急剧扩张的DeFi乐高安全堪忧,我们与从业者讨论反思ERC777与去中心化金融

谁该为 DeFi 安全负责?如何看待 CeFi 和 DeFi 的界限?

连续三个月遭受严峻考验的 DeFi 使得人们对其高速发展愈发担忧,甚至进一步引发了对监管、去中心化与 CeFi 的讨论。北京时间 4 月 15 日晚 8 点,Crypto Tonight 第四期节目「说透去中心化金融:DeFi 还好吗?」顺利开播,Yama 邀请了 6 位 DeFi 领域从业者与投资者,分享了对于 DeFi 安全事件的看法以及对 DeFi 前景的思考。本期节目的核心看点有:

  • UMA 创始人:Lendf.me、ERC777 标准开发者都应该对此次攻击事件负有责任
  • 曹寅:去中心化只是手段,开放、自由、去信任才是去中心化的目的
  • Tokenlon 增长负责人:ERC777 有很大潜力,不少其他 DeFi 协议也将支持
  • dYdX 战略负责人:DeFi 项目也可以考虑以营利为目的,公司的去中心化可以慢慢推进
  • IOSG 投资总监:应用端才应该是对安全负责的机构,审计公司无法完全承担风险

查看完整的节目视频可 点击此处 回看,以下是本期节目全程的文字记录,内容有所编辑。

defi

本期的 6 位嘉宾分别为:

  • Allison Lu,去中心化金融合约协议 UMA 联合创始人
  • Zhuoxun Yin,去中心化衍生品交易平台 dYdX 战略负责人
  • Lucas Huang,去中心化交易平台 Tokenlon 增长业务负责人
  • 曹寅 Cao Yin,数字文艺复兴基金董事总经理
  • Fiona He,投资机构 IOSG VC 投资总监
  • 缪凯 Gieno Miao,区块链支付平台 Lightnet CTO
defi

大家晚上好,早上好 ! 我是 Yama,非常开心今晚为大家主持。我们今晚讨论的是 DeFi 话题。本周大家都在讨论 DeFi。幸运的是,Lendf.me 被黑的加密货币被还了回来了。希望未来能变得更好。好的,我们接下来先欢迎六位优秀的嘉宾。大家先做个自我介绍。女士优先,第一位是 UMA 的联合创始人 Allison。

个人介绍

Allison Lu:我是 UMA 的联合创始人 Allison。UMA 是个金融合约平台,全称 Universal Market Access 代表让全球市场接入区块链 。UMA 在以太坊中构建了开源基础设施,包括 1) 去中心化的预言机服务; 2) 可以创建 ERC20 代币的金融合约设计,可以追踪一切的价格。在创建 UMA 之前,我在新兴市场贷款机构 Tala 负责信贷业务,之前还在高盛利率产品部门做过交易员。我毕业于麻省理工,拿到经济和金融学位。

Fiona He:大家好,我是 Fiona,IOSG 投资总监。加入 IOSG 之前在对冲基金和传统私募工作。IOSG Ventures 成立于 2017 年,是一家专注于区块链及加密货币的美元基金。我这边主要关注 DeDi 和 DeFi,以及有较好现金流的项目。IOSG 通过「构建技术及海外 Dao 社区+行业数据的研究驱动+产业链的贯穿布局」来构建早期的 Dealflow,在产业人才开始创业之前就已经与他们建立联系。IOSG 是 Polkadot Building Projects 的生态基金之一,也是众多知名项目 Cosmos、Coda、ChainLink 等项目的生态合作伙伴。在 DeFi 领域我们的布局有:Maker DAO、Kyber Network、Kava 和 DDEx 等。

Yama:感谢 Allison 和 Fiona 两位。我们的访谈第一次有了女嘉宾,你们不知道我有多开心!下一位是 dYdX 的 Zhuoxun。

Zhuoxun Yin:我在 dYdX 负责战略和运营,自 2018 年初就加盟了这家公司,是公司的二号员工。 我多数时间在考虑如何进入市场:应该怎样建设,怎样发布产品,如何接触目标客户。在加盟 dYdX 之前,我主要做的是帮助初创企业的成长,之前还在咨询公司贝恩工作过几年。

Yama:我是去年在瑰丽酒店 Dragonfly Capital 组织举办的峰会第一次见 Zhuoxun,好久不见,Zhuoxun 现在看起来好像成熟了些。下一位,请 Lucas 介绍下自己。

Lucas Huang:大家好,我叫黄为,也可以叫我 Lucas,现在在 Tokenlon 负责增长方面的工作。Tokenlon 是由 imToken 孵化的一个 DeFi 平台,目前主要产品是我们的去中心化交易所,也是以太坊上的主流 DEX 之一,除此之外我们还发行了 imBTC,目的在于将 BTC 的流动性带到以太坊生态。我大约是 2017 年中开始正式参与到该行业的,在加入 Tokenlon 之前在 Kyber Network,也是另一个主流的 DEX。

曹寅:我是数字文艺复兴基金的董事总经理,数字文艺复兴基金是爱沙尼亚电子公民计划的一部分。我们在爱沙尼亚、芬兰和上海都有工作人员,为加密企业提供名合规和战略咨询服务。我从 2017 年开始一直从事 DeFi 项目,是一些知名项目的天使投资人和顾问,包括 Loopring、Acala、Chainx 和 Dipole 等等。

Yama:我注意到自 4 月 19 号以来,你可能参加了三到四次有关 DeFi 的线上访谈。希望你还继续享受这个话题,能愉快合作。下一位缪凯。

缪凯:大家好,我叫缪凯,区块链及科技金融专家,现任区块链支付平台 Lightnet CTO;曾作为技术顾问参与推动使用区块链技术建立银行业金融监管沙箱及 Open Banking API 制定;曾历任微软、汤森路透、阿里巴巴、盛大、亚马逊、窝窝团等公司高级总监至 CTO,对电子商务、大数据及人工智能等领域有丰富经验。

讨论一:谁该为 DeFi 安全负责?保险机制有用吗?

Fiona He:今年以来我们看到频繁的 DeFi 攻击事件,比如 bZx,MakerDAO 和 Lendf.me。毫无疑问,我们能从这些教训中学习并成长的更好。幸运的是,我们看到 dforce 已经成功追回被盗款项。可是如果下一次没有这么幸运呢?谁应该最终为这些损失负责?是不是该用户自己负责?保险机制有可能为类似事件起到兜底作用吗?

Allison Lu:你谈到的几次攻击大不相同: Lendf.me 是因为安全和治理的问题 ,问题的起源是协议里加入了 ERC777 资产,而它们原本的协议只是为保障 ERC20 标准代币的安全而设计的。bZx 是一个预言机被操纵的问题 。MakerDAO 是 Dai 流动性被挤兑,再加上 ETH 网络阻塞的问题。

实际上,这三次攻击正是不同类型的攻击都会发生的完美例证 :a) Layer-1 共识保证和 Layer-2 协议之间的互动 ; b) 预言机被操纵或出错 ; c) 智能合约安全问题; d) 治理问题。

每个案例中都是多方的责任。Lendf.me 攻击中,根本原因涉及到 Lendf.me 的治理决策,在没能杜绝「可重入」漏洞的情况下接纳了 imBTC 作为抵押品;ERC777 代币发行方的责任在于采用了 ERC777 标准而没有具体规定代币分发给哪些协议。ERC777 标准的开发者声称 ERC777 标准向后兼容 ERC20,他们也有责任。

另外重要的是,协议的具体使用者。在 DeFi 生态中,我认为协议开发者和用户责任各半,但经济负担落到了用户身上。对开发者而言,我认为透明度、第三方审计和对相应技术非常深刻的了解,对于保障用户的安全至关重要。与此同时, DeFi 用户需要接受这些实验性技术所带来的额外风险,这也是 DeFi 领域收益较高的原因。如果开发团队保证为技术失误赔偿用户,用户就完全依赖团队的安全承诺,不去做尽职调查。如果用户愿意盲目信任开发团队的承诺,他们又何必选择去中心化产品,为什么不去选择完全中心化的服务呢?

Yama:谈到信任,无论 DeFi 还是 CeFi,很多方面是共通的。正好提到 ERC777,Fiona 可以和 Lucas 聊聊

Fiona He:有人称 ERC777 是 ERC20 的 2.0 版本,在 ERC20 的基础上增加了更多功能,看似更有优势。但近期与 ERC777 相关的 DeFi 安全事件将它推至风口浪尖。ERC777 究竟是否有安全隐患,而它究竟是否更有潜力?

Lucas Huang:ERC777 标准是基于 ERC-20 标准进行的功能扩充,在兼容 ERC-20 标准的基础上,增加了一些新功能从而提升用户体验。它是一种代币协议标准,不存在漏洞。

我们的确认为 ERC777 具有很大的潜力,它向后兼容,能够为特定交易降费提速,支持发送数据等。imBTC 的使命是通过友好的用户体验,将 BTC 的流动性引入到以太坊的 DeFi 生态中,而基于 ERC777 带来的新功能可以在保护用户资产安全的同时提升用户体验,基于这个考量,Tokenlon 选择了 ERC777 协议来发行 imBTC。

其实不仅仅 imBTC 采用了 ERC777 标准,PoolTogether 的代币,Augur v2 的代币都是采用 ERC777。Uniswap v2 和 Compound v2 也支持了 ERC777 代币。

Yama:Lucas 提到也是关键一点就是,Uniswap v2 和 compound v2 都 support 了 ERC777,但 lendf.me 用的是 compound v1 的代码。Allison 也提到:ImToken 的责任在于采用了 ERC777 标准而没有具体规定代币分发给哪些协议。ERC777 标准的开发者声称 ERC777 标准向后兼容 ERC20。

Fiona He:我想问问 Zhuoxun,最近,海外社区就是否 1inch 应该向警方公布黑客数据分成两派阵营并进行激烈讨论。你们是怎么看社区的讨论的?对去中心化的项目依靠中心化权力机构来追索被盗资金是怎么看的?

Zhuoxun Yin:关于这个问题比较广泛的观点认为,去中心化金融依然处于非常稚嫩的萌芽期,人们对安全的重视程度要远远超过传统服务。用户和团队都是如此。这种事情还会继续发生,用户逐渐会转移到经历过更多考验的平台。我理解 1inch 为什么那么做,但是我并没有深入思考这么做是对还是错。

但总体而言,这个插曲对 DeFi 不是件好事。我们不应该把去中心化和中心化实体理解成两个世界。他们需要和谐共存,才能打造一个成功的、开放式的金融体系——有些事情去中心化更好,有些事中心化更好一些。所以我觉得不应该搞错关注重点,这个问题更多关系的是我们如何尝试,未来让此类事件尽可能少出现。

Yama:谢谢 Fiona He 和回答问题的各位。接下来,我知道曹寅 4 月 19 号写了一篇关于 lendf.me 攻击事件的文章,引用了当年阿波罗 13 号那句著名的台词「休斯顿,我们有麻烦了」,来致敬 DeFi 的探险者。你能跟我们分享一下关于这些攻击事件的看法?

曹寅:我非常同意 Zhuoxun 的观点。我们可以根据 DeFi 协议中的各个功能性「要素」的去中心化与否对 DeFi 进行去中心化程度的评级,这些「要素」包括:account、custodial、price feeds、DEX(orderbook, settlement)、lending (margin calls, margin call liquidity, monetary policy)、development 与 code maintenance。

交易所方面的 OK 和 Binance、借贷平台方面的 Babel Finance、人人比特和 BlockFi 这些毫无疑问是绝对中心化的,但是在光谱的另一头,并不存在所有「要素」都去中心化的 DeFi 应用,因为至少 d 开发和 code maintenance 还是由开发者操作的。因此,DeFi 是相对那些所有要素和功能都中心化的「绝对 CeFi」而定义。

在以上要素中,有一些要素是社区默认 DeFi 必须具备的 prerequisites,包括无需许可的账户、非托管、在 DEX DeFi 中,清算应该是在链上的,因此可见,从用户角度来看,所谓的 DeFi 其实是指那些自由进入、无需许可、资产非托管、链上清算的金融应用,去中心化只是手段,开放、自由、非信任其实才是去中心化的目的。

其实在中国,一些中心化的金融平台,比如也在考虑利用 DeFi 的组建,提供更好的产品,让用户更好上手使用产品。这是值得尝试的组合。就连阿里巴巴最近也发布了「蚂蚁金服开放区块链」的产品,提供了中间件产品,也可以用于金融行业。你会看到,CeFi 和 DeFi 两个方向的团队都在努力尝试利用彼此的优势,包括对方的优势,提供更好的产品。我觉得这是好的迹象。

讨论二:如何看待 CeFi 和 DeFi 的界限?

缪凯:DeFi 领域内仍然有很多中心化的风险,比如运营 DeFi 项目的团队的中心化信用风险,包括涉及某些核心岗位人员自身风险等。目前看起来 DeFi 的安全性并不比最早门中心化的头沟丢币更好,请问大家如何看待 CeFi 和 DeFi 的界限?

Allison Lu:这是一个很有意思的问题,展示去中心化程度是呈现光谱图的特征,而不是黑白分明的二元对立。我同时认为,这也显示 DeFi 不仅仅是个单词,如果 DeFi 用户自己不认同它的意义,但这个词就毫无意义。比如,有些用户关注 DeFi 只是因为 DeFi 放贷收益高,或者借款方便,因为不需要完成「了解你的客户」KYC 验证。这对于 DeFi 的认知是非常片面的。很多骗局也把自己叫做 DeFi 项目,但根本没有向用户提供 DeFi 最基本的服务!我想 DeFi 最特别的,是让用户去信任,而无需验证。

中心化团队对用户会做很多承诺。比如,中心化交易所承诺用户会保障他们资金的安全和良好的流动性。用户知道他们在承担风险,但他们自己没法验证运营者是否可信。而在去中心化交易所 DEX,去中心化开发团队可能做出相同的承诺,用户自己只要看看真实的代码,管理好自己的私钥,就可以认定其资金是安全的。

那就是说,用户必须信任 Layer-1 公式算法是安全的以及处理交易的中心化矿工。如果用户无法自己验证代码,他们就必须信任中心化的第三方,例如审计机构对代码担保。如果用户有钱包,它也可能是中心化团队开发的产品。我认为所有这些领域的中心化是可以接受的,只要用户可以选择哪些部分可以信任,哪些部分需要验证。对用户来说,做尽职调查是关键,无论去中心化服务中有多高的中心化程度。

Fiona He:正如 Vitalik 说的那样,我们觉得现在 DeFi 做的越来越复杂,专注于做出简单并稳定运行的项目比较少,Uniswap 是其中一个很好的例子,去中心化程度非常高,它没有自己的代币,逻辑非常简单,就是代币的兑换,只有交易者和流动性提供者是平台的参与者。而当项目变得复杂,由于风控的难度和整个底层设施的成熟度不够,会导致部分项目牺牲去中心化来维持项目的运营。

我们觉得从安全性上来看,值得引起我们思考的是是否需要重新看待协议层未来价值?目前海外社区主流的思想还是 Joel Monegro 当初提出的 fat protocol (胖协议),但是我们看到协议层频频爆出黑客攻击,且这些协议对安全性仍然不够重视,大多数都会在网站上警示用户风险自担,不想承担任何风险。不同的协议未来仍然会在不同方向进行聚合和升级,在底层完善数据备份和安全审计,在面向用户的聚合应用层仍然是有较高潜力捕获价值。

单纯降低用户门槛肯定是远远不够的,这样的团队肯定会出安全的问题。只是降低用户使用门槛是不负责任的,最大的隐患还是数据安全。「胖应用」应该胖在安全和数据上,帮助用户来验证技术的安全性。协议层自己说自己是安全的有用吗?就算是有合约审计,审计公司也无法完全承担风险,应用端才应该是对安全负责的机构。

Zhuoxun Yin:它最终取决于我们企业的目标是什么。拿 dYdX 举例,我们考虑的是作为一家以营利为目的的公司,怎样是正常的。我们公司创建的目的是营利,这就是我们为什么从风投募资。因为这一点,我强烈认为重要的是尝试和打造新的产品,获取足够的前进动力,然后再重点关注去中心化的问题。这不是说我不信任去中心化,我肯定信任。但黑与白之间存在复杂的光谱,要取得进步需要作出一些牺牲。

我们认为当前最重要的是透明度和自我监护。团队自身的去中心化相对没有那么重要。多数人会赞同是团队在进行这些建设(如果有用的话),团队有理由赚到收入。所以我们非常重视在协议之外建设前端产品。这就是我们近期与社区分享的我们的商业模式。如果我们能打造出有价值的产品,人们愿意用,发现很有用,公司的去中心化可以慢慢推进。去中心化不是唯一目标。

Lucas Huang:CeFi 和 DeFi 的界限在于用户需要信任的是什么,CeFi 用户需要信任团队,而 DeFi 则依赖对代码的信任。问题里提到 DeFi 团队中心化信用风险,其实用户需要信任团队的话,那么从定义上也许不应该算做 DeFi。

完全的去中心化是很难一步达成的,我更喜欢把去中心化当作是一个方向,目前很多的 DeFi 项目其实也还是在往这个方向迈进的过程中。去中心化可以有很多的层面,例如产品技术,治理,资金等等。在项目的不同阶段也会有不同的去中心化需求。比如在产品技术上,早期往往是核心团队进行开发,寻找 product/market fit;增长期核心团队则会开始邀请社区开发者参与开发,后期核心团队则会逐步退出主导地位,完全交由社区进行迭代。治理上也是一样,比如最近 Compound 和 Kyber 都开始引入社区参与治理,但是他们在早期则是完全由核心团队进行决策。

曹寅:我是 lendf.me 的用户,我觉得这次大家都很幸运,黑客还回了被盗资金。这是个教训,通过这次事件,大家可以看到,DeFi 的协议多么复杂,并且,显然 DeFi 的发展进入了深水区。从用户的角度来看,我觉得用户在使用 DeFi 产品的时候,需要更加小心,要做风险评估。这种风险评估不仅仅关于代码或者技术层面被攻击的漏洞,还包括合规方面的风险。比如说,有人有可能会利用 DeFi 协议向一些被制裁的组织或个体提供资金支持,这样会产生合规方面的问题。昨天我们的朋友 Suji Yan 就做了一个尝试,通过 Dharma 新推出利用推特实现的美元支付功能,向伊朗副总统的推特账户转了 1 USDC。这笔钱数额不大,但实际上会产生关于是否合规的问题,有可能会导致美国政府对这样的 DeFi 协议采取行动。

缪凯:从我的角度看,我们一直在利用技术来实现一些目的。其实讲到 DeFi,「去中心化」并不是目的。只为了去中心化而去中心化意义不大,关键还是看去中心化的金融服务,是否能创造价值。比如说,DeFi 可以带来更大的透明度,但是目前在各种去中心化产品中,都缺少去中心化身份的服务,或许大家可以在这个领域做更多事情。

Yama:谢谢大家,我从这里学到了很多,因为实际上我一直在 CeFi 领域,对 DeFi 了解有限。确实,CeFi 的团队和 DeFi 的团队需要相互学习。在本期节目的最后,我想告诉我那些交易员朋友,去试试 dYdX 的比特币永续合约产品,另外,我也要去 Uniswap 试一下 UMA 的代币。Allison,UMA 代币是下周三推出,对吧?我想给 Allison 和 Zhuoxun 一点广告时间!

Allison Lu:谢谢这个机会。我不太清楚观众们对预言机是否了解。实际上,我们 UMA 团队最近刚刚推出了新的 DeFi 合约设计,通过引入清算者和争议者的博弈机制,实现了最小化预言机的使用,可在不需要任何链上喂价的情况下适当地抵押仓位。这是一种很巧妙的机制,包括清算和争执过程,允许交易对手通过识别不良抵押品而得到奖励。清算人可根据自己对链下价格判断,来考虑是否对头寸进行清算,而争议者一旦发现无效清算,则可获得奖励。因此只有清算有争议时才需要预言机,如果预言机返回的价格表明争议者是正确的,则争议者可获得来自清算人支付的罚款。相反,如果争议者被证明是不正确的,则争议者将丧失对清算人的保证金。

为了更好的进行治理和解决预言机争议的功能,我们将在 Uniswap 上线原生治理代币 UMA,这种治理代币可以充当系统治理和解决预言机争议的功能,还可以为无喂价合约解决争议,当发生合约争议时,UMA 代币持有者通过数据验证机制 DVM 投票达成共识发挥作用。

Zhuoxun Yin:我们非常兴奋看到这样新的预言机产品。在 dYdX,我们最近也推出了新的产品。dYdX 是基于以太坊的去中心化衍生品交易平台,我们本周刚刚推出了比特币永续合约,这个交易产品可以让用户用 USDC 计价,利用最高可达 10 倍的杠杆,进行比特币合约交易。这个比特币合约没有到期时间,以 USDC 作为保证金和结算,所有清算过程将在链上进行。我们希望通过该产品,让更多用户通过 DeFi 获得流动性。

在直播节目之外,嘉宾们还相互讨论了关于 DeFi 领域「合规」的问题。以下是直播节目之外,大家讨论的精彩观点:

Yama:监管是一个金融领域永远绕不开的话题,如何看待 DeFi 领域的监管?如果没有监管,谁会来保障投资者的权益?

Zhuoxun Yin:我认为监管是有帮助的,监管的存在是保护普通人。比如,在金融领域存在大量监管,是保障普通人在金融活动中不会被剥削。 宽泛的说,我同意监管是应该存在的,但不应该力度那么大 ,以至于遏制创新。比如,所有平台的创建是不对等的,它们也不能被对等信任——有些保护还是有帮助的。

很清楚的一点是,监管机构对加密领域采取的动作很缓慢,但他们肯定会介入的。考虑到 DeFi 近期发展的速度和规模,我认为 DeFi 慢慢也会进入监管清单。另外,DeFi 对采用其产品的个人也得担负一定的责任。必须向用户澄清这种技术仅仅处于试验阶段。任何人不能把毕生积蓄投入到这些产品中。如果发生损失,这是好事,因为整个 DeFi 领域可以吸取教训,可以更茁壮的成长,但对 DeFi 领域也是坏事,因为进一步加深了加密领域不安全的口碑。

我希望总体上我们能在 DeFi 的监管问题上更清晰。我们团队对自己进行的事情非常透明,在过去也和监管机构沟通过这些事。所以我们希望某种程度上有助于进行对话。

曹寅:监管也分成很多种类,经营前的业务准入监管,经营中的日常汇报性监管,以及出现纠纷之后的保护性和责任性监管,监管的目的也有所不同,不排除有的监管是为了保护金融垄断利益集团,但也有很多监管是为了保护用户。在目前,DeFi 仍然处于不成熟的早期,接受合理的监管,有利于保护用户,而且,DeFi 的去中心化和非信任化的目的就是为了避免中介机构的作恶,而很多金融监管的目的也是为了阻止中介机构作恶,从这点来看,监管和 DeFi 并不矛盾。

DeFi 社区内很多人反对接受任何监管和遵守任何法律,这是将 DeFi 意识形态化的表现,但是,DeFi 是一种 Service,用户的利益才最重要,而不是某些开发者的政治理想。Code is law, law is law also. (代码是法律,法律也是法律)

本文转载自,不具备任何投资参考,本文观点不代表真牛24财经立场。

https://news.huoxing24.com/20200426221723511685.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

微信
微信
移动端
移动端
分享本页
返回顶部