EFI:CertiK CEO顾荣辉:安全审计是高质量DeFi项目的标配

过去8个月,DeFi正以快速突击的态势发展壮大。截止9月1日,Debank数据显示,DeFi总锁仓金额近8个月由7亿美元左右上涨至116.14亿,约16.3倍;DeFi总市值近8个月由15亿美元上涨至186亿美元,约12.4倍;DEX交易量近8个月由464万美元左右上涨至11亿美元,约236.8倍;抵押借贷市场总借款量由1.49亿美元上涨至16亿美元,约10.7倍。

DeFi市场飙升的同时,越来越多的DeFi协议诸如Yam Finance、Spaghetti Money、SushiSwap以及Kimchi Finance等强势吸引了数十亿美元的资产。

Balancer(BAL)、Compound(COMP)、Synthetix(SNX)、Ampleforth (AMPL)、UWA(yUSD)等协议引发的流动性挖矿更是掀起一波热潮。尽管有诸多项目未经审计,但众多用户仍将大额资金投入其中,对于挖矿乐此不疲。

The Block Research副总裁Larry Cermak升任CEO:3月31日消息,The Block Research 副总裁 Larry Cermak 在社交媒体上发文表示,其个人将出任 The Block 首席执行官一职。同时,加密做市商 Wintermute 创始人兼首席执行官 Evgeny Gaevoy 正加入 The Block 董事会。

Larry Cermak 表示,目前加密市场的环境与 5 年前大不相同,The Block 需要调整以更快地适应市场波动,其个人当前的目标是引导 The Block 实现盈利,工作将专注于创收并精简其员工队伍。The Block 未来仍将致力于加倍投入研究、数据和新闻,确保继续提供高质量内容。[2023/3/31 13:38:03]

如何看待这一波DeFi流动性挖矿浪潮?普通投资者应该如何参与?需要注意的风险有哪些?金色财经由此对话CertiK联合创始人&CEO顾荣辉,探讨其中的风险与机会。

CertiK:The Chimpsons项目Discord服务器遭到攻击:金色财经消息,据CertiK监测,The Chimpsons项目Discord服务器遭到攻击。请社区用户不要点击链接,铸造或批准任何交易。[2022/10/30 11:58:29]

金色财经:如何看待这一波DeFi流动性挖矿浪潮?

CertiK联合创始人&CEO顾荣辉:最近DeFi流动性挖矿热潮,可以说是展示出了DeFi在新实践上的成功。在DeFi基础上,流动性挖矿将金融的特性拓展开来,以挖矿获得高额利润来吸引区块链投资者,并将巨额资金锁住,从而为DEX(Decentralized Exchange 去中心化交易所)提供海量流动性(Liquidation)。

Balancer Labs宣布推出稳定池:金色财经报道,Balancer Labs发推文宣布推出稳定池,使之成为首个具备3种池子的AMM。目前Balancer Labs已经创建2个初始稳定池,分别是:staBAL3-BTC—WBTC/renBTC/sBTC及staBAL3- USD—DAI/USDC/USDT。[2021/7/9 0:37:58]

从金融市场角度来说,流动性挖矿的本质是为当前各DEX提供大量的流动性。流动性挖矿,为DEX减少了交易滑点,增强了交易深度,也增强了流动性。流动性越强,则金融系统中的投资者在市场中买卖资产越容易。

从资本市场角度来说,这些DeFi流动性挖矿项目的接踵而至,也正是因为背后有大量资金涌入其中。比如Sushiswap是社区资金支持,侧面反映出大众普遍对DeFi市场看好;UniSwap则是由VC资金支持,这侧面说明了资本对区块链,特别是对DeFi的未来有十足的信心。

Balancer社区投票同意将DEXG流动性挖矿上限提高至300万美元:刚刚,DeFi协议Balancer(BAL)官方宣布,针对提高DEXG流动性挖矿上限的投票已结束。投票结果显示,社区支持将DEXG流动性挖矿上限从100万美元提高至300万美元。[2021/1/18 16:24:52]

但与此同时,这种热潮也反应出了群体面对利益的追逐以及趋利性的社会价值观。很多大众认为只要有足够的利润,风险都是可以忽略不计的。项目方过度炒作以及部分媒体的大肆渲染也容易导致群众盲目跟风而进行非理性投资。特别是大众投资者看到某些人因此赚到了钱,就会有“幸存者偏差”,侥幸地认为坏事不会发生在他们身上。

对于区块链本身,当前DEX和诸如SushiSwap的项目虽然为DeFi系统注入了巨大的活力,但目前仍无法找到足够让这个庞大的金融系统获利的应用场景,即Killer Application。而这个应用场景,能让DeFi甚至区块链项目都进行落地,并且愿意让市场主动埋单。

UMA将ETH/UMA流动性池转至Uniswap V2,并新增Balancer资金池:UMA宣布将于24小时内将UMA代币的流动性将从Uniswap V1转至V2。同时,UMA背后团队Risk Labs基金会将在Balancer上新增一个80/20的流动性池,这将提升UMA的流动性。

Risk Labs将目前部署在Uniswap V1流动性池中的6500 ETH和80万UMA重新分配至Uniswap V2和Balancer中,同时再额外增加120万UMA代币至Balancer资金池中。最终分配将是Uniswap V2资金池中有3250 ETH/40万UMA,Balancer资金池中3250 ETH/160万UMA。Risk Labs称此举不会出售任何代币或删除ETH流动性,也不会更改价格,只会提升整个UMA代币的市场深度,让价格波动更小,滑点也更少。[2020/6/30]

交易细节上,由于在交易过程中交易确认时间较慢(可高达几分钟)以及交易费用较高等特点,也体现了以太坊的不足之处。

最重要的是,由于DeFi发展过快过热,很多投机者为了赚钱而快速上线,跟风发布项目,甚至赤裸裸的地模仿其他项目。代码世界的版权问题暂且不说,这些项目有不少都没有经过专业审计,更有甚者未经测试就急于上线,项目安全和大众的资金安全十分令人担忧。

金色财经: 诸多SushiSwap仿盘出现,是否有安全隐患或者技术风险?这些风险、漏洞为什么挡不住疯狂的用户?

CertiK联合创始人&CEO顾荣辉:未经审计的合约会有较高概率存在漏洞,进而成为安全隐患。并且由于当前DeFi挖矿热潮,未经过审计的合约中存在的漏洞会有极大可能被新出现的挖矿项目(仿盘)继承。为了让大家看的更清晰一些,以下我将对风险进行分类阐述。

一、智能合约风险

举个最简单的例子,就是写代码的时候出现失误。比如众所周知的YAM项目,将基本计算公式写错从而造成了不可挽回的局面。

针对智能合约相关漏洞,这里我用最近大火的几个项目举例:比如SushiSwap项目有重入攻击(reentrancy)安全漏洞;再比如SushiSwap的仿盘项目Yuno与Kimchi,拥有类似的“无限增发漏洞”,即智能合约拥有者拥有绝对的权利可以无限增发代币。这种情况下一旦没有外力限制,则有可能造成代币的疯狂发布从而代币通胀进而贬值。当然目前SushiSwap和Kimichi项目已经由Timelock进行管理,问题暂时得到了缓解。      

智能合约一旦出现问题并被恶意利用,则有可能影响LP (liquidity pool) 的资金安全。合约漏洞也可导致市场价格变动剧烈,如上文所说的YAM项目,短时间内价值从100$跌到了1$。无论哪种情况,对于大众投资者来说都是“血亏”。

二、其他风险

除了智能合约风险外,还存在但不限于锁仓折损风险、操作风险、交易摩擦风险以及私钥风险等等。比如对于普通用户来说,挖矿过程相对复杂,如果操作失误,资金会不慎丢失;对于散户来说,每一笔gas费用较为昂贵,并且有可能交付了几笔gas费用,然而交易本身还未成功。

至于这些风险为何依然抵挡不住蜂拥的用户:

首先,我想这种新型金融模式的出现,民众都普遍愿意“尝鲜”。其次,部分民众会有从众心理。特别是现在DeFi流动性挖矿的新闻铺天盖地地充斥这个圈子。当然这些项目最吸引大众的地方,还是他们短时间内能够获取的超高收益。这样惊人的收益率打破了数年来传统金融的固有年化收益局限。比如SushiSwap项目一开始最高APY(年化)为20000%,Kimchi一开始的最高APY(年化)为400000%。很多时候,利润率只要足够高,民众就有可能被利益蒙蔽从而忽略了其中的风险甚至宁可冒险也要一试。

金色财经:普通人想要参与,应该重点关注哪些指标来防止相关风险?

CertiK联合创始人&CEO顾荣辉:首先,每个人的风险偏好和资金实力不同。进入项目前,不妨先评估一下自己的风险承受能力。我想这是所有投资者在进入任何的项目前(不管是DeFi还是传统金融)都需要做的事情。而DeFi项目太过火热、出新频繁等特点,容易导致大众在短时间内忽略风险偏好的判断以及对风险承受能力的评估。

其次,用户应该在投资前尽量对项目进行调研,比如社区中媒体上不同的声音,是否有人对合约的安全性提出质疑。当然我们也要擦亮双眼去辨识消息的真实性。因为社会中各个群体利益不同,其中不乏有带节奏者。因此建议大家宁可多花时间观察清楚,晚一点“入场”,也不要贸然进入有风险的项目。

最后,如果有能力和精力,可以检查这个项目的合约是否有进行过专业审计。安全审计现在已经是高质量DeFi项目的标配。若项目没有被审计,对于用户来说,投资行为则要格外慎重;对于项目方来说,则需要找专业并且声誉好的审计公司进行审计。若项目被审计过,则需尽量了解审计公司背景以及其审计报告中的各项指标,其中包括但不限于:

安全审计的范围,方法,及结论

合约是否有漏洞或者安全隐患?如果有,需要了解这些问题的严重程度及可能影响

合约整体的代码质量

审计公司的专业性和独立性

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-0:947ms