LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 区块链资讯 > 2020年上半年,DeFi世界重要项目开发进度回顾,及所受攻击一览

2020年上半年,DeFi世界重要项目开发进度回顾,及所受攻击一览

2020-06-18 洁sir 来源:区块链网络

如果你问我,过去一年在区块链行业哪里能看到最多的创造力。答案当然是去中心化金融 DeFi。


DeFi项目在去中心化的区块链网络上部署合约,并根据编码规则进行金融服务。每个项目都可以看作是一个开放透明的金融机构,或者我们称之为“银行”。

这些“银行”中的每一个目前仅雇用几至20至30名员工。但是,他们的“储蓄余额”增长迅速,到2020年第一季度总计超过10亿美元。即使在2020年3月历史性的市场动荡之后,现在也已迅速恢复。用户数量也从零一直增长到了5万至6万。


对于传统金融世界来说,这听起来可能不是一个很大的数目,但请考虑区块链金融仍处于早期阶段。在全球60亿人口中,估计只有2000万左右拥有任一加密货币的人。


让我们看一下2020年上半年这四个代表性项目的发展情况,回顾Defi世界中要解决的问题,并从本质上讨论,去中心化金融可以为传统的中心化金融(Cefi)带来哪些变化。这四个项目都涉及贷款业务并在以太坊(ETH)区块链网络上部署了智能合约。

一月

“ 15秒钟贷款”-Aave Flash贷款上线


在传统金融中,银行通常通过调查你的信用状况或要求你提供抵押品来向你提供贷款。有了快速贷款,这些都不需要。即使你在传统世界破产了,也可以从Aave之类的“银行”借钱。

银行如何保证你可以先还钱?答案是,你需要先偿还这笔钱,然后才能在银行系统上记录下一个分类帐。否则,系统将宣布借入自身以及你用钱进行的操作无效。无论如何,钱和你的操作都只在网络上,这只是系统日志。


这里提到的“银行”都使用以太坊网络作为其基础分类账系统。平均而言,注册一个块并记录一系列交易大约需要15秒。因此,这大约是15秒的贷款。


15秒的贷款可以做什么?


数据显示,许多用户将其用于套利或债务再融资。“快速贷款”已经运作了一段时间。在二月份,由于一次袭击,他们突然变得众所周知。有人在称为bZx的杠杆交易协议中发现了一个漏洞,在该协议中,跳过了检查最新价格并查看是否有足够的保证金的步骤。这样,可以使用相对较少的金额作为保证金来操纵市场价格。

简而言之,黑客首先从另一个提供快速贷款的项目中借了一大笔钱(可以被视为以太坊网络上的标准货币)。它的一部分用作抵押换为WBTC的不太流动资产的抵押品。另一部分是上述问题平台,其作为杠杆购买WBTC的保证金,推高了其市场价格。然后,攻击者以较高的价格卖出了他先前抵押品WBTC,还清了快速贷款,并获利了。


接下来,他人为地抬高了商品价格,然后以更高的价格出售以偿还贷款。在15秒内,他赚了360,000美元,然后消失得无影无踪。

二月

“受保护彩票” — PoolTogether获得投资


PoolTogether项目提供了一个游戏:可以支付1美元购买彩票,并保证在几天后,这笔美元会退还给你。这样的彩票能赢得什么奖品?所有已售票的总金额将存入银行以赚取利息。当抽奖的日子到来时,将利息分配给随机赢家。


如果你在街上遇到了这些人,可能会担心他们是欺诈。但这就是区块链的世界。PoolTogether会以开放源代码的形式自动执行此彩票逻辑,从而使每一步透明化并受到所有人的审查。

可以使用数字“美元”在线下订单吗?是。他们集成了稳定币DAI(MakerDao)和USDC,它们与实际美元1:1挂钩。

数字银行是否可以实时存钱,产生利息并提供存款证明?是。他们与Compound(一个提供存款和贷款服务的DeFi明星项目)集成。


PoolTogether还使用交易商Uniswap提供货币兑换服务,使用Aragon DAO协议进行审计,并且他们计划与Chainlink集成,以提供更好的随机数来选择获胜者。


这意味着什么?就像摩根大通的电子支票系统,富国银行的存款服务系统,花旗银行的外汇服务以及四大会计师事务所的审计服务……都欢迎你。自由连接。他们为你的项目提供支持,并告诉客户每笔交易的来龙去脉。


在传统世界中,基本金融服务实际上是垄断的。在区块链世界中,它们现在被部署为现成的模块,每个模块都像构建块一样,或者以Defi项目的形式为你提供“金钱乐高积木”式服务,让你站在他们的肩膀上,将有限的资源投入到最有创意的工作中,并为所有人提供各种金融服务。

三月


“以 0美元买入ETH” — MakerDAO破产


MakerDAO项目涉及“抵押贷款”的逻辑。同样,在现实世界中,如果你抵押房屋,则可以根据房屋价值以折扣价借入现金。本质上或更接近的是传统金融中的回购产品。即你使用诸如股票,政府债券,黄金和商品等流动资产作为某种形式的抵押来借入现金。


在MakerDAO中,可以抵押数字货币(如ETH),并根据市场价格进行折扣,以获得项目自己的称为DAI的美元稳定币。每个DAI的目标价格为1美元。为了防止抵押品价格下跌太多而又不足以偿还贷款,制定了清算规则:如果以太坊市场价格跌至一定水平,你不添加抵押品或不及时偿还贷款,就会失去抵押。然后,系统允许其他人拿走并拍卖出去以偿还贷款。


在黑色星期四之前,该系统运行了相当长时间。 3月12日,以太坊价格暴跌,触发了一些抵押品拍卖过程。最终,以 0美元的价格拍卖了约400万美元的ETH。


什么地方出了错?


如果我们仔细研究以上产品规则的说明,则此类抵押贷款产品需要特别注意三个要点。


首先,“市场价格”——如何确定市场价格,或在区块链中被称为预言机。例如,规则说,如果以太坊跌至$ 120,将失去抵押品。但是谁来定义以太坊目前的价格是121美元还是119美元? MakerDAO使用多个数据源的中值通过区块链网络传输价格。但是,在市场崩溃期间,整个网络都拥挤不堪,市场价格无法及时传输更新。


第二,“拍卖”,即抵押清算的机制。 MakerDAO的抵押清算机制存在几个问题。


一个问题是,项目本身发行的DAI必须在拍卖期间用于购买抵押品,而DAI的流动性却在市场动荡期间枯竭。 DAI 起初没有太多的市场流动性。然后,在崩溃的恐慌中,没有人愿意承诺ETH制作新的DAI。相反,大量DAI贷款被退还,导致整个市场DAI流动性枯竭。最初的目标是按1:1兑换美元,但那时价格升至1.12美元。


第二个问题是区块链清算中使用的拍卖机制的设计:拍卖从0美元开始。在以太坊区块链上提交拍卖价格,如果没有人在10分钟内出价更高的价格,你将赢得拍卖。当时,网络很拥挤,在以太坊上发布交易的费用至少比正常情况下高10倍。因此,支付正常费用参加拍卖的用户无法及时提交价格。


于是,有人支付了相对较高的佣金,提交了0 DAI的成功竞标价格,购买了近400万美元的ETH,当然现在价值更高,整个系统破产了。


第三,“抵押品”——该“银行”是否可以保证对你投入的抵押品的安全保管。 MakerDAO目前没有任何问题。但是接下来,我们将介绍针对它的攻击。

四月

偷窃却归还— Lendf.Me失窃了2500万美元


4月19日,去中心化的借贷项目Lendf.Me遭到黑客攻击,黑客将该项目的所有资产总计近2500万美元洗劫一空。当然,非常引人注目的是,黑客后来归还了所有钱。


他是怎么做到的?简而言之,它始于Lendf.Me的“供应”抵押品余额更新设计。当你想去该“银行”存钱时,系统会记录你的簿记注册方法。在存款柜台,你的帐户余额计算如下:(圆圈中的数字为示例)


在提款柜台,帐户余额的计算方式如下:


但是,在存入资金时,人们认为最好将其与其他一些操作混合使用。例如,在确认存款之前,首先要去反洗钱中心,以确保钱来的地址不是抢劫银行的人的地址。因此,Lendf.Me在网络上采用了改进的标准,并在与原始逻辑兼容的基础上支持调用外部操作。


让我们解决一个问题:你的帐户以5美元开始,然后你到存款柜台存入1美元。在此过程中,跑到提款柜台并取出2美元。最终余额应该是多少?


结果是Lendf.Me最终仍然注册了6,我们知道答案应该是4。但是在整个过程中,即使提款柜台注册了提款操作,最终确认仍在存款柜台进行,只是告诉我们其计算方法是:存款时的余额+存入的钱。因此,5 + 1 = 6。

存入和取出资金的单独处理没有问题。但是,当一起调用并且没有防止恶意行为的逻辑时,这就是问题所在。黑客利用了这一优势,并不断拿走这家银行的资产,直到钱全部用光。
尤其令人遗憾的是,这种黑客方法(我们称为“重新利用”)早已在以太坊中发生。甚至在袭击发生的前一天,人们就已经看到了漏洞并提醒了团队。不幸的是,它的处理效果不佳。
当然,之后黑客非常戏剧性地退还了这笔钱。但这并不是因为某些特殊的魔术,而是因为黑客的身份被泄露了。


顺便说一句,可用于外部呼叫的此改进是以太坊称为ERC777的代币标准与ERC20代币标准之间的关键区别。 ERC20是过去两年人们一直在听说的“ ICO”泡沫中大多数代币采用的标准。每个人都使用相同的API标准。无论添加了多少新资产以及每种资产代表什么,访问各种服务提供商(如钱包,交易所等)都变得非常简单。它为开放金融提供了很棒的东西——标准化。

作者简介:作者是Matrixport高级副总裁兼借贷和支付主管林荣。她曾担任德意志银行全球市场部副总裁,专门研究FICC(固定收入,货币和大宗商品)的结构性衍生产品,还担任过蚂蚁金服的高级经理,她是其跨境汇款网络区块链的核心领导成员。

原文链接:https://medium.com/@Matrixport/a-quick-walkthrough-of-1h2020-major-defi-development-and-attacks-32786d19f843

—-

编译者/作者:洁sir

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...