EFI:简析DeFi在交易、杠杆与合成资产的隐形天花板

编者按：本文来自链闻ChainNews，撰文：KyleSamani，MulticoinCapital管理合伙人，星球日报经授权发布。去中心化金融生态在过去两年间取得了长足发展，我也一直在考虑协议层面的竞争力和市场规模。我在四月份对前者进行过分析，本文将侧重于研究后者。对以太坊目前的DeFi现状，我最大的担忧是它受制于一种或几种隐形天花板。根据EugeneWei的定义，隐形天花板是一种看不见的上限——它无法直接测量，只会显现于违反事实的分析中——但又实实在在限制了增长。虽然现在进行断言还为时尚早，但DeFi生态系统很可能已经触摸到了这些极限。例如，质押在DeFi协议中的ETH，其最高值约占ETH总量的2-3％。

在本文中，我将评估目前DeFi系统相对于CeFi的优劣。然后，我会尝试探索限制DeFi增长的一些隐形天花板，并提出解决方案。DeFi的应用场景

Beosin：sDAO项目遭受攻击事件简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin?EagleEye 安全风险监控、预警与阻断平台监测显示，BNB链上的sDAO项目遭受漏洞攻击，Beosin分析发现由于sDAO合约的业务逻辑错误导致，getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的，计算的奖励与用户添加LP代币数量正相关，与合约拥有总LP代币数量负相关，但合约提供了一个withdrawTeam的方法，可以将合约拥有的BNB以及指定代币全部发送给合约指定地址，该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后，调用withdrawTeam函数将LP代币全部发送给了指定地址，并立刻又向合约转了一个极小数量的LP代币，导致攻击者在随后调用getReward获取奖励的时候，使用的合约拥有总LP代币数量是一个极小的值，使得奖励异常放大。最终攻击者通过该漏洞获得的奖励兑换为13662枚BUSD离场。Beosin Trace追踪发现被盗金额仍在攻击者账户，将持续关注资金走向。[2022/11/21 7:53:09]

尽管DeFi的应用场景非常丰富，但当前它的主要用途有以下三个：加杠杆交易获得合成资产敞口这三大应用占据了绝大部分的DeFi活动。上述每个去中心化金融协议都与中心化替代方案进行直接竞争。接下来，我们逐个分析这些应用场景的动态，来理解DeFi的隐形天花板。加杠杆

安全团队：LPC项目遭受闪电贷攻击简析，攻击者共获利约45,715美元:7月25日，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，LPC项目遭受闪电贷攻击。成都链安安全团队简析如下：攻击者先利用闪电贷从Pancake借入1,353,900个LPC，随后攻击者调用LPC合约中的transfer函数向自己转账，由于 _transfer函数中未更新账本余额，而是直接在原接收者余额recipientBalance值上进行修改，导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD，最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC，攻击者共获利178 BNB，价值约45,715美元，目前获利资金仍然存放于攻击者地址上（0xd9936EA91a461aA4B727a7e3661bcD6cD257481c），成都链安“链必追”平台将对此地址进行监控和追踪。[2022/7/25 2:36:51]

对于大多数交易者而言，杠杆最重要的两个特征是杠杆倍数和成本。但是在这两个方面，DeFi都不如CeFi。1.DeFi的杠杆倍数更低。受制于系统延迟，杠杆的倍数不能过高。那么，为什么较高延迟会降低杠杆的最高倍数？考虑到加密资产的波动性以及在15秒的区块时间内会发生连环爆仓的风险，DeFi很难提供高倍数杠杆产品。dYdX在四月份上线了10倍杠杆的BTC永续合约，但相比之下BitMEX用户的平均杠杆倍数为25-30倍。2.CeFi的借贷成本更低。CeFi企业通过扩张信贷，降低基于信托的抵押要求，或者通过提供大量的客户存款来实现这一点。尽管在某些情况下，目前DeFi协议的贷款利率更低，但它们存在着结构上的缺陷。虽然理论上有这样的可能性：交易员慢慢开始交易Compound的cToken——该协议有效地复制币安和Coinbase中心化账本的优势——但这样会分散cToken和底层资产之间的流动性。那么DeFi协议可以提供更多的杠杆吗？考虑到加密货币的波动性以及以太坊当前的缺陷，很难想象有平台会提供超过10倍的杠杆，3月12日黑色星期四的惨状还历历在目。但是，有某些Layer2解决方案的区块时间能做到1秒，降低网络延迟。然而目前也还不清楚像dYdX之类的去中心化交易所和交易员是否会将结算转移至Skale等Layer2解决方案。那么长远来看，DeFi协议能否提供更有竞争力的贷款利率？答案是：很可能不行。我预计未来几年内会有越来越多的银行进入加密领域，中心化金融机构提供的资本成本将逐步降低。此外，由于DeFi协议无法承保信任关系，它们要求更高的抵押比率，这会进一步提高资本成本。在可预见的将来，我认为DeFi协议无法打败传统的杠杆供应商。尽管DeFi协议能够为某些客户提供传统供应商无法提供的边际利润，但该市场的份额非常小。绝大多数市场参与者希望针对杠杆的成本和可用性进行优化，而DeFi协议在这两个方面都难以与CeFi匹敌。当今的市场数据也清晰地表明了这一点：如今加密生态系统中的绝大多数杠杆都由传统交易所提供。

Grim Finance 被黑简析：攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报，2021 年 12 月 19 日，Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。

1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币，并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。

2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作，而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中，depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币，本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。

3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性，攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时，恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押，此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。

4. 由于攻击者对 GrimBoostVault 合约重入了多次，因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。

此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁，导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议：对于用户传入的参数应检查其是否符合预期，对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]

慢雾：Avalanche链上Zabu Finance被黑简析:据慢雾区情报，9月12日，Avalanche上Zabu Finance项目遭受闪电贷攻击，慢雾安全团队进行分析后以简讯的形式分享给大家参考：

1.攻击者首先创建两个攻击合约，随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币，并将获得的SPORE代币抵押至ZABUFarm合约中，为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币，随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取)，而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量，而不是记录合约实际收到的代币数量，但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷，从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的，因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励，随后便对ZABU代币进行了抛售。

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的，此类问题导致的攻击已经发生的多起，慢雾安全团队建议：项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化，而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]

资料来源：DeFiPulse，Skew值得注意的是，如果全部的交易活动都转移到某一个、公开、可信的中立DeFi标准协议上，那么DeFi就能够消除基本风险，从而提高所有市场参与者的资本效率。但是，在可预见的未来这个可能性非常低。交易

Harvest.Finance被黑事件简析:10月26号，据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击，损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。

1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费；

2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT；

3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC，此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小；

4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中，充值的同时 Harvest 的 Vault 将铸出 fUSDC，而铸出的数量计算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC；

5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常；

6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC；

7. 随后攻击者开始重复此过程持续获利；

其他攻击流程与上诉分析过程类似。参考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源)，导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量，从而使攻击者有利可图。[2020/10/26]

DeFi协议在几个主要方面远远不如中心化替代方案。总体而言，以下因素妨碍了DEX抢夺CEX的市场份额。延迟和概率性确定。由于以太坊采用中本聪共识——该共识伴随着高延迟的概率性确定——因此买卖双方无法实时准确地知道他们的确切位置。由于缺乏精确性，他们的交易必须更加保守。对此，任何区块时间更短的解决方案都可以缓解该情况。矿工逐利。随着加密生态系统的成熟以及交易者将更多的交易直接转移到链上进行结算，出块节点会开始最大化矿工自身可获取的利益。当出现这种情况时，矿工们就会开始抢先交易，这非常不利于流动性供应商。全仓杠杆和抵销头寸。目前，币安和FTX为用户提供了不同类型产品全仓头寸。在明年，我预计它们会逐渐提供抵销头寸，然后其他的中心化交易所会接着跟进。虽然去中心化环境在理论上可以提供全仓杠杆，但由于去中心化交易场还不成熟，实际操作难度更大。缺少法币通道。去中心化的方式很难大规模将用户从法币世界转移到加密领域中。目前确实有几个团队在解决这个问题，但它们都还没找到破解方法。在此之前，对于已经持有加密货币的用户来说，稳定币是一个不错的权宜之计。吞吐量和gas费用。交易者都希望能快速结算交易，重新调整抵押比率，然后迅速开新单。这些操作都需要大量的gas费用。那么，DeFi协议能够降低延迟并提供更快的确定性吗？在低延迟Layer2或Layer1上，答案是肯定的。DeFi协议可以减轻矿工逐利的威胁吗？某些Layer1确实存在着理论上的解决方案，但是它们又导致了更高的延迟，复杂性和gas费用。对于某些许可验证节点的Layer2，答案是肯定的。DeFi协议可以弥补缺乏法币支持的不足吗？通过稳定币，答案是肯定的。在可预见的未来，我们很难见到去中心化交易所超越中心化交易所。尽管有相对清晰的解决方案来解决延迟和最终性问题，但经验丰富的交易者1）不希望出块节点抢先交易，2）希望能够全仓保证金交易和抵销头寸以提高其资本效率。这个情况在数据中也非常明显：传统交易所占据了绝大多数的交易量，并且几乎所有的价格发现依赖于CeFi。

资料来源：CoinAPI，Bloxy合成资产

为了交易合成资产，交易所必须提供1）一种管理抵押品和支付赢家/输家的机制，以及2）一个可靠的价格预言机。目前，传统交易所的这两个功能都很好：它们都管理抵押品，并且为永久合约运行着中心化的价格预言系统。另外，FTX还为2020年美国总统大选上线了别出心裁的合成资产，例如TRUMP和BIDEN合约。尽管理论上DeFi协议可以提供任意的合成合约，但除了继承所有DeFi协议内在的特性——自主托管和无需许可的预言机——以外，它们似乎没有任何执行优势。中心化交易所在合成市场竞争中处于有利地位，它们已经通过永续合约证明了这一点。突破DeFi隐形天花板

上面提到的缺陷中，最常见的是延迟。由于加密资产价格波动异常剧烈，因此延迟至关重要。它的价格可能会在几秒内波动上百点，15秒的区块时间与中本聪的共识更让系统性风险雪上加霜。中心化金融的运作时间以纳秒为单位；而去中心化金融的运作时间以秒为单位。目前几乎没有DeFi能在纳秒级的时间维度上运行，但是采用像Solana这样的方案——它是唯一一个将全局状态更新与时间变化分离的区块链——DeFi的运行时间可能降低到微秒级。在以太坊2.0方面，它将每12秒产生一个新的区块。DeFi是以太坊目前的重头戏，但以太坊2.0却没有针对DeFi进行优化。同样，吞吐量是一个明显的问题。虽然在大多数时间内以太坊网络运行平稳；但在3月12日黑色星期四当天，它的问题就暴露出来了——以太坊根本无法承受如此大的交易量。尽管事实上DeFi交易量仅为CeFi的1％。但另一方面，加密CeFi交易仅占传统资产类别的0.1-1％。DeFi任重而道远。投资DeFi

虽然对大多数用户和交易者来说，DeFi协议面临着结构性劣势，但在某些细分市场它们的服务仍然比CeFi好，而这些细分市场可能蕴藏着数十亿美元的机会。例如我认为目前非托管永续合约交易存在着巨大的市场。鉴于上文提到的原因，DeFi永续在短时间内无法取代CeFi，但我认为一个提供DeFi永续合约交易的平台，其市场份额会非常可观。考虑到主流CeFi交易所的总市值约为200亿美元，并且该市场仍在快速增长，因此一个提供非托管永续合约的交易场所可能是个很好的投资机会。随着DeFi底层技术基础设施的不断完善，它将逐渐占据CeFi的市场份额。在未来两年的某个时间节点，随着所有必需基础架构日趋完善，我预计DeFi增长率将出现一个阶跃函数的变化。那么大众怎样判断DeFi在什么时候获胜了呢？答案是：在价格发现从中心化交易所转移到去中心化场所的时候。感谢HaseebQureshi为本文提出的反馈。

标签：EFIDEFDEFIANCPEET DeFiDefyDefiBasketDAO DeFi IndexMethod Finance

以太坊最新价格热门资讯