DeFi 工具&避险篇：如何选择仪表盘分析平台 | 攻击和避免它们的方法

随着 DeFi 的总锁定价值 (TVL) 不断增长，现在提供 DeFi 数据的链上分析平台有越来越多的选择，所有这些都有望为区块链投资提供洞察力。然而，在没有任何工具的情况下将原始数据转化为有意义的见解是一项巨大的挑战。这就是 DeFi 仪表盘的用武之地。

大多数投资者和分析师使用数据来构建显示关键指标的仪表板。当涉及更广泛的 DeFi 数据时，而不仅仅是加密货币交易，它有自己的平台，如 Glassnode，有两种类型的工具：

固定形式的仪表盘：例如Nansen、Chainbeat、Token Terminal
自定义仪表盘：例如。Dune Analytics，Footprint

那么，你如何选择适合需求的平台？

固定形式的仪表盘

固定形式的仪表盘平台提供由专业分析师或平台创建的预制仪表盘。由于你不必创建自己的数据或导入数据，这些类型的平台非常方便用户快速了解数据趋势。另一方面，这些类型的工具缺乏灵活性。

什么是 Nansen？
Nansen 是 DeFi 最著名的分析平台之一。对于初学者来说，这是一个简单的即插即用解决方案，但缺乏让用户发现宏观见解的跨链能力。

如何使用 Nansen ？
1. 在 Nansen 中，你可以通过“代币上帝模式”选择代表其协议的单个代币。但是，你无法获得整个 DEX 行业的概览，因为该平台的分析逻辑是通过供应、持有者和交易等数据自行提供对单个代币的深入洞察。

2. 你可以使用图表显示选定的代币，但不能对多个代币进行跨链比较。虽然 Nansen 提供了一个名为“代币重叠”的仪表盘（仅比较两个代币），但要比较的维度是有限的。此外，Polygon 和 BSC 的跨链数据尚不可用。

3. 另一个有用的仪表盘称为“Dex Trades”，它通过不同的 dexes 提供两个标记地址之间的链上交易的实时更新。

4. Nansen 提供实时数据，仪表盘丰富（目前提供26个仪表盘）。但是，它的主要缺点是你无法比较同一类别下的不同协议。

什么是 Chainbeat？
Chainbeat 是另一个固定的仪表盘平台，在功能上与 Nansen 非常相似。但是，它具有更轻的设计。

如何使用 Chainbeat ？
1. 除了预制仪表盘，还可以为特定代币构建自己的仪表盘。只需提交代币的地址，并等待大约 30 分钟以导入数据。

2. Chainbeat 仪表盘包括一份概览和三份关于交易、用户和代币的独立报告。加载时间有待改进，单代币仪表盘仍然无法满足制作DEX仪表板的需求。

什么是 Token Terminal？
Token Terminal 专注于对 DeFi 协议的分析。它有多种市场选择（DeFi、借贷、交易所），是投资者的合适选择。

如何使用 Token Terminal ？
1. 要查看前 10 大 DEX 的市值，请选择“市场”部分，然后单击“交易所”。这只是Token Terminal 有用数据的一个例子。其他指标包括 TVL 和交易量。 Token Terminal 还提供收益指标，帮助用户更好地了解每个协议的增长情况。

2. 使用 Token Terminal，还可以将多个协议与任何选定的指标进行比较。该图表具有交互性且易于使用。

3. Token Terminal 提供了直观的用户体验，有一组很好的数据指标。它比在一页上构建具有不同图表的仪表盘的许多其他选项更好，而不是每次都更改指标。

定制仪表盘

什么是 Dune Analytics？
Dune 是一个 DIY 平台，提供链上数据和工具来构建你自己的仪表盘。你可以找到许多由 Dune 社区创建的成品仪表盘。

如何使用 Dune Analytics ？
1. Dune 鼓励用户在任何仪表盘中分叉查询，以简化为类似主题创建仪表盘的过程。用户可以通过添加来自其他仪表盘的不同查询来重新组织自己的仪表盘。

2. 要进行新查询，用户需要编写 SQL 查询 Dune 数据库中的数据。一种不太复杂的方法是查找类似的查询并更改查询参数。例如，你可以通过简单地分叉名为 Weekly DEX Volume 的现有查询，然后将时间段从“周”更改为“月”来进行月度 DEX 量查询。

3. Dune Analytics 的一大缺点是对于普通用户来说，分叉和编写查询非常复杂。对于那些缺乏 SQL 知识的人，他们只能在有限的修改下重组类似的查询。深入研究链上数据以找到自己的见解需要技术专长。

什么是 Footprint？
Footprint 是一种用于发现和可视化区块链数据的多合一分析工具。该产品旨在将用户放在首位——无论你是分析师、数据科学家、开发人员、学生、教师、高管还是业务用户。它提供了一个直观的用户界面，用于通过拖放进行交互式数据查询，就像强大的数据查询工具一样。

如何使用 Footprint？
1.Footprint专注于跨链数据，这意味着你可以对同一项目或行业进行跨链比较，以了解不同生态系统的增长趋势。

2.Footprint 提供了一种复制你感兴趣的仪表盘的类似方法。还可以轻松地在社交媒体上分享你的见解，无论是作为整个仪表盘的图像还是作为实时仪表盘的嵌入 HTML。

3. 相比 Nansen 和 Dune，Footprint 中的数据不是实时更新，而是每天更新。但是，这不会对大多数指标的相关性产生很大影响，例如 TVL。

总结

1. 如果只是想看项目、行业或类别的基本统计指标，Token Terminal 是最简单、最齐全的，有Revenues、P/E、P/S 等特殊指标。
2. 对于简单的token或者平台的分析，Nansen是个不错的选择（至少不用等）。
3. 对于那些知道如何编写 SQL 并想玩弄数据的人，Dune 提供原始数据和铁杆 DIY 平台。
4. 对于那些想探索链上数据，但不知道或根本不想编写代码的人来说，Footprint 是另一种容易上手的方法。

原文作者：Maxine

原文链接：How to choose an analytic platform for your DeFi dashboard

目前 DeFi 细分市场有两件事与众不同：它飙升至前所未有的高度；它监管不力，几乎没有人拥有资源或一些技术技能可以运行智能合约并吸引观众。这两个在该领域对攻击者过于有吸引力。

这些攻击究竟是如何发生的，以及如何保护自己？我们将研究机制并提供 DeFi 中最大攻击的示例，以便你了解需要特别谨慎的协议。

最短的 DeFi 概述

DeFi 可以访问基于区块链的金融服务，例如借贷和赚取利息。关键是 DeFi 具有包容性且无需许可——任何人，无论其公民身份、社会地位和信用记录如何，都可以利用。 DeFi 是去信任的，因为它在智能合约上运行——所有的条款和条件都事先描述过，用代码编写，现在无需人工干预即可执行。在这里你唯一可以信任的是协议团队编写好的代码的能力。反过来，这通常由审计和社区检查，因为大多数项目都是开源的。

但是，这如何为操纵留出空间？

攻击者如何利用 DeFi 的不安全性？

DeFi 中的黑客攻击是指有人利用协议的漏洞来访问锁定在其中的资金。以下是如何做到这一点的三个主要“策略”：

1.DeFi 项目的制作速度非常快，团队并不总是有时间彻底审查他们的代码。黑客利用这些漏洞。

2.DeFi 中的每个协议都有自己的机制来说明用户如何锁定他们的资金，以及他们如何获得回报。有时协议创始人看不到这些机制中的一些如何被滥用并成为大笔赚钱的漏洞。

3.一些团队故意制造问题——他们通过出售他们的股份和倾销代币来滥用他们在项目中的巨大影响力（社区没有注意到这一点）。

DeFi 中最常用的两种攻击方案

Rug Pull——在没有人预料的情况下提取流动性

在地毯式拉动中，业主或开发商突然从池中提取流动性，引发恐慌并让每个人都出售资产。基本上，这是一个退出骗局。创始人在项目中的股份越高，它就越可疑：地毯拉动正是 DeFi 中讨论的中心化风险之一。

这是从一开始的过程：创始人宣布了一个带有原生代币的新平台，该平台提供了一些很酷的激励措施。然后，该团队在像 Uniswap 这样的去中心化交易所上创建一个流动性池，其中代币与 ETH、DAI 或其他主要代币配对。激励用户带来更多的流动性，因为这将为他们带来高收益。一旦代币的价格上涨，创始人就会撤回他们的流动性并消失。

开发者持有大量股份并不是一件好事，但即使有，也有一种方法可以保护项目：开发者可以将程序设置为不允许他们在未来某一天之前退出的方式。这大大增加了对项目的信任。

闪电贷攻击——抽取和消除流动性

什么是闪电贷？它允许你在很短的时间内（在一次交易中）无抵押地借入无限量的资金。你必须在下一个区块被开采之前偿还贷款和利息，这在几秒钟内发生。如果你不偿还贷款，交易将无法结算，借入的资金将被从你身上拿走。

闪电贷的一个关键用例是套利：从不同平台资产的价格差异中获利。假设以太坊在交易所 A 上花费 2,000 美元，在交易所 B 上花费 2,100 美元。你可以借一笔价值 2,000 美元的闪电贷款，在交易所 A 上购买 ETH，在交易所 B 上出售，你的利润将为 100 美元减去 GAS 和贷款费用。

闪电贷的无限性质为漏洞利用铺平了道路。以下是闪电贷攻击的一般方案：

1.攻击者借用了价值 100,000 美元的 200 个代币 A（一个代币 A 价值 500 美元）。

2.然后，他在 A/B 流动性池中积极购买代币 B。这推高了代币 B 的价格，而代币 A 下跌，现在仅价值 100 美元。

3.当代币 B 飙升时，攻击者以 100 美元的价格将其卖回代币 A。现在，与最初的 200 个（价格下跌 5 倍之后）相比，他可以负担 1,000 个代币 A。

4.然而，攻击者仅在此智能合约中破坏了代币 A 的价格。闪电贷的贷方仍然以 500 美元的价格收取代币 A。因此，攻击者用他的 200 个代币 A 偿还贷款，并拿走剩余的 800 个。

如你所见，闪电贷利用了去中心化交易所的性质，而没有实际的黑客攻击。他们只是抛售 Token A 并移除池中相当一部分的流动性，这基本上是在窃取流动性提供者的资金。

2021 年的主要 DeFi 攻击

1.Meerkat 金融黑客

这是一个典型的拉地毯的例子，然而，表现得异常冷嘲热讽。 Meerkat Finance 是一种收益农耕协议，所有者甚至无法使用集合资金。在攻击前不久（项目启动后一天！），他们升级了协议以获得此访问权限，删除了所有 Meerkat Finance 社交媒体帐户及其网站，并以 1300 万美元的稳定币和 1700 万美元的 73,000 BNB离场。

2. Alpha Homora 闪电贷攻击

赌注在上升！在今年 2 月的 Alpha Homora 攻击中，3700 万美元被盗。这个借贷平台于 2020 年 10 月推出，最近升级到 V2 版本。在其中一个 Alpha Homora V2 池中，攻击者借入并借出数百万个稳定币，从而夸大了它们的价值，使攻击者获得了巨额利润。

3. EasyFi 私钥失窃

今年 4 月，基于 Polygon 的借贷协议 EasyFi 发生了最严重的 DeFi 黑客攻击之一。在一次黑客攻击中，网络管理员的私钥被盗，从而使攻击者能够获取公司资金。价值 75,000,000 美元的 300 万个 EASY 代币被盗。最重要的是，另外 6,000,000 美元的稳定币被从 EasyFi 的保险库中取出。

4. Saddle Finance 套利利用

这是我们名单上的又一次闪电贷攻击，这次特别说明了这一点。 Saddle Finance 是一种用于交易封装资产和稳定币的类似 Curve 的协议，于 2021 年 1 月 21 日 - 发布后的第二天受到攻击。通过执行一系列套利攻击，攻击者仅在 6 分钟内就获得了近 8 BTC 的流动性。这可能是由于池的智能合约中存在漏洞——攻击者将稳定币的价格拉得太长了，以至于一个价值 0.09 BTC 的代币被换成了另一个价值 3.2 BTC 的代币。

如何避免使用易受攻击的协议？

1.团队及其声誉。谁是创始人和开发者？团队是公开的吗？它曾经参与过任何值得信赖的加密项目吗？如果没有，这不一定是坏事，但应该引起关注。

2.访问金库。团队有吗？到什么程度？如果创始人在池中的份额太高，这不是好的信号。

3.对公司资金的多重签名访问。如果开发人员启用了对保险库的多重签名访问，并且团队外的某个人持有一些签名，这可能有助于防止地毯拉扯。

4.限时流动性。如果开发者将他们的资金锁定一年左右，用户可以放心，至少在这段时间结束之前，团队不会退出骗局。

哪些措施可以保护 DeFi 免受攻击？

1.随着 DeFi 的成熟，池中的大量流动性可能是降低闪电贷攻击风险的主要因素。

2.闪电贷最高限额不允许攻击。

3.智能合约的安全审计将清除易受攻击和错误配置的空间。

4.更好的监管将有助于不发布明知易受攻击的协议。

5.一些项目已经进行了社区漏洞赏金，帮助用户因发现协议中的漏洞和后门而获得奖励。

总结

DeFi 使用无需许可和无需信任的工具在短时间内提高可观的收入，从而彻底改变了金融。然而，它的众多漏洞经常被攻击者和恶意开发者利用。每次攻击都促使协议提高其安全性，这就是 DeFi 黑客如何帮助行业发展的方式。但在更安全之前，好好研究你计划投资的项目。把你的钱只放在你信任的地方，并记住总是存在一些风险。

原文作者：ChangeNOW.io

原文链接：DeFi Attacks And Ways To Avoid Them

—-

编译者/作者：洁sir

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。