖出的BTC都被进行了冷储存,永不得“再见天日”;同时,相比3年前,现在更多的买家具有专业投资素养、长期的视野以及持仓的决心。


那么,随着越来越多的机构进入加密货币这个领域,那么必然导致整个加密货币市场的市值不断创下新高。可以乐观的展望一下,2021年可能引发一轮比特币疯狂上涨的大牛市,届时比特币涨到5万美元,甚至10万美元都是有可能的。


但是短期来看,比特币连续大幅上涨,已经使得获利盘众多,高位盘整略显乏力,可能在接下来几周有回调的风险。


注意短期风险,布局中长线币种,坚定持有,应该是目前比较好的策略。


主持:都在说大饼吸血,但是DeFi领域锁仓并没有明显下降,这是为什么呢?


Kevin:



根据最新数据,DeFi的总锁仓量已经达到了170亿美金,从年初的7亿美金到今天的170亿,不断的上涨,即便是Defi挖矿热度下降后,也依然在稳步增长。


DeFi的总TVL的井喷增长源于7月,YFI等项目的兴起,随后在8月,9月各种DeFi挖矿项目中加速上涨。


之所以在挖矿热度下降后,TVL依然稳步增长,我觉得有三点原因:


1. DeFi真正的解决了区块链领域内的需求。目前DeFi项目中,锁仓最多的是三类项目,借贷,交易,理财。这三类产品满足了去中心化金融领域内的三大真实需求,使得大量资金心甘情愿的留在相应的产品内,而不是打一枪换一个地方。


2. DeFi的应用创新层出不穷,潜力巨大。在最近的3个月,不断有新的DeFi协议出现,比如保险,债券,期权等,这使得更多愿意尝鲜的资金进入到这个领域,引入了新的流量。接下来,会有更多传统领域的金融理念和玩法,被”DeFi”化,创造更多的有趣的产品。


3. Defi锁仓的长尾效应。在DeFi的早期,大量用户不懂得使用去中心化钱包和Dex,阻碍了Defi锁仓量的增长,随着更多用户的进步,DeFi有了越来越多的增量,新鲜血液的加入进一步推高了锁仓量。

主持:Defi领域的下一个机会在哪里?


Kevin:DeFi,目前已经有多个细分领域,包括借贷,交易,理财,保险,债券,合成资产,期权等。比较成熟的是前三类,也已经有了头部项目,比如Compound,AAVE,MakerDAO,Uniswap,Synthetix,YFI等。


随着近期安全事件的增多,保险显然是市场急需的产品,但目前的几个主流的保险项目,存在各种各样的问题,比如Nexus Mutual,赔付需要社区投票,而票掌握在几个大户手中,所以Nexus实际上是半中心化保险,很多保单无法赔付。


另外一种可能的机会就是将传统领域的金融理念引入区块链领域,比如优先劣后的债券,可以有效划分高风险和低风险用户,带来更丰富的应用场景,解决更复杂的问题。


主持人:能否跟我们分享下财富密码一般是如何找到的?


Kevin:你永远无法赚取超过你认知的钱,认知,决定了你的财富多少。在加密货币这个领域,这句话同样适用。而且这个领域有两大特点,技术和理念非常新,更新速度非常快。所以想要在这个领域赚取足够的财富,那么一定要不断的学习,不断的追踪。比如这轮DeFi挖矿,很多人没能在第一时间参与,就是因为缺乏这方面的学习。


其实,我也在不断的学习中。从相关的社群和文章了解到YFI,我就开始仔细研究DeFi的相关知识,也开始投入到相关的挖矿中。那时候在Uniswap上也有诸多的优质潜力币种,需要多加研究,才能区别并且参加。包括之前火爆的波卡系,存储系,也需要储备相关的知识,才能做到投资有理有据。


所以,关注优质社群,紧随行业发展,不断的学习,你就掌握了找到财富密码的办法。


持人:DeFi领域安全问题频发,您作为专业开发者如何看待安全问题?


Kevin:安全问题可能是DeFi项目需要面临的最大挑战。今年四月份,Lendf.me平台(去中心化财务dForce项目的一部分)遭到黑客攻击并损失了2500万美元。dForce使用从Compound那里复制的代码,缺乏必要的审查,几乎没有安全检查或审计,也没有设计用于智能合约中可能存在漏洞的应急程序。


黑客攻击暴露了dForce团队缺乏完整的智能合约质量管理和研发系统以及风险预警机制。


如何控制安全风险呢?我觉得主要得从内部严控代码质量,外部严格代码审查,以及代码漏洞奖励三个方面来控制。


首先,项目内部原始编码和模拟测试是确保安全的基础。全面编写测试和迁移脚本是确保智能合约的安全和质量的快速有效的手段。提高代码覆盖率,使用Mainnet fork ganache进行模拟测试,进行代码缩减和持续集成测试。通过以上等措施,提高团队代码质量。


其次,选择精通DeFi技术的安全审核公司,帮助进行安全审计,将可以帮助发现在编码阶段可能被忽略的潜在问题。


最后,群众的力量是巨大的,借助社区的力量,发布代码漏洞赏金计划。邀请白帽黑客社区的成员奖励他们发现的安全漏洞。这将有助于发现和解决大量潜在的安全漏洞,从而减少黑客攻击的风险。


持人:您作为Mercurity.Finance核心开发者,能否给粉丝朋友们介绍一下Mercurity?


Kevin:Mercurity是一个开放的互联互通的DeFi Platform,Mercurity协议是由若干组子协议矩阵组成的,每组子协议独立、可插拔、可组合,且彼此协同。


目前包括下面五个子协议:

Mercurity Swap协议

Mercurity Lend协议

Mercurity Insurance协议

Mercurity Bond协议

Mercurity SyntheticsAsset 协议

 

Mercurity一方面把DeFi的流动性通过链上智能路由链接起来,共享流动性和金融服务,另一方面,Mercurity把DeFi中的每一个流动池提升为可编程基金,并把每一个流动池社区化,让每一个流动池实现社区自治,让每一个流动池都成为Mercurity生态的有活力的组件。


Mercurity推动社区力量实现创新应用和推展新的市场,充分赋能社区,调动产业力量,将给用户创造独一无二的价值。


Mercurity社区使命:让金融服务垂手可得。


大家对Mercurity Defi矩阵感兴趣的,可以关注我们的media:

https://medium.com/mercurityfinance


主持:Mercurity如何通过NFT+DAO建立行业护城河?


Kevin:现在的DeFi项目同质性非常严重,很多用户资金完全是逐利而来。我们不讨厌这种行为,但是我们依然在思考如何持续的为用户资产赋能,这里我们使用NFT+DAO的模式来持续为用户赋能。我们认为,NFT的作用是引入新资产,相对于原生区块链资产,Mercurity可以通过引入各种NFT资产,例如美国国债,黄金等,增加Mercurity  DeFi平台的资产类别,一站式解决用户的实际资产需求。


而DAO则是Mercurity的另一个杀手锏,DeFi去中心化金融讲的是更加的公正公开,Code is law,因此我们的项目治理是一个非常体现项目方水准的事情。我们积极鼓励Mee的代币持有者参与社区治理,共同发展Mee社区生态。我们在实际工作中也发现很多用户提出的建议非常的专业且诚恳,类似的各种合作策略,费率策略,我们Mercurity也愿与用户一起共同完善整个Mercurity生态。


持人:最近的一起Cheese安全事故和Mercurity类似,你们如何防止这些问题?


Kevin:为了讨论这个问题,我们要首先弄明白“科学家”是如何利用闪电贷攻击的Cheese Bank。首先,攻击者首先通过 dYdX 闪电贷贷出  21,000 枚ETH,随后,在 UniswapV2 中将 50 枚WETH 兑换为 107,000 枚CHEESE (Cheese Bank 通证),此时 CHEESE 的单价为 0.00047 ETH/枚,攻击者剩余 20,950 枚ETH;接下来,攻击者在 UniswapV2 中抵押 107,000 枚CHEESE 和 78 枚ETH 来提供交易流动性,同时获得 UniswapV2 上自动生成的 UNI_V2 LP 凭证。UNI_V2 LP 凭证是流动性提供者(LP)在 UniswapV2 上提供流动性并提取相应资产的唯一质押凭证。此时攻击者剩余 20,871 枚ETH;攻击者进一步把所获取的抵押品 UNI_V2 LP 凭证转换为 sUSD_V2 凭证,这一步有利于攻击者以 UNI_V2 LP 凭证作为抵押品在 Cheese Bank 上贷出稳定币;随后,攻击者在 UniswapV2 中将 20,000 枚ETH 兑换为 288,000 枚CHEESE,这一步会影响 UniswapV2 上 CHEESE 池子的平衡,进而抬高 CHEESE 的价格,此时 CHEESE 的单价为 0.069 ETH/枚(相较于此前 0.00047 ETH/枚的价格提高了145倍),攻击者剩余 871 枚ETH(包含交易手续费)。CHEESE 单价的提高能够有效地提升抵押在 Cheese Bank 中 UNI_V2 LP 的价值,帮助攻击者提高在 Cheese Bank 中借贷加密资产的额度。值得注意的是,Cheese Bank 以流动性矿池 UNI_V2-CHEESE-ETH 中 WETH 的数量来衡量所对应的  UNI_V2 LP 凭证的价格,攻击者通过提高 UNI_V2 LP 凭证的价格能有效地贷出更多 USDC 、USDT 、DAI。最后,攻击者在 Uniswap V2 上将 288,000 枚CHEESE 转换为 19,980 枚ETH (包含手续费),为补足所贷的 21,000 枚ETH,他将 58,000 枚 USDC 转换为 132 ETH ,再加上剩余的 871 枚ETH(包含交易手续费)归还给 dYdX 闪电贷,一切就好像没有发生过一样。


总体来讲,攻击者通过重置喂价预言机来操纵 UNI_V2 LP 凭证的价格。


对于Mercurity来讲,为了避免类似的问题,我们将采取多方面措施。

1. 只针对主流币种推出借贷产品,对于小币种,将不会支持。

2. 预言机采用Dex和Cex的加权平均价,会剔除异常价格,使得攻击者难以控制币价。

3. 对大额交易进行报警,及时发现并填补漏洞。


主持人:最近闪电贷也是非常的火热,您如何看待闪电贷?


Kevin:最近一段时间,连续发生了多起因为闪电贷导致的攻击,比如起源协议Origin Protocol稳定币OUSD被爆出遭到闪电贷攻击。Harvest Finance、Akropolis、Value DeFi和Cheese Bank等项目也遭到了闪电贷攻击,其中Value DeFi项目损失了540万美元、Cheese Bank项目损失330万美元、Akropolis项目损失200万美元以及OUSD的700万美元。


闪电贷(flash loans)是 DeFi 生态的一种应用。我们知道 DeFi 有很多优势,但同时也存在结构性缺陷,DeFi 需要超额质押,这意味着资金利用率十分低下。而「闪电贷」允许借款人无需抵押资产即可实现借贷,从而极大提高资金利用率。


闪电贷就是在一笔链上交易中,即一个区块中完成借款和还款,无需抵押。闪电贷的功能是确保用户无需抵押来实现借还款,即如果资金没有返还,那么交易会被还原,即撤消之前执行的所有操作,从而确保协议和资金的安全。


由于一笔链上交易可以包含多种操作,使得开发者可以在借款和还款间加入其它链上操作,使得这样的借贷多了很多想象空间,但同时也埋下了巨大安全隐患。

很多用户恶意利用闪电贷借入、交换、存入并再次借入大量的Token,人为地在DEX里操纵Token价格。这出现了目前常见的闪电贷攻击。


闪电贷攻击自bZx攻击事件之后频繁发生,但是闪电贷攻击并不是DeFi生态中真正的系统性根源风险,究其根源在于Oracle(预言机)攻击,闪电贷攻击往往只是对Oracle的攻击。Oracle是连接链上DeFi应用和链下数据的中间件,由于使用去中心化的Oracle网络,在多个交易所中存在交易量和流动性差异,那就加大了Oracle攻击风险。


其实很多闪电贷攻击并不涉及到任何区块链及智能合约的漏洞安全问题,这让避免闪电贷攻击变得难以捉摸,攻击发生之时也没有太多时间留给项目反应。很多闪电贷套利事件发生的前提条件只是因为在不同的DEX中存在价格差。


那么,想要防止闪电贷,就要对症下药。有以下几个办法可以尝试:

第一,从控制价格差的角度思考,不同交易所之间建立价格同步机制或者采用同一种价格预言机,可以降低套利事件发生的概率;第二,从执行套利事件的智能合约角度思考,对涉及交易数目巨大的交易采取额外的验证步骤或者提高对该种交易的交易费用,会减少套利事件的发生。第三,只支持主流币种,深度较好的币种,加大闪电贷操作价格难度。


持人:您对DeFi和闪电贷未来五年内的发展有何看法?


Kevin:DeFi可以称得上是区块链应用史上第三个重大突破。


第一个突破是比特币,它通过对密码学、共识机制、点对点网络、激励机制等巧妙的运用,完成了无须第三方参与的价值转移。从目前看,基本上实现了价值存储和转移的初级阶段,是最耀眼也是最成功的第一个突破。


第二个突破是以太坊,通过加入虚拟机EVM,增加了智能合约的功能,使得加密货币不仅具有价值存储和转移,还具备了可编程的应用功能。创造了更丰富的应用场景和可能。


而DeFi可以算得上第三个突破,虽然它还存在各种各种的问题,但它已经初具规模,且有成长的潜质。


未来五年,Defi将会是一个传统金融的大试验场,通过把各种不同的金融理念迁移到Defi上,创造出越来越丰富,越来越全面的金融体系,从来发挥Defi更低成本,抗审查性,可组合性等特点。


行业内,也会出现更多爆品,和更多龙头项目,逐步应用到大家的日常生活中。出圈,从Defi走向传统金融应用场景,可能是未来五年的使命。

所以展望未来,传统金融和DeFi这两个市场力量将会相互学习和融合,Defi的发展壮大和出圈将会是重大历史使命。


至于闪电贷,我已经在之前的问题中讲过,这是一个让人又爱又恨的家伙,提高资金利用率的同时又带来了巨大的安全风险。


我相信闪电贷后期的发展将会朝着更加稳健和增加安全机制的方向发展,并且对用户增加使用闪电贷的条件。大大降低闪电贷的安全风险,同时发挥其提高资金利用率的作用。


主持人:感谢Mercurity和Kevin对本期瓦力财经直播访谈的参与和支持!


最后,感谢各位战略合作媒体对此次瓦力财经直播访谈的大力支持(排名不分先后):金色财经、币世界、火星财经、布洛克科技、PANews、陀螺财经、coinvoice、链节点、世链财经、鸵鸟区块链、Blocklike、猎云财经、链圈、TokenClub、星际视界、币小白、DAPPX、布道财经、芥末圈、米林财经、零度财经、SOSOB、链向财经、博链财经、蚁链财经、宏链财经、加密谷、链数科、贝博、热链全球资讯、快链头条、挖币网、中本财经、链诸葛财经、41财经、长青财经、第一站财经、多米财经、麦妖榜、海星区块、米又财经、金果子、众悦财经、3点财经、星传媒、链团财经、麦田财经、BTC123、链虎财经、币马温、雲禾财经、币用宝、链安财经、曲率区动、Anypay、币牛牛、坐标资讯、拾里郎财讯、耳朵财经、艾拓普、CoinON、区分、币值财经、磁力链财经、喇叭君、链宝、币糖国际、加密财经、比特财经网、区块链巴士、GoodBP、瓜皮说、链想家、瘾、FN.com、大侠区块链、陆基研习社、教父财经、贝塔社、链游玩家、新财经、摩氪头条、牛市商学院、区块龙门阵、链投财经、海浪之声、链都网、贝数区块链、飞云说、支点访谈、一灯社区、蓝本财经、萬沙資訊、链叨叨、黑洞区块链、摩引擎、币圈花哥、链纽财经、Hubox、风麟财经的大力支持!

 

同时感谢群TV、币扑Beep为本次直播访谈提供技术支持!



联系

我们

028-87531801

客户端