END:急剧扩张的DeFi乐高安全堪忧,我们与从业者讨论反思ERC777与去中心化金融_KNC

编者按:本文来自链闻ChainNews,星球日报经授权发布。连续三个月遭受严峻考验的DeFi使得人们对其高速发展愈发担忧,甚至进一步引发了对监管、去中心化与CeFi的讨论。北京时间4月15日晚8点,CryptoTonight第四期节目「说透去中心化金融:DeFi还好吗?」顺利开播,Yama邀请了6位DeFi领域从业者与投资者,分享了对于DeFi安全事件的看法以及对DeFi前景的思考。本期节目的核心看点有:UMA创始人:Lendf.me、ERC777标准开发者都应该对此次攻击事件负有责任曹寅:去中心化只是手段,开放、自由、去信任才是去中心化的目的Tokenlon增长负责人:ERC777有很大潜力,不少其他DeFi协议也将支持dYdX战略负责人:DeFi项目也可以考虑以营利为目的,公司的去中心化可以慢慢推进IOSG投资总监:应用端才应该是对安全负责的机构,审计公司无法完全承担风险查看完整的节目视频可点击此处回看,以下是本期节目全程的文字记录,内容有所编辑。

本期的6位嘉宾分别为:AllisonLu,去中心化金融合约协议UMA联合创始人ZhuoxunYin,去中心化衍生品交易平台dYdX战略负责人LucasHuang,去中心化交易平台Tokenlon增长业务负责人曹寅CaoYin,数字文艺复兴基金董事总经理FionaHe,投资机构IOSGVC投资总监缪凯GienoMiao,区块链支付平台LightnetCTO

大家晚上好,早上好!我是Yama,非常开心今晚为大家主持。我们今晚讨论的是DeFi话题。本周大家都在讨论DeFi。幸运的是,Lendf.me被黑的加密货币被还了回来了。希望未来能变得更好。好的,我们接下来先欢迎六位优秀的嘉宾。大家先做个自我介绍。女士优先,第一位是UMA的联合创始人Allison。个人介绍

AllisonLu:我是UMA的联合创始人Allison。UMA是个金融合约平台,全称UniversalMarketAccess代表让全球市场接入区块链。UMA在以太坊中构建了开源基础设施,包括1)去中心化的预言机服务;2)可以创建ERC20代币的金融合约设计,可以追踪一切的价格。在创建UMA之前,我在新兴市场贷款机构Tala负责信贷业务,之前还在高盛利率产品部门做过交易员。我毕业于麻省理工,拿到经济和金融学位。FionaHe:大家好,我是Fiona,IOSG投资总监。加入IOSG之前在对冲基金和传统私募工作。IOSGVentures成立于2017年,是一家专注于区块链及加密货币的美元基金。我这边主要关注DeDi和DeFi,以及有较好现金流的项目。IOSG通过「构建技术及海外Dao社区+行业数据的研究驱动+产业链的贯穿布局」来构建早期的Dealflow,在产业人才开始创业之前就已经与他们建立联系。IOSG是PolkadotBuildingProjects的生态基金之一,也是众多知名项目Cosmos、Coda、ChainLink等项目的生态合作伙伴。在DeFi领域我们的布局有:MakerDAO、KyberNetwork、Kava和DDEx等。Yama:感谢Allison和Fiona两位。我们的访谈第一次有了女嘉宾,你们不知道我有多开心!下一位是dYdX的Zhuoxun。ZhuoxunYin:我在dYdX负责战略和运营,自2018年初就加盟了这家公司,是公司的二号员工。我多数时间在考虑如何进入市场:应该怎样建设,怎样发布产品,如何接触目标客户。在加盟dYdX之前,我主要做的是帮助初创企业的成长,之前还在咨询公司贝恩工作过几年。Yama:我是去年在瑰丽酒店DragonflyCapital组织举办的峰会第一次见Zhuoxun,好久不见,Zhuoxun现在看起来好像成熟了些。下一位,请Lucas介绍下自己。LucasHuang:大家好,我叫黄为,也可以叫我Lucas,现在在Tokenlon负责增长方面的工作。Tokenlon是由imToken孵化的一个DeFi平台,目前主要产品是我们的去中心化交易所,也是以太坊上的主流DEX之一,除此之外我们还发行了imBTC,目的在于将BTC的流动性带到以太坊生态。我大约是2017年中开始正式参与到该行业的,在加入Tokenlon之前在KyberNetwork,也是另一个主流的DEX。曹寅:我是数字文艺复兴基金的董事总经理,数字文艺复兴基金是爱沙尼亚电子公民计划的一部分。我们在爱沙尼亚、芬兰和上海都有工作人员,为加密企业提供名合规和战略咨询服务。我从2017年开始一直从事DeFi项目,是一些知名项目的天使投资人和顾问,包括Loopring、Acala、Chainx和Dipole等等。Yama:我注意到自4月19号以来,你可能参加了三到四次有关DeFi的线上访谈。希望你还继续享受这个话题,能愉快合作。下一位缪凯。缪凯:大家好,我叫缪凯,区块链及科技金融专家,现任区块链支付平台LightnetCTO;曾作为技术顾问参与推动使用区块链技术建立银行业金融监管沙箱及OpenBankingAPI制定;曾历任微软、汤森路透、阿里巴巴、盛大、亚马逊、窝窝团等公司高级总监至CTO,对电子商务、大数据及人工智能等领域有丰富经验。讨论一:谁该为DeFi安全负责?保险机制有用吗?

FionaHe:今年以来我们看到频繁的DeFi攻击事件,比如bZx,MakerDAO和Lendf.me。毫无疑问,我们能从这些教训中学习并成长的更好。幸运的是,我们看到dforce已经成功追回被盗款项。可是如果下一次没有这么幸运呢?谁应该最终为这些损失负责?是不是该用户自己负责?保险机制有可能为类似事件起到兜底作用吗?AllisonLu:你谈到的几次攻击大不相同:Lendf.me是因为安全和治理的问题,问题的起源是协议里加入了ERC777资产,而它们原本的协议只是为保障ERC20标准代币的安全而设计的。bZx是一个预言机被操纵的问题。MakerDAO是Dai流动性被挤兑,再加上ETH网络阻塞的问题。实际上,这三次攻击正是不同类型的攻击都会发生的完美例证:a)Layer-1共识保证和Layer-2协议之间的互动;b)预言机被操纵或出错;c)智能合约安全问题;d)治理问题。每个案例中都是多方的责任。Lendf.me攻击中,根本原因涉及到Lendf.me的治理决策,在没能杜绝「可重入」漏洞的情况下接纳了imBTC作为抵押品;ERC777代币发行方的责任在于采用了ERC777标准而没有具体规定代币分发给哪些协议。ERC777标准的开发者声称ERC777标准向后兼容ERC20,他们也有责任。另外重要的是,协议的具体使用者。在DeFi生态中,我认为协议开发者和用户责任各半,但经济负担落到了用户身上。对开发者而言,我认为透明度、第三方审计和对相应技术非常深刻的了解,对于保障用户的安全至关重要。与此同时,DeFi用户需要接受这些实验性技术所带来的额外风险,这也是DeFi领域收益较高的原因。如果开发团队保证为技术失误赔偿用户,用户就完全依赖团队的安全承诺,不去做尽职调查。如果用户愿意盲目信任开发团队的承诺,他们又何必选择去中心化产品,为什么不去选择完全中心化的服务呢?Yama:谈到信任,无论DeFi还是CeFi,很多方面是共通的。正好提到ERC777,Fiona可以和Lucas聊聊FionaHe:有人称ERC777是ERC20的2.0版本,在ERC20的基础上增加了更多功能,看似更有优势。但近期与ERC777相关的DeFi安全事件将它推至风口浪尖。ERC777究竟是否有安全隐患,而它究竟是否更有潜力?LucasHuang:ERC777标准是基于ERC-20标准进行的功能扩充,在兼容ERC-20标准的基础上,增加了一些新功能从而提升用户体验。它是一种代币协议标准,不存在漏洞。我们的确认为ERC777具有很大的潜力,它向后兼容,能够为特定交易降费提速,支持发送数据等。imBTC的使命是通过友好的用户体验,将BTC的流动性引入到以太坊的DeFi生态中,而基于ERC777带来的新功能可以在保护用户资产安全的同时提升用户体验,基于这个考量,Tokenlon选择了ERC777协议来发行imBTC。其实不仅仅imBTC采用了ERC777标准,PoolTogether的代币,Augurv2的代币都是采用ERC777。Uniswapv2和Compoundv2也支持了ERC777代币。Yama:Lucas提到也是关键一点就是,Uniswapv2和compoundv2都support了ERC777,但lendf.me用的是compoundv1的代码。Allison也提到:ImToken的责任在于采用了ERC777标准而没有具体规定代币分发给哪些协议。ERC777标准的开发者声称ERC777标准向后兼容ERC20。FionaHe:我想问问Zhuoxun,最近,海外社区就是否1inch应该向公布黑客数据分成两派阵营并进行激烈讨论。你们是怎么看社区的讨论的?对去中心化的项目依靠中心化权力机构来追索被盗资金是怎么看的?ZhuoxunYin:关于这个问题比较广泛的观点认为,去中心化金融依然处于非常稚嫩的萌芽期,人们对安全的重视程度要远远超过传统服务。用户和团队都是如此。这种事情还会继续发生,用户逐渐会转移到经历过更多考验的平台。我理解1inch为什么那么做,但是我并没有深入思考这么做是对还是错。但总体而言,这个插曲对DeFi不是件好事。我们不应该把去中心化和中心化实体理解成两个世界。他们需要和谐共存,才能打造一个成功的、开放式的金融体系——有些事情去中心化更好,有些事中心化更好一些。所以我觉得不应该搞错关注重点,这个问题更多关系的是我们如何尝试,未来让此类事件尽可能少出现。Yama:谢谢FionaHe和回答问题的各位。接下来,我知道曹寅4月19号写了一篇关于lendf.me攻击事件的文章,引用了当年阿波罗13号那句著名的台词「休斯顿,我们有麻烦了」,来致敬DeFi的探险者。你能跟我们分享一下关于这些攻击事件的看法?曹寅:我非常同意Zhuoxun的观点。我们可以根据DeFi协议中的各个功能性「要素」的去中心化与否对DeFi进行去中心化程度的评级,这些「要素」包括:account、custodial、pricefeeds、DEX(orderbook,settlement)、lending(margincalls,margincallliquidity,monetarypolicy)、development与codemaintenance。交易所方面的OK和Binance、借贷平台方面的BabelFinance、人人比特和BlockFi这些毫无疑问是绝对中心化的,但是在光谱的另一头,并不存在所有「要素」都去中心化的DeFi应用,因为至少d开发和codemaintenance还是由开发者操作的。因此,DeFi是相对那些所有要素和功能都中心化的「绝对CeFi」而定义。在以上要素中,有一些要素是社区默认DeFi必须具备的prerequisites,包括无需许可的账户、非托管、在DEXDeFi中,清算应该是在链上的,因此可见,从用户角度来看,所谓的DeFi其实是指那些自由进入、无需许可、资产非托管、链上清算的金融应用,去中心化只是手段,开放、自由、非信任其实才是去中心化的目的。其实在中国,一些中心化的金融平台,比如也在考虑利用DeFi的组建,提供更好的产品,让用户更好上手使用产品。这是值得尝试的组合。就连阿里巴巴最近也发布了「蚂蚁金服开放区块链」的产品,提供了中间件产品,也可以用于金融行业。你会看到,CeFi和DeFi两个方向的团队都在努力尝试利用彼此的优势,包括对方的优势,提供更好的产品。我觉得这是好的迹象。讨论二:如何看待CeFi和DeFi的界限?

缪凯:DeFi领域内仍然有很多中心化的风险,比如运营DeFi项目的团队的中心化信用风险,包括涉及某些核心岗位人员自身风险等。目前看起来DeFi的安全性并不比最早门中心化的头沟丢币更好,请问大家如何看待CeFi和DeFi的界限?AllisonLu:这是一个很有意思的问题,展示去中心化程度是呈现光谱图的特征,而不是黑白分明的二元对立。我同时认为,这也显示DeFi不仅仅是个单词,如果DeFi用户自己不认同它的意义,但这个词就毫无意义。比如,有些用户关注DeFi只是因为DeFi放贷收益高,或者借款方便,因为不需要完成「了解你的客户」KYC验证。这对于DeFi的认知是非常片面的。很多局也把自己叫做DeFi项目,但根本没有向用户提供DeFi最基本的服务!我想DeFi最特别的,是让用户去信任,而无需验证。中心化团队对用户会做很多承诺。比如,中心化交易所承诺用户会保障他们资金的安全和良好的流动性。用户知道他们在承担风险,但他们自己没法验证运营者是否可信。而在去中心化交易所DEX,去中心化开发团队可能做出相同的承诺,用户自己只要看看真实的代码,管理好自己的私钥,就可以认定其资金是安全的。那就是说,用户必须信任Layer-1公式算法是安全的以及处理交易的中心化矿工。如果用户无法自己验证代码,他们就必须信任中心化的第三方,例如审计机构对代码担保。如果用户有钱包,它也可能是中心化团队开发的产品。我认为所有这些领域的中心化是可以接受的,只要用户可以选择哪些部分可以信任,哪些部分需要验证。对用户来说,做尽职调查是关键,无论去中心化服务中有多高的中心化程度。FionaHe:正如Vitalik说的那样,我们觉得现在DeFi做的越来越复杂,专注于做出简单并稳定运行的项目比较少,Uniswap是其中一个很好的例子,去中心化程度非常高,它没有自己的代币,逻辑非常简单,就是代币的兑换,只有交易者和流动性提供者是平台的参与者。而当项目变得复杂,由于风控的难度和整个底层设施的成熟度不够,会导致部分项目牺牲去中心化来维持项目的运营。我们觉得从安全性上来看,值得引起我们思考的是是否需要重新看待协议层未来价值?目前海外社区主流的思想还是JoelMonegro当初提出的fatprotocol(胖协议),但是我们看到协议层频频爆出黑客攻击,且这些协议对安全性仍然不够重视,大多数都会在网站上警示用户风险自担,不想承担任何风险。不同的协议未来仍然会在不同方向进行聚合和升级,在底层完善数据备份和安全审计,在面向用户的聚合应用层仍然是有较高潜力捕获价值。单纯降低用户门槛肯定是远远不够的,这样的团队肯定会出安全的问题。只是降低用户使用门槛是不负责任的,最大的隐患还是数据安全。「胖应用」应该胖在安全和数据上,帮助用户来验证技术的安全性。协议层自己说自己是安全的有用吗?就算是有合约审计,审计公司也无法完全承担风险,应用端才应该是对安全负责的机构。ZhuoxunYin:它最终取决于我们企业的目标是什么。拿dYdX举例,我们考虑的是作为一家以营利为目的的公司,怎样是正常的。我们公司创建的目的是营利,这就是我们为什么从风投募资。因为这一点,我强烈认为重要的是尝试和打造新的产品,获取足够的前进动力,然后再重点关注去中心化的问题。这不是说我不信任去中心化,我肯定信任。但黑与白之间存在复杂的光谱,要取得进步需要作出一些牺牲。我们认为当前最重要的是透明度和自我监护。团队自身的去中心化相对没有那么重要。多数人会赞同是团队在进行这些建设,团队有理由赚到收入。所以我们非常重视在协议之外建设前端产品。这就是我们近期与社区分享的我们的商业模式。如果我们能打造出有价值的产品,人们愿意用,发现很有用,公司的去中心化可以慢慢推进。去中心化不是唯一目标。LucasHuang:CeFi和DeFi的界限在于用户需要信任的是什么,CeFi用户需要信任团队,而DeFi则依赖对代码的信任。问题里提到DeFi团队中心化信用风险,其实用户需要信任团队的话,那么从定义上也许不应该算做DeFi。完全的去中心化是很难一步达成的,我更喜欢把去中心化当作是一个方向,目前很多的DeFi项目其实也还是在往这个方向迈进的过程中。去中心化可以有很多的层面,例如产品技术,治理,资金等等。在项目的不同阶段也会有不同的去中心化需求。比如在产品技术上,早期往往是核心团队进行开发,寻找product/marketfit;增长期核心团队则会开始邀请社区开发者参与开发,后期核心团队则会逐步退出主导地位,完全交由社区进行迭代。治理上也是一样,比如最近Compound和Kyber都开始引入社区参与治理,但是他们在早期则是完全由核心团队进行决策。曹寅:我是lendf.me的用户,我觉得这次大家都很幸运,黑客还回了被盗资金。这是个教训,通过这次事件,大家可以看到,DeFi的协议多么复杂,并且,显然DeFi的发展进入了深水区。从用户的角度来看,我觉得用户在使用DeFi产品的时候,需要更加小心,要做风险评估。这种风险评估不仅仅关于代码或者技术层面被攻击的漏洞,还包括合规方面的风险。比如说,有人有可能会利用DeFi协议向一些被制裁的组织或个体提供资金支持,这样会产生合规方面的问题。昨天我们的朋友SujiYan就做了一个尝试,通过Dharma新推出利用推特实现的美元支付功能,向伊朗副总统的推特账户转了1USDC。这笔钱数额不大,但实际上会产生关于是否合规的问题,有可能会导致美国政府对这样的DeFi协议采取行动。缪凯:从我的角度看,我们一直在利用技术来实现一些目的。其实讲到DeFi,「去中心化」并不是目的。只为了去中心化而去中心化意义不大,关键还是看去中心化的金融服务,是否能创造价值。比如说,DeFi可以带来更大的透明度,但是目前在各种去中心化产品中,都缺少去中心化身份的服务,或许大家可以在这个领域做更多事情。Yama:谢谢大家,我从这里学到了很多,因为实际上我一直在CeFi领域,对DeFi了解有限。确实,CeFi的团队和DeFi的团队需要相互学习。在本期节目的最后,我想告诉我那些交易员朋友,去试试dYdX的比特币永续合约产品,另外,我也要去Uniswap试一下UMA的代币。Allison,UMA代币是下周三推出,对吧?我想给Allison和Zhuoxun一点广告时间!AllisonLu:谢谢这个机会。我不太清楚观众们对预言机是否了解。实际上,我们UMA团队最近刚刚推出了新的DeFi合约设计,通过引入清算者和争议者的博弈机制,实现了最小化预言机的使用,可在不需要任何链上喂价的情况下适当地抵押仓位。这是一种很巧妙的机制,包括清算和争执过程,允许交易对手通过识别不良抵押品而得到奖励。清算人可根据自己对链下价格判断,来考虑是否对头寸进行清算,而争议者一旦发现无效清算,则可获得奖励。因此只有清算有争议时才需要预言机,如果预言机返回的价格表明争议者是正确的,则争议者可获得来自清算人支付的罚款。相反,如果争议者被证明是不正确的,则争议者将丧失对清算人的保证金。为了更好的进行治理和解决预言机争议的功能,我们将在Uniswap上线原生治理代币UMA,这种治理代币可以充当系统治理和解决预言机争议的功能,还可以为无喂价合约解决争议,当发生合约争议时,UMA代币持有者通过数据验证机制DVM投票达成共识发挥作用。ZhuoxunYin:我们非常兴奋看到这样新的预言机产品。在dYdX,我们最近也推出了新的产品。dYdX是基于以太坊的去中心化衍生品交易平台,我们本周刚刚推出了比特币永续合约,这个交易产品可以让用户用USDC计价,利用最高可达10倍的杠杆,进行比特币合约交易。这个比特币合约没有到期时间,以USDC作为保证金和结算,所有清算过程将在链上进行。我们希望通过该产品,让更多用户通过DeFi获得流动性。在直播节目之外,嘉宾们还相互讨论了关于DeFi领域「合规」的问题。以下是直播节目之外,大家讨论的精彩观点:Yama:监管是一个金融领域永远绕不开的话题,如何看待DeFi领域的监管?如果没有监管,谁会来保障投资者的权益?ZhuoxunYin:我认为监管是有帮助的,监管的存在是保护普通人。比如,在金融领域存在大量监管,是保障普通人在金融活动中不会被剥削。宽泛的说,我同意监管是应该存在的,但不应该力度那么大,以至于遏制创新。比如,所有平台的创建是不对等的,它们也不能被对等信任——有些保护还是有帮助的。很清楚的一点是,监管机构对加密领域采取的动作很缓慢,但他们肯定会介入的。考虑到DeFi近期发展的速度和规模,我认为DeFi慢慢也会进入监管清单。另外,DeFi对采用其产品的个人也得担负一定的责任。必须向用户澄清这种技术仅仅处于试验阶段。任何人不能把毕生积蓄投入到这些产品中。如果发生损失,这是好事,因为整个DeFi领域可以吸取教训,可以更茁壮的成长,但对DeFi领域也是坏事,因为进一步加深了加密领域不安全的口碑。我希望总体上我们能在DeFi的监管问题上更清晰。我们团队对自己进行的事情非常透明,在过去也和监管机构沟通过这些事。所以我们希望某种程度上有助于进行对话。曹寅:监管也分成很多种类,经营前的业务准入监管,经营中的日常汇报性监管,以及出现纠纷之后的保护性和责任性监管,监管的目的也有所不同,不排除有的监管是为了保护金融垄断利益集团,但也有很多监管是为了保护用户。在目前,DeFi仍然处于不成熟的早期,接受合理的监管,有利于保护用户,而且,DeFi的去中心化和非信任化的目的就是为了避免中介机构的作恶,而很多金融监管的目的也是为了阻止中介机构作恶,从这点来看,监管和DeFi并不矛盾。DeFi社区内很多人反对接受任何监管和遵守任何法律,这是将DeFi意识形态化的表现,但是,DeFi是一种Service,用户的利益才最重要,而不是某些开发者的理想。Codeislaw,lawislawalso.

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:15ms0-4:544ms