EFI:DeFi上資產越多越怕“翻車” 保險開始成為“香餑餑”？

8月24日，“萬卉Dovey”在社交媒體上爆料稱，新的流動性挖礦項目chick被審計團隊發現留有合約后門，團隊可以隨時將合約中的資金轉走。

這正是火爆DeFi盛夏的一個真實縮影，在層出不窮的極高收益流動性挖礦項目面前，“年化1000%”、“萬倍漲幅”的吸引力往往掩蓋了“未經合約審計”的致命風險。在爆炸式增長的體量尤其是令市場參與者心動的“萬倍造富效應”之下，Fomo(Fear of Missing Out)情緒前所未有地蔓延。

自從uniswap等AMM類型DEX應用引爆市場以來，預言機、流動性挖礦、Yield Farming等諸多DeFi概念板塊交替接棒，一步步將市場情緒推向高潮。

Delphi Digital：12月參與加密游戲的獨立活躍錢包數量是DeFi的2倍多:金色財經報道，加密投資公司Delphi Digital發布了《2022年12月加密游戲綜述報告》，其中指出12月所有與加密游戲相關的代幣市值下跌至63.4億美元，跌幅達到約14%。不過，參與加密游戲的獨立活躍錢包數量是DeFi的2倍多，此外日均活躍唯一錢包地址數量基本保持在80萬個至90萬個之間。[2023/1/10 11:02:54]

截至2020年8月30日，整個DeFi世界中的總鎖倉量（TVL，即ETH及各類ERC-20代幣的總價值）已經達到93.8億美元，距離百億美元僅咫尺之遙，這可能也是人類歷史上首次實現近百億美元的資產直接明牌托管于一堆可嵌套的協議代碼之上。

而不斷膨脹的DeFi市場體量中，目前鎖定資產排名前三甲的分別為：

Visor Finance遭DeFi黑客攻擊 損失超820萬美元:金色財經報道，Uniswap V3流動性管理協議Visor Finance再次遭受黑客攻擊，黑客利用可重入漏洞耗盡了880萬枚VISR代幣，總損失約為820萬美元。盡管完整的報告尚未公布，但人們認為黑客利用該漏洞更改了獎勵合約的所有者，以便他們可以鑄造額外的vVISR獎勵代幣。Visor團隊分享了這次黑客攻擊的詳細信息，并指出他們發現了一個影響其vVISR質押合約的漏洞。該團隊補充說，沒有頭寸或管理程序面臨風險。該事件主要影響VISR質押者和代幣持有者，因為自攻擊以來VISR已下跌超過95%。為了補償用戶，Visor團隊宣布將根據黑客攻擊前拍攝的快照安排遷移日期。[2021/12/22 7:54:56]

Aave鎖定資產總價值16億美元；

Maker鎖定資產總價值14億美元；

Curve鎖定資產總價值13億美元；

市場的分化也在DeFi爆炸式增長中加速，除了Maker之外，Aave、Curve、Yearn幾乎都是后來居上的新秀，各種新設計與玩法規則的項目讓人眼花繚亂，甚至冰火兩重天。

DeFIL 2.0 在BSC上LP流動資金池突破1000萬美元:據最新鏈上數據顯示，DeFIL 2.0 已于BSC區塊高度#10525502正式上線幣安智能鏈，并同步開啟全部功能。截止2021年9月7日 13:30 （UTC+8），PancakeSwap上FILST-USDT($3.64M)、FILST-eFIL($2.44M)、DFL-USDT($4.10M)三個LP流動資金池超1000萬美元。平臺治理通證DFL最新報價為0.70USDT/DFL，FILST最新報價為7.74USDT/FILST。

注：DeFIL 2.0在BSC上的交互需要用戶在支持BSC的錢包應用中從以太坊切換為BSC網絡，并且在交易所購買少量BNB轉入錢包用作智能合約交互所需的Gas費用。[2021/9/7 23:05:50]

DEX類也開始逐步碾壓二線甚至挑戰一線交易平臺，就在8月30日，Uniswap 也再次達到一個新的里程碑——24小時交易量有史以來首次高于Coinbase，Uniswap 24小時交易量超過4.26億美元，同期Coinbase Pro 24小時交易量則為3.48億美元。

BZone聯合創始人Allen Feng：在Defi領域來說，整體Defi應該是為交易所賦能:由Lotus總冠名，金色財經、鏈上ChainUP主辦，BTSLabs、Vtrading協辦，深圳多家區塊鏈企業聯合贊助的金色LIVE在深圳首家區塊鏈酒吧BTCLOUNGE舉辦。?BZone聯合創始人Allen Feng在演講《圓桌論壇1：交易所乘風破浪的正確姿勢》中表示，

對于交易所來說，我認為面臨最大的挑戰，其實在Defi領域來說，整體Defi應該是為交易所賦能的，我們所說的挑戰，可能說針對于DEX和CEX這個去中心化交易所和中心化交易所的對比，它可能早期帶走了很大的資金流和流量，但是從我個人的角度來說，早期的時候我也會在去中心化交易所上去交易、買幣之類的，但是通過后續的體驗，交互成本越來越高，所以Dex和Cex在生態和技術安全上應該是互補的，中心化交易所應該持更加包容和擁抱的心態對待。[2021/3/17 18:54:15]

TrustBase中國區負責人爾爾：在波卡生態愈加豐富狀態下更看好DeFi領域:據官方消息，幣贏CoinW《共識52》第十五期《Polkadot的進化之路——奠定波卡生態繁榮的基礎設施》主題AMA中爾爾表示，

長期來看，我們知道DeFi這兩年之所以很火，主要是因為流動性挖礦帶來的流量引入。但事實上，目前的DeFi帶來流動性價值的同時也帶來了泡沫，一些真正的大方向，比如大數據、物聯網、VR和人工智能等主流產業還沒有與DeFi有機結合，形成“去中心化的供應鏈金融”。波卡生態已經有一些項目覺察到了這點并開始嘗試，包括TrustBase（我們自己把它稱作DeFi2.0）。我希望能夠在波卡國度看到這種更為宏觀的、全面的、建設性的DeFi，那將是未來社會影響力最大的領域。[2021/3/10 18:33:12]

但繁榮之下亦隱憂漸顯，急匆匆滾滾向前的車輪之下，亦埋藏了不少漏洞地雷，尤其是對多層嵌套的DeFi協議而言——各種 DeFi 金融工具結合成為常態，以自動化算法為驅動，價值雖然在整個區塊鏈網絡中能以更加迅速的方式流動，但也同時意味著任何一個單點風險都有可能引發“蝴蝶效應”。

尤其是在體量已經達到百億級別的同時，龐大的體量下任何一處細微的漏洞，都會造成不可估量的后果，甚至成為技術人才（黑客）的萬能提款機。

遠的就有今年上半年在15秒內通過“DeFi樂高”獲取數十萬美元的“bZx事件”。“攻擊者”利用bZx的“合約漏洞”，在一個以太坊區塊時間內（不足15秒）充分利用“DeFi樂高”——5個DeFi產品之間（dydx、Compound、bZx、Uniswap、kyber）互相的合約調用，在未曾動用自有資金的前提下，一環緊套一環，最終通過在漏洞間操縱價格，成功“套利”數十萬美元。

近的則有8月13日的“YAM漏洞事件”，短短24小時內價格和社區氣氛經歷了一場罕見的“過山車”，最終造成治理合約中75萬枚 yCRV 被永久鎖定。

與此同時，在所有的合約風險類型中，疏忽的合約漏洞如果算是無法避免的“概率性天災”，那惡意設計的騙局則是徹底無法避免的“人禍”，尤其是在沒有自帶合約審計的前提下，一旦用戶不加考察地將資產轉入，就無異于給“黑客“送錢。

有人揭露了最近的一個典型流動性挖礦圈套，該項目在用戶第一次授權時是給了staking contract，但它還進一步在第二次授權時要求用戶授權給他們轉賬權（transferFrom 函數授權）。

“要是沒看合約的，估計大部分韭菜就無腦授權了。這種情況下你把錢從合約里面拿走都沒用，需要手動取消授權，真的是殺豬盤中的殺豬盤，估計很多韭菜還死的不明不白”，包括文章開頭提到的流動性挖礦項目chick，后續就被發現團隊向合約中打的第一筆資金是通過Tornado cash匿名幣進行轉賬，也極大可能是從一開始做的一個局。

而在目前的火熱“挖礦”氛圍下，這種類似的騙局只多不少，因而看似狂飆猛進的DeFi，更像是將百億美元金山放在露天不設防環境下的“火中取栗”游戲。

作為托管著近百億美元資產的一堆互相嵌套的協議代碼，DeFi已經有足夠底氣去逐步承擔起變革的可能，在絕大多數的“區塊鏈”眼中，它也在一步步成為擁有無限可能的“希望之地”。

但它需要走的更加穩健，“希望之地”變成“萬惡之源”的，僅一線之隔。

在DeFi世界中，智能合約本身就意味著一切，而合約代碼中的任何一項漏洞都有可能直接造成致命的后果。不同于傳統世界中較為清晰的理賠邏輯與權責劃定，智能合約本身的保險嘗試則才剛剛起步。

以去中心化保險Nexus Mutual（NXM）為例，作為建立在以太坊網絡上的互助保險項目，NXM是目前區塊鏈生態中最先也是幾乎唯一一個相對較為成熟“智能合約保險”產品，目前總鎖倉價值在所有DeFi項目中排名14（7800萬美元），也是唯一上榜的去中心化保險項目。

作為以智能合約為保險標的的保險產品，NXM保險責任明確為“代碼的非預期使用（unintended uses of code）”。在具體的使用流程中，用戶通過需要先通過KYC成為會員后方可以支付對應的DAI、Ether 或NXM購買該保險產品（如果用 DAI、Ether 支付，系統后臺會自動將它們兌換成 NXM 代幣支付）。

其中90% 的NXM用于購買保險后銷毀，剩下 10%，當指定的智能合約遭到黑客攻擊時，投保的會員可以進行索賠從而挽回損失，如果不索賠，則會返還給用戶。

“bZx 事件”也是 NXM理賠通過的典型案例，初步自證了NXM這類去中心化保險在防范用戶表智能合約風險方面的有益嘗試。

不過目前DeFi領域的去中心化保險，相較于已經頗為成熟的傳統保險業態，還處在一種探索的早期階段——索賠事件發生后需要進行索賠治理，但在去中心保險中，結合代幣治理模型，索賠請求恰好與擁有決定是否進行理賠權力的持幣人站在利益對面。

仍是以NXM為例，至今為止26起相關的索賠，成功索賠的只有3例。“fhrp”就對此一針見血，“賠不賠是持幣人投票決定的，你買了保險，車撞了讓保險公司的股東來決定賠不賠？那答案當然是不賠咯”。

而且從嚴格意義上講，NXM的理賠付款更偏向于由象征性的經濟激勵措施強制執行，和傳統的保險公司理賠兜底仍有很大區別。

不過在體量催生下，大家也逐步把越來越多的目光投到去中心化保險需求上，YFI在近期也宣布正式進軍DeFi保險領域，相信未來一定也還會有更多新的保險機制涌現出來。

對于黑客而言，托管于代碼之上的百億資產不啻于一座裸露在他們面前的金礦，而對DeFi即將到達的遠方而言，百億美元只是起點，誰將為接下來無限可能的DeFi世界保駕護航，讓我們拭目以待。

Tags：EFIDEFDEFINXMDEFI SJustDefiCredefiwNXM幣

FTT