欧易OKEx
数字资产服务平台

以太坊DeFi生态迎来爆发期,但合约漏洞问题仍引人担忧

本期内容:

一周DeFi数据:ETH、EOS币价增长,DeFi锁仓总值达到12.9亿美元Andreessen Horowitz普通合伙人:区块链是可做出承诺的计算机以太坊去中心化交易所(DEX)的进化之路从Curve致命合约漏洞看DeFi的风险一周DeFi金句一周DeFi项目进展总结

据dapptotal统计的34个Defi项目的数据显示,当前Defi生态共计锁仓资金达12.9亿美元,较上周同比增长11.88%,其中Maker锁仓4.6886亿美元,占比36.35%,EOSREX锁仓2.9亿美元,占比22.49%。

而在锁仓量方面,当前Defi生态的ETH 锁仓量已接近403万ETH,增长有所减缓,可见近期Defi生态锁仓资金的增长,主要是由币价的上升引起的。

(多数Defi项目的锁仓金额较上周同比增长10%以上,主要是由ETH、EOS的币价上涨引起)

Andreessen Horowitz普通合伙人:区块链是可做出承诺的计算机

传统的计算机最终是由人们控制的,比如直接由个人控制,或者由组织间接控制。而区块链颠覆了这种权力关系,让代码负责管理。博弈论机制(即所谓的共识机制)使区块链能够灵活地对其底层物理组件进行修改,从而有效地使其能够抵抗人为干预。

结果便是,一个设计得当的区块链,其代码能为其运行提供强有力的保证。由此,计算机系统可真正实现自治,它们是由代码而非人类来负责管理的。

而作出承诺的计算机,在金融当中是很有用的。最著名的例子就是比特币,它做出了各种各样的承诺,包括总量永远不会超过2100万 BTC,这一承诺使得比特币变得稀缺,因此具有一定的价值。而没有区块链,这项承诺可能是由个人或企业做出的,那其他人就不太可能信任这种承诺,因为人和企业可以不断改变主意。在比特币问世之前,除了自然稀有的贵金属外,关于货币稀缺的唯一可靠承诺是来自于政府。

以太坊是第一个支持通用编程语言的区块链,它允许创建任意复杂且做出承诺的软件。基于以太坊的两个早期应用是Compound和MakerDao。Compound承诺它将充当一个中立、低收费的贷款协议,而MakerDao承诺维持Dai货币的价格稳定,这种货币可用于稳定的支付和价值存储。截至今天,用户已经在这些应用中锁定了数亿美元,这证明了其承诺的可信度。

像Compound和Maker这样的应用,可以做一些非区块链软件无法实现的事情,比如让代码来持有资金。这消除了除代码之外的信任源,并使系统端到端透明且可扩展。区块链应用可自主完成这项工作,而参与创建这些项目的每个人,他们都可以消失,而软件可以继续做它所做的事情,无限期地履行它的承诺。

……

区块链来得正是时候,互联网服务已经成为我们经济、政治和文化生活的中心,但用户与运营这些服务的人之间的信任正在破裂。与此同时,传统上依赖信任的金融等行业也抵制了现代化。

接下来的几年将是激动人心的,我们才刚刚开始探索这种新型计算机开启的思想迷宫。

以太坊去中心化交易所(DEX)的进化之路

当全世界都在等待以太坊2.0的时候,很多Layer 2解决方案已经可以为现有的PoW以太坊区块链提供帮助。

尽管当前以太坊DeFi生态的体验是很慢的,但它还是获得了成功。是的,Oasis或Compound的用户体验要比美国银行慢得多,但速度并不是DeFi优于其传统竞争对手的地方。同样,PoolTogether和Set协议不需要100 tx/s的性能,设计创新是依赖于DeFi的可组合性。

而去中心化交易所(DEX)则是不同的,到目前为止,DEX的成功可以归因于上述相同的属性,但对于任何交易者来说,速度仍然是最重要的因素,而在这方面,DEX要远远落后于中心化交易所。

去年秋天,有几支DEX团队推出了自己的扩容研究计划。

截至目前,以太坊生态当中主要有4种类型的DEX 扩容计划,它们的代表分别是:

UniswapIDEXLoopring0x & DeversiFi

在继续之前,我们先关于Layer 2扩容技术给出一个简单的解释,特别是rollup,这里用IDEX的说法:

“在以太坊平台上处理交易有两个关键成本:数据和计算。所有rollup解决方案都是通过使计算在链外处理,并将计算结果以Merkle根的形式推送到网络中来实现扩容的。”

本质上,rollup方案是在链外批处理成千上百笔交易,然后使用单笔交易在以太坊主链上进行更新。通过将签名验证和计算推离主链,rollup方案可减少主链上存储的交易数据大小。

虽然以太坊主链目前每秒只能处理10-15笔交易,但rollup却能够最多处理2000笔交易。

而Uniswap正与Optimism(原Plasma Group)合作探索Optimistic Rollup技术,其在大阪的Devcon大会上演示了demo版本的Unipig产品,当时的成果是每秒约200笔交易。

IDEX在去年11月份发布了2.0版本,它也是建立在Optimistic Rollup设计的基础上,但与Uniswap将所有集合交易的header信息发布到以太坊主网不同,IDEX的Optimistic Rollup方案,仅在对区块的有效性有挑战时才执行此操作,而这大大提高了速度,因为它对可聚合的交易数没有限制,但它确实会减慢取款速度,而且会更依赖于IDEX外部节点网络的安全性。

Loopring 3.0是以太坊主网上第一个,也是唯一一个上线的ZK Rollup DEX协议。相比optimistic Rollup的设计,ZK Rollup是对聚合的所有交易产生零知识证明,然后将其发布到以太坊主链。而Loopring选择的零知识证明,正是ZCash所使用的zkSNARKs, 在这种情况下,Loopring的外部节点系统向以太坊主链发布了一个proof,证明它已批量处理并执行了链外的有效交易。众所周知,使用zkSNARKs就意味着需要一次性的可信设置或仪式。

0x & DeversiFi都公布了zkSTARKs Rollup扩容解决方案计划。而zkSTARKs也是零知识证明的一种形式,但它与zkSNARKs不同,zkSTARKs不需要可信的设置,其理论上也可以扩展到最高2000 tx/s,但目前尚未经过测试,也就是说,这类方案短期是不可用的。

另外,像SNORKs、PLONK、SuperSonic、Halo和Marlin这些零知识证明方案,都可能会被引入ZK Rollup方案。

从Curve致命合约漏洞看DeFi的风险

尽管DeFi行业充满了希望,但我们需要时时刻刻提醒自己,这是一个新生行业,我们是在探索一个以前未知的领域,也因此,这段旅程有时可能是危险的,但也是令人兴奋的。

例如,DeFi项目Curve的合约就刚被发现存在一个致命的漏洞,它允许任何人耗尽智能合约内的资金,幸运的是,这一漏洞并没有被攻击者利用,项目方也及时地修复了它。

原文作者MICHAEL EGOROV写道:

“这一漏洞并不是能轻易捕捉到的,它隐藏在Curve算法的深处。根据尚未发布的白皮书,描述余额和不变量之间联系的主方程的解,是通过以下方法给出:

这一方法所有余额i的乘积不等于j,其中x_i是“流入”余额,而 x_j 是“流出”余额,如果所有东西都不包括“流出”余额(用于常数c),则用x_i乘以所有其它东西(第j部分除外)来计算乘积。

当我们把第i个资产换成第j个资产的时候,这是没有问题的,但如果i == j 呢?问题就来了。

当i==j不被考虑,并且将某个资产的交换提交到同一个资产中时,本质上是消耗了这个资产。任何人都可以做到。

那么,在这种情况下应该采取什么样的行动呢?

一种方法是宣布存在漏洞,让参与者迅速提取资金。然而,这可能会引起黑帽黑客太多的注意,然后他们会抢在用户前行动。

另一种方法则是以白帽的身份对合约进行攻击,将其抽干,并将资金带回到流动性提供者手中。但问题是,有些抢先交易机器人会寻找利润丰厚的交易(不仅是黑客交易,也包括套利交易),并自动执行竞争性交易。对于这种情况,目前没有什么好的解决方案。

除了要求所有有限合伙人(LP)提取或转移资金外,合约没有任何终止开关或升级能力(这可能会给公司太多权力)。

而私下联系所有的LP也是不可能的,因为Curve的增长是很迅速的。

在这种情况下,Curve决定部署一个新版本的合约,其中包含了更新更好的参数,以及其它良好的更改,但项目方没有在github上公开披露有问题的修复,或者至少在LP转移资金之前不应该这么做。

在部署新合约和UI之后,半数以上的资金在漏洞正式公布前就已进行了转移,其余的资金迁移则花了3天的时间。

总之,合约问题被修复了。而对于这一修复合约的审计工作,将在1月底进行。

尽管情况处理得很好,但对于未经审计的合约,你就要万分小心了,在审计发生之前,你只能存入你能够承受的损失。

Curve要感谢发现漏洞并帮助处理该情况的Sam Sun,漏洞奖励由Robert Leshner (Compound)、Lev Livnev、Julien Bouteloup (Stake Capital)以及Richard Burton提供。

一周DeFi金句

“告诉人们什么是DeFi是一回事,而给他们一些eth,帮助他们把它转换成Dai,然后让他们在DSR和Compound上实现,才是重点。” —— Bison Trails协议研究者Viktor Bunin

“几乎所有能存储你资金的DeFi智能合约都有一个管理密钥,如果这些管理密钥落入了错误的人手中,它们可能会被恶意使用。很难知道这些密钥是被如何保护的,而你应该知道这些信息,这也是我正在整理的工作。” —— Chris Blec

“想象一下如果以太坊 1.x用户群和以太坊2.0 分片群不能相处,ETH1.x和ETH2.0的价格将是一半一半,每一个ETH抵押头寸都会在这两个链上被清算,至少在其中一个链上的所有由资产支持的token(USDC等)都会归零。所有的Dai会消失,DeFi 也会消失。” ——Eric Wall

“DeFi存在着一个没有人在谈论的数据可用性缺口,以太坊的数据是公开的,但要从中获取数据是很困难的。即使对一个工程师来说,这项工作也很凌乱,很费时。” ——Covalent创始人Ganesh Swami

“你能让一家银行为1美元开个帐户,然后享受7.75%的年化利率,并且没有取款限制或罚款吗?这对于DeFi而言不是问题,而且是它最被低估的方面之一。” —— DeFi Pulse

“在这个问题上我知道自己是少数派,但每次看到有人说defi能让你实现无纸化贷款时,我还是会感到尴尬不安……” ——以太坊联合创始人Vitalik Buterin

总结

当前以太坊Defi生态的锁仓总值已超过了9亿美元,短期内,这一数据有望突破10亿美元大关,而其中最关键的因素其实还是ETH的价格,而随着DEX的发展以及Defi应用用户体验的改进,参与Defi的用户也会越来越多。然而,最近暴露出来的Curve合约漏洞问题,也给每一位参与者敲响了警钟,Defi固然看上去很美丽,但在早期阶段,你也需要量力而行。

猜你喜欢