原文标题:《NFT抵押借贷的简单思考》
原文作者:Jiawei
文章来源:律动blockbeats
引子
说回抵押借贷,对于NFT而言,抵押显然需要承担一定的流动性成本:面对Token上涨,无法出售并获利;面对Token下跌,只能被动持有。
而对于长持头部NFT项目的机构或核心玩家来说,也许本就没有出售的意图,因此在需要资产变现时,抵押借贷是值得考虑的选择。而头部NFT的价格也相对稳定。
进一步来说,出于投机目的,散户手中的NFT可能存在频繁买卖换手,并且NFT的总价值整体不高,相对而言不适合进行抵押。
Beosin:ULME代币项目遭受黑客攻击事件简析:金色财经报道,10月25日,据Beosin EagleEye 安全预警与监控平台检测显示,ULME代币项目被黑客攻击,目前造成50646 BUSD损失,黑客首先利用闪电贷借出BUSD,由于用户前面给ULME合约授权,攻击者遍历了对合约进行授权的地址,然后批量转出已授权用户的BUSD到合约中,提高价格ULME价格,然后黑客卖掉之前闪电贷借出的ULME,赚取BUSD,归还闪电贷获利离场。Beosin安全团队建议用户用户取消BUSD对ULME合约的授权并及时转移资金减少损失。[2022/10/25 16:38:21]
因此,认为短期内NFT借贷会是小众赛道,以面向头部/蓝筹NFT持有者为主。
安全团队:Audius项目恶意提案攻击简析,攻击者总共获利约108W美元:7月24日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Audius项目遭受恶意提案攻击。成都链安安全团队简析如下:攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址,随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过,该提案允许向攻击合约转账1,856w个AudiusToken,随后攻击者将获得的AudiusToken兑换为ETH,总共获利约108W美元,目前获利资金仍然存放于攻击者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
三类项目
慢雾简析Qubit被盗原因:对白名单代币进行转账操作时未对其是否是0地址再次进行检查:据慢雾区情报,2022 年 01 月 28 日,Qubit 项目的 QBridge 遭受攻击损失约 8000 万美金。慢雾安全团队进行分析后表示,本次攻击的主要原因在于在充值普通代币与 native 代币分开实现的情况下,在对白名单内的代币进行转账操作时未对其是否是 0 地址再次进行检查,导致本该通过 native 充值函数进行充值的操作却能顺利走通普通代币充值逻辑。慢雾安全团队建议在对充值代币进行白名单检查后仍需对充值的是否为 native 代币进行检查。[2022/1/28 9:19:19]
点对点模式
Grim Finance 被黑简析:攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报,2021 年 12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。
2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币,本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。
3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。
4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。
此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议:对于用户传入的参数应检查其是否符合预期,对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]
在DeFi借贷中,Aave的前身Ethlend采用的就是点对点模式。
Arcade与之类似,其AssetWrapper合约支持打包抵押ERC721、ERC1155、ERC20资产,随后将生成wNFT。借方设置借款额、偿还金额、币种及时间后,将wNFT抵押,之后则等待贷方匹配订单。Arcade在未来的版本中将添加分期还款的模式。
需要注意的是,Arcade不设置自动清算,如果发生违约情况,在贷方claim抵押品之前,借方仍然可以偿还贷款。
对于点对点的平台来说,借贷需求能否及时得到响应,与平台的用户体验直接相关。Arcade的平台数据中暂未提供匹配的平均等待时间。据团队成员所说,BAYC和CryptoPunks地板价的借贷请求基本能够实现即时响应。
另外,NFT与FT的不同之处也在于,同系列的NFT各不相同,贷方难以对稀有度高的NFT进行评估,或是借贷双方对抵押品的估值产生分歧,增加了借贷的不确定性。
目前Arcade的平台总贷款额来到了950万美元,支持49个NFTCollection。去年12月底,Arcade拿到了1,500万美元的A轮融资,由PanteraCapital领投。
资金池模式
第二类是与Aave、Compound近似的资金池模式,例如DropsDAO。
这种模式下,贷款没有到期日,利率根据资产的利用率计算得出。NFT的实时价格采用预言机进行报价。
有关点对点模式和资金池模式的优缺比较,DyoHu在这篇文章中有更为详细的阐述。
对于稀有度高的NFT,在资金池中的价值实际上被稀释,使得这部分NFT的贷款价值比不划算。
整体而言,资金池模式较为复杂,存在价格被恶意操控和连环清算的可能性。在NFT市场整体流动性一般的情况下,有着较高的系统性风险。在去中心化NFT借贷的发展初期,点对点模式相对更稳定可靠。
中心化模式
去年年底,数字资产金融服务机构Nexo与三箭合作,推出了中心化的NFT借贷业务。交易所Kraken也计划推出相同业务。
Nexo提供的相当于OTC服务,需要填写简单的KYC申请表。目前仅支持BAYC与CryptoPunks作为抵押品,抵押的NFT价值必须超过50万美元,年化借贷利率约为15%,贷款价值比在10%-20%之间,即价值50万美元的NFT可以获得5万-10万美元的贷款。
中心化的NFT借贷模式适宜机构采用,而对于CryptoOG来说可能显得不那么native。
ClosingThoughts
类比看看现实中的艺术品市场,受疫情影响,2020年的全球艺术品交易额较上年下跌22%,仍超500亿美元——仅从数字上看,艺术品抵押似乎有不错的市场。
然而,艺术品的鉴定本身众说纷纭、缺乏权威担保,估值困难;并且因为缺乏流动性,即便清算后,抵押品能否变现脱手也是未知数。为了弥补这部分的风险敞口,传统典当行压价严重,往往只提供非常小的贷款价值比。
说回NFT,与传统艺术品相比较,NFT的真假鉴定只需要检查合约地址;估值有同系列NFT的地板价作参考;线上交易的形式使得变现也相对容易。在技术面和可操作性上,NFT借贷面临的问题相对更少。
近期的Azuki很快跻身OpenSeaNFT交易量第8位,类似的蓝筹在未来也许会更多地涌现。以CryptoPunks和BAYC为代表的头部NFT、以Doodles和Azuki为代表的蓝筹,以及Sandbox和Decentraland的地块,在未来会率先成为NFT借贷的主打标的。
?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。