DeFi的火爆已持续了一年之久。去年夏天,以太坊链上的去中心化借贷协议Compound针对其治理代币创意性地发起了流动性挖矿计划,市场反响热烈,协议锁仓量在短短一周内翻了数番。随着更多项目纷纷效仿,这股名为DeFi的浪潮自此正式掀起。作为DeFi浪潮的起点,借贷协议在整个链上金融体系的建设中一直发挥着至关重要的基石作用,为上层应用的运转提供着稳健的资金通融、周转服务。OKLink数据显示,截至6月30日18:30,锁定在以太坊生态DeFi之内的资产总价值约为700亿美元,TVL排行前五中,借贷协议占据了三席。
客观来说,借贷赛道在过去一年里已经历了相当大的发展,头部项目在不断尝试优化迭代,主打特定概念的新项目也陆续上线,市场整体的服务质量较去年夏天已有了显著提升。然而,一个长期困扰着整条赛道的关键问题却迟迟未能得到有效解决——资金利用效率不够理想。由于加密世界暂时仍缺乏较为成熟的信用体系及配套的清偿体系,所以当前市面的借贷协议基本都会采用“超额抵押模型”。同时,因加密资产本身存在着较大的波动性,为了保证协议的稳定运行,项目方往往会设定较高的最低抵押率和清算门槛,这就造成了一个问题——贷方在资金利用效率并不理想的情况下,还需要承担较高的被清算风险。以前文提到的老牌借贷项目Compound为例,该协议要求的最低抵押率及清算门槛均为133%,这就意味着贷方如果想要借出100美元的某种资产,必须以价值至少为133美元的资产作为抵押品,且一旦贷出资产与抵押品之间的价值比率跌破133%,就将面临被清算的风险,整体资金利用效率并不理想。好在DeFi内部的创新从未停歇。近期,Solana了公布其黑客马拉松活动的获奖名单,一款名为Apricot的借贷协议获得了东亚赛区头名,在查阅Apricot的相关资料时,我们留意到了Apricot的一些关键参数——低至120%甚至是110%的最低抵押率要求,低至110%甚至是103%的清算门槛,以及低至1%的清算惩罚,这些数字要远低于Aave、Compound等老牌协议的当前标准。
Beosin:BSC链上的gala.games项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BSC链上的gala.games项目遭受攻击,Beosin分析发现由于pNetwork项目的bridge配置错误导致pTokens(GALA) 代币增发,累计增发55,628,400,000枚pTokens(GALA),攻击者已经把部分pTokens(GALA) 兑换成12,976个BNB,攻击者(0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1)累计获利约434万美元。Beosin Trace追踪发现被盗金额还存在攻击者地址中。
第一笔攻击交易:0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e
第二笔攻击交易:0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]
安全团队:获利约900万美元,Moola协议遭受黑客攻击事件简析:10月19日消息,据Beosin EagleEye Web3安全预警与监控平台监测显示,Celo上的Moola协议遭受攻击,黑客获利约900万美元。Beosin安全团队第一时间对事件进行了分析,结果如下:
第一步:攻击者进行了多笔交易,用CELO买入MOO,攻击者起始资金(182000枚CELO).
第二步:攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑,攻击者抵押了价值a的MOO,可借出价值b的CELO。
第三步:攻击者用贷出的CELO购买MOO,从而继续提高MOO的价格。每次交换之后,Moo对应CELO的价格变高。
第四步:由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断,导致用户之前的借贷数量,并未达到价值b,所以用户可以继续借出CELO。通过不断重复这个过程,攻击者把MOO的价格从0.02 CELO提高到0.73 CELO。
第五步:攻击者进行了累计4次抵押MOO,10次swap(CELO换MOO),28次借贷,达到获利过程。
本次遭受攻击的抵押借贷实现合约并未开源,根据攻击特征可以猜测攻击属于价格操纵攻击。截止发文时,通过Beosin Trace追踪发现攻击者将约93.1%的所得资金 返还给了Moola Market项目方,将50万CELO 捐给了impact market。自己留下了总计65万个CELO作为赏金。[2022/10/19 17:32:31]
依照Apricot给出的协议参数,如果该协议真的能够稳定运行,那无疑将大大整个借贷市场的资金利用效率,这不禁让我们好奇,Apricot究竟是何方神圣?其设计又有哪些独特之处,才能如此大幅度地优化整体参数?Apricot的关键词:清算效率
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
在回答Apricot相关问题之前,我们需要先行解答另一个问题——为什么早期借贷协议需要设置那么高的最低抵押率呢?即便是采用超额抵押模型,理论上只要最低抵押率高于100%,那么就有机会通过清算来及时处理掉潜在的坏账,为什么一定要设置到130+%呢?原因其实就在“及时”这个关键词上,最低抵押率的设计需要考虑潜在的后续清算可能,因此该数字必须不低于清算门槛,而清算门槛的设置取决于能否为清算执行留下充足的缓冲空间,确保系统不出现坏账。以Compound为例,该协议的最低抵押率和清算门槛均为133%,133%-100%之间的这33%,就是Compound在综合考虑了协议本身的清算效率后留出的执行缓冲空间。理论上,清算效率越高,协议对于缓冲空间的要求也会越低,清算门槛也就可以设置的比较低,继而也可设置较低的最低抵押率,提高协议的资金利用效率。当前,大多数借贷协议提高清算效率的方式是以较大的清算惩罚力度作为清算人激励,但这并非长久之计,因为受损的将是贷方的利益。Apricot想要做的事情,正是在不采取过激惩罚的前提下,通过优化协议清算机制来实现更高的清算效率。在Apricot看来,两大因素限制了早期借贷协议的清算效率:底层网络性能以及协议清算机制。第一大因素是底层网络性能。当前大多数头部借贷协议的主要底层均是以太坊,DeFi的繁荣大大增加了以太坊的链上总交易量,这反过来又造成了网络的持续拥堵以及链上操作成本的水涨船高,在市场剧烈波动期间,状况会更加严重,如果不主动大幅提高gas费用,交易往往需要几分钟甚至几小时才能被确认。Apricot认为,以太坊网络当前的性能状况在很大程度上限制了链上借贷协议的清算效率,因此Apricot选择了性能更加出色的新一代公链Solana作为底层,基于Solana更高的TPS以及瞬时确认能力,Apricot的清算交易总是能在数秒内完成,系统整体的清算效率得到大幅提升。与此同时,由于不担心清算交易被卡死,清算人无需顾虑在交易确认期间的市场波动风险,因此Apricot也没必要设置过高的清算惩罚作为激励。其清算惩罚参数可设置为1%,远低于当前市场的平均水平。第二大因素则是协议本身的清算机制。当前,主流借贷协议所采用的清算机制基本都是以一定的折扣价格来吸引第三方清算人参与违约债务的抵押品拍卖,但在单边极端行情下,难免会出现清算人不愿参与协议清算的特殊情况,仅仅依靠外部力量仍无法保证协议能够及时清算掉潜在的坏账。出于这一顾虑,Apricot在常规拍卖清算之外又加了一层保险——ApricotRescue。ApricotRescue可以理解为Apricot自身为极端情况而设计的自动清算机制。其启动不受任何主观因素干预,当触发两种特殊条件时会立即执行清算——条件一是债务抵押率跌至103%;条件二是某债务在低于一般清算门槛两个小时后仍未被第三方清算。当ApricotRescue被触发后,Apricot本身将作为清算人介入,以与第三方清算人相同的1%折扣购入抵押品。此后,Apricot将可以选择在市场上立即将购入的抵押品卖出,也可将这些资产积累至一个特定的清算资产池内,并以池内资产价值为支撑发行一个特殊的坏账处理代币——COT。COT代币本身也将作为投资工具向外开放,任何人都可以自由买入或赎回COT,在某种意义上,这意味着Apricot协议的清算折扣红利将向整个市场开放。值得注意的是,COT并不是Apricot协议的治理代币,只是ApricotRescue资金池的坏账处理代币,专用于协议治理的还有另一个代币APR。针对这一点,Odaily星球日报特地询问了Apricot为何要采取双重代币模型,Apricot方面的回答是:“双重代币模型可将坏账的处理做到相对独立,保证坏账处理产生的风险不会对APR产生较大影响。其次,COT的独立能够使得用户能够更加容易的投资坏账产品,并对投资价值进行追踪。最后,Apricot在未来有成为DeFi世界的坏账处理平台的长期愿景,COT的独立能够为实现这个愿望进行前期的铺垫。”另外一个很有意思的点是,除了常规清算机制之外,Apricot还为用户提供了一种特别的链下增值服务ApricotAssist,贷方选择该服务后,工作人员会在其债务抵押率接近110%时介入并进行清算,由于这一路径的清算执行事先都已有了约定,不会产生清算受阻的风险,所以也不会收取罚款。
安全团队:LPC项目遭受闪电贷攻击简析,攻击者共获利约45,715美元:7月25日,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,LPC项目遭受闪电贷攻击。成都链安安全团队简析如下:攻击者先利用闪电贷从Pancake借入1,353,900个LPC,随后攻击者调用LPC合约中的transfer函数向自己转账,由于 _transfer函数中未更新账本余额,而是直接在原接收者余额recipientBalance值上进行修改,导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD,最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC,攻击者共获利178 BNB,价值约45,715美元,目前获利资金仍然存放于攻击者地址上(0xd9936EA91a461aA4B727a7e3661bcD6cD257481c),成都链安“链必追”平台将对此地址进行监控和追踪。[2022/7/25 2:36:51]
未来,零抵押借贷
6月22日,Apricot的基础借贷产品成功上线了测试网,目前提供了BTC、ETH、USDT、USDC、SOL等五种代币的借贷服务。
慢雾:Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息,Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析,攻击者(0x0d0...D00)获利超 1 亿美元,包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊链攻击者将大部分代币转移到两个新钱包地址,并将代币兑换为 ETH,接着将 ETH 均转回初始地址(0x0d0...D00),目前地址(0x0d0...D00)约 85,837 ETH 暂无转移,同时,攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]
根据官方路线图规划,基础借贷产品的主网版本有望在今年第三季度内上线,同一季度内,Apricot还将针对特定需求做出一些场景化创新,推出固定利率借贷、智能合约式高频借贷等两种新产品。固定利率借贷的热度正随着DeFi的深化而攀升,此类产品主要迎合的是那些更为保守的资金,他们宁愿放弃更大的收益机会,更注重的是投资收益的可预测性。当前,市面上已出现了YieldProtocol、88mph、Notional、Barnbridge等多款主打该概念的协议,Apricot所推出的这一产品则更加灵活,即允许用户自由设置贷款条款,除固定利率外,还支持设置贷款期限、抵押比率等等,平台会根据这些设置来自动匹配借方和贷方。智能合约式高频借贷其实可以理解为大家都很熟悉的一个名词——闪电贷。Apricot推出的这一产品可允许用户通过智能合约来编写一整套交易逻辑,在同一个区块内打包确认,进行执行一些复杂的交易逻辑,把握稍纵即逝的套利机会。而在现有路线图的终点,也就是第四季度,Apricot将在“提高资金利用效率”这条主线上继续创新,试着跳出超额抵押模型,推出部分抵押甚至是零抵押的全新借贷产品。虽然该产品的细节暂时仍未公布,但Apricot在白皮书中的描述,这类产品将只会向已经在平台内存有大量资金或是参与过平台治理的高信誉用户开放。通过“信誉”这个关键词,我们可以看到Apricot已有意探索DeFi“信用贷”这一全新领域,考虑到距离第四季度已越来越近,未来Apricot有可能成为市面上首批跑通的零抵押贷款项目之一。
借贷协议,或许只是第一步
统观Apricot的产品构架,可以看到Apricot一直在围绕“提高协议资金利用率”这条主线发力,其设计也为整条借贷赛道提供了一条全新的清算思路,有望引领行业的清算模式革新。与此同时,在一些分支产品上,Apricot则遵循了“需求导向”的原则,ApricotAssist、固定利率、高频借贷均可满足不同群体的切实需求。借贷赛道的业务逻辑相对简单,项目方们比拼的就是谁能更好地满足大部分用户的基础需求,以及能否满足小部分用户的特殊需求,Apricot显然清楚地认识到了这一点。Solana生态正值起步阶段,生态之内尚没有任何一款借贷协议已打下牢固的护城河,有着天然资金利用效率优势的Apricot有望抢先占据市场,力争成为该生态的头部借贷协议。展望远期,前文曾提到过Apricot团队的这么一句话——“未来希望成为整个DeFi世界的坏账处理平台”。由此可见,Apricot团队眼里的终点并不单单只是一款借贷协议,而是想要为所有借贷及其他协议提供坏账清算服务。如果说借贷是DeFi的基石,那么Apricot的愿景就将是基石之下的基石,作为基础设施支持整个DeFi世界的平稳运转。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。