上周末,DeFi领域的灵魂人物AndreCronje清仓了自己在Fantom生态的所有资产,并宣布离开DeFi和加密领域。Fantom生态应声下跌,Token价格和TVL在短短数月内经历了极端的「过山车式」体验。实际上,DeFi在AC离开之前就已经呈现出明显的疲势,Solidly本来是他重振DeFi的契机,但却还是以失败告终。DeFi的问题到底出在哪里?未来又该如何发展?领袖的离开
收益优化「成瘾者」
在AC退出加密行业后,出来了不少介绍他生平的文章,大多数都是在罗列这位DeFi领袖的「硬核」开发生涯。但人们好像忘记了他对金融收益优化的强烈兴趣。纵观他的加密生涯,这似乎是他一直以来的执念。在成名前,AC总是会去寻找Aave、Compound等借贷平台上的最优收益策略,并不断地在这些平台间跳来跳去。不过这种做法不仅gas费高,还很浪费时间,于是AC便把这个寻找最优收益的过程写成了代码,取名iearn。为了让代码更加准确,就需要有更多的人参与其中,进行更多的存提款操作,Yearn就这样诞生了。这是一个简单的收益优化器,将资产存入其中,平台就会自动为用户执行最优化的收益策略。尽管后来推出了与Uniswap等DEX合作的流动性挖矿,以及更为复杂的YFIToken,Yearn的核心理念仍然十分简单,就是为用户提供最简单和最优化的金融服务。在AC看来,「DepositAndForget」是DeFi产品的精神与灵魂。SOLID:AndreCronje的滑铁卢
在「Curve现象」出现后,AC又一次看到了DeFi的希望。他想结合veToken和协议拥有流动性模式的潜力,重振DeFi。1月初,AC一天连发三文,阐述了自己新项目ve(3,3)的愿景,沉默数月的DeFi社区瞬间一片哗然。ve(3,3)或者说现在的Solidly同样是一个收益优化器,通过持有更多的SOLIDToken,用户可以为自己的资金池投票并获得更高的收益。Solidly本该是AC的巅峰之作,但最终却成了自己的滑铁卢。一切似乎都从与DanieleSesta的合作开始出错。后者是FrogNation的创始人,也是DeFi领域的又一个灵魂人物,他创造的Abracadabra.money以及Wonderland曾只手撑起了Avalanche生态的TVL。这是一次强强联合,Daniele负责Solidly的宣发及公关事宜,AC则一如既往地埋头开发。结合FrogNation以及Yearn生态力量的Solidly能让任何一个OG协议黯然失色,这是毋庸置疑的。
LendHub被黑简析:系LendHub中存在新旧两市场:金色财经报道,据慢雾安全区情报,2023 年 1 月 13 日,HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下:
此次攻击原因系 LendHub 中存在两个 lBSV cToken,其一已在 2021 年 4 月被废弃但并未从市场中移除,这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格,这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回,在新的市场进行借贷操作,恶意套取了新市场中的协议资金。
目前主要黑客获利地址为 0x9d01..ab03,黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时,黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络,已经得到黑客的部分痕迹,慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]
官宣合作后AC的推特背景用图,左侧为AC,右侧为Daniele但让所有人都没想到的是,FrogNation在关键时刻掉了链子。在1月27日FrogNation的CFO0xSifu被曝曾涉嫌参与多个团伙,社区又一次炸开了锅。在社交媒体上一向不活跃的AC立刻在推特上做出了回复,指责Daniele的失职。这时的AC,已经有了明显的疲态。
安全团队:LPC项目遭受闪电贷攻击简析,攻击者共获利约45,715美元:7月25日,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,LPC项目遭受闪电贷攻击。成都链安安全团队简析如下:攻击者先利用闪电贷从Pancake借入1,353,900个LPC,随后攻击者调用LPC合约中的transfer函数向自己转账,由于 _transfer函数中未更新账本余额,而是直接在原接收者余额recipientBalance值上进行修改,导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD,最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC,攻击者共获利178 BNB,价值约45,715美元,目前获利资金仍然存放于攻击者地址上(0xd9936EA91a461aA4B727a7e3661bcD6cD257481c),成都链安“链必追”平台将对此地址进行监控和追踪。[2022/7/25 2:36:51]
最终,Daniele不得不退出Solidly的开发,赶回自己的后院救火。尽管这次事件没有对Solidly造成严重的影响,Fantom的TVL也始终一路飙升,但Daniele的离开却为Solidly的失败埋下了伏笔。要知道,AC对公关可谓是毫无经验,在社交媒体上也常是「失踪」状态,在Daniele离开后,AC不得不一个人应付公关和开发两份工作。更重要的是,原本的生态联合如今变成了AC和Fantom生态的独角戏,而人们很清楚,靠Fantom的原生协议撑起DeFi半边天几乎是不可能的事。这种问题其实在Solidly上线之前就已经出现了端倪。为了获得SOLIDToken的初始配额,协议的TVL必须排在前20名里,但原本相对良好的竞争,在veDAO这个外来协议的截胡下变得乌烟瘴气,各种联盟和吸血鬼攻击此起彼伏,协议也开始向用户提供越来越离谱的APY以争抢TVL,没有人愿意再专注于产品的开发。然而AC不仅没有及时矫正这种行为,反而是火上浇油,鼓励TVL竞争,这让很多Fantom原生协议的用户积下了不少怨恨情绪。在Solidly正式上线后,开发团队的问题彻底暴露了出来。前端Bug导致用户交互体验极差、资金池漏洞让不少人流失了大量资金、Fantom网络的严重堵塞,使AC的推特里充满了着谩骂之声。在项目的糟糕表现和社区的舆论压力下,AC删除了自己的推特账号,并最终选择了离开DeFi和加密世界。DeFi的问题出在哪里?
慢雾:Avalanche链上Zabu Finance被黑简析:据慢雾区情报,9月12日,Avalanche上Zabu Finance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家参考:
1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。
2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。
3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。
4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。
此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]
「APY成瘾」
Force DAO 代币增发漏洞简析:据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。[2021/4/4 19:45:30]
作为开启DeFiSummer的灵魂人物,AC和他的YearnFinance似乎从一开始就为DeFi植入了「追求APY」的念头。尽管理念本身并没有错,但和很多事情一样,一个好的念头也会产生意想不到的后果。在DeFi诞生初期,像Aave、dYdX这些主流协议提供的是真正去中心化、便捷群众的金融服务,协议没有自己的Token,专注于产品的创新和体验的优化。但不久Compound就推动了一波新的浪潮,即流动性挖矿。通过提供自己的TokenCOMP,Compound能够为平台的流动性提供者提供更高的APR。一时间,Compound的市场占有率大幅飙升,DeFi的风向标也逐渐开始倾斜。
Harvest.Finance被黑事件简析:10月26号,据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击,损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。
1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费;
2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT;
3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC,此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小;
4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中,充值的同时 Harvest 的 Vault 将铸出 fUSDC,而铸出的数量计算方式如下:
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC;
5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常;
6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC;
7. 随后攻击者开始重复此过程持续获利;
其他攻击流程与上诉分析过程类似。参考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量,从而使攻击者有利可图。[2020/10/26]
在宣布COMP流动性挖矿后,CompoundTVL在短时间内迅速飙升之后便是Uniswap等专为交易Token的DEX崛起,流动性挖矿也成为了协议启动的主流模式。从这里开始,DeFi对APY的依赖越来越深,走上了一条不归路。为了解决DeFi1.0流动性跑路引发「矿难」的问题,以Olympus为代表的2.0协议提供了更高、更持久的APY,然而2.0模式的DeFi协议显然已经变得非常极端。对于DeFi1.0协议来说,获取流动性是为了促进去中心化的市场交易,但2.0协议却没有任何实用场景,反而更像一场庞氏局。所谓的「协议控制流动性」成了团队快速笼络资金,甚至是大搞Rug的途径。而随着CurveWar兴起的veToken模式,同样陷入了APY战争的泥潭,协议之间竞争的不再是应用场景和用户体验,而是更高的APY「贿赂」。Solidly的失败,很大程度上就是由于这种恶性的APY竞争。类似veDAO这样的协议,在没有为DeFi带来任何实质的创新的情况下,单纯依靠更高的APY,就抢占了Fantom原生协议的大量TVL。这种现象对认真做开发的团队造成了很大的打击,也为更多投机项目的产生开了头。自流动性挖矿兴起后,DeFi就逐渐走上了歧路,协议解决的问题不再是如何为用户和行业提供更稳定、更便捷的金融服务,而是如何提供更高的APY、获得更高的TVL;用户也不再把DeFi当作稳定收益的来源,而是投机的渠道。新出的协议要做什么不重要,只要APY够高,就不顾一切地往里冲。与一年前相比,如今的DeFi已经变得乌烟瘴气,成了一个APY「成瘾者」。Token赋能
与流动性挖矿一起诞生的,还有DeFi领域的「Token文化」,但和公链不同,为自己的Token寻找价值赋能一直是困扰DeFi协议的主要问题。对于Uniswap等DeFi1.0应用来说,Token是协议用来吸引流动性的工具,流动性提供者为交易池提供流动性,并收获协议原生Token作为回报。这种模式开始时产生了显著的效果,但很快就暴露出了弊端。作为协议的使用者,用户其实并不需要协议的Token,换句话说,这些原生Token是无法捕获和分享平台创造的价值和收入的。以dYdX为例,用户进行日常的合约交易操作与DYDXToken毫无关系,其功能也仅限于治理投票、交互折扣等「无关紧要」的方面。因此对于流动性提供者来说,原生Token并没有长期持有的价值,挖提卖成了巨鲸们的常规操作。一旦APY开始下降,这些「雇佣兵」资本就会跑路,然后引发「矿难」。为了解决这个问题,DeFi2.0干脆把Token变成了协议本身,用户想要使用协议,就必须持有协议Token。但为了保证更高、更持久的APY,对Token本身的稀释反而变得更为疯狂。DeFi2.0最大的问题,就是没有实际的用途,协议就像一个庞氏局,依靠不断流入的资金为协议提供「背书」,并为Token持有者创造虚假的APY。Token价格完全是依靠用户对「协议背书」这一承诺的信任。但我们知道,这种背书从来没有发生过,Token的价格最终也一泻千里,让2.0成了平均寿命最短的DeFi版本。
Olympus原生TokenOHM价格走势图,较最高点跌去了98%在CurveWar火起来后,Token赋能的问题得到了一定程度的解决。通过向锁仓的veToken赋予收益投票权,Token对流动性提供者有了些实用性,不过这种实用性带来的价值赋能仍然是有限的。以Curve为例,对于流动性提供者来说,尽管持有更多的veCRV能带来更高的APY,但收益最终还是以CRV结算,要么锁仓,要么卖掉,没有别的作用。也就是说,veToken的模式只是为了缓解原生Token的抛售压力,仍然不能捕获协议本身的价值。实际上,AC本人也曾公开质疑过「Token文化」对于DeFi的必要性。的确,即使没有Token,DeFi协议也能为用户提供便捷的金融服务。不是说DeFi协议不可以有Token,「Token文化」的本质在于,持有Token的用户能拥有网络的一部分,通过Token捕捉网络成长所创造的价值。但就目前来说,DeFi协议的Token并没有做到这一点。凯撒走了,谁来继承DeFi旗帜?
AC的离开为DeFi留下了一块空白,但也帮这个空间带走了不少淤泥。尽管没有人知道DeFi未来会如何发展,但通过此次事件我们可以去反思,究竟什么样的DeFi才是可持续且有价值的。或许,他的离开会成为DeFi发展的又一转折点。LUNA:在质疑声中成长
LUNA一直被很多人看作是庞氏局、是「空气币」,但无论是之前的恐慌行情,还是此次AC离场事件,Terra的DeFi生态都经受住了考验,没有受到太大的影响。诚然,Terra确实存在「死亡螺旋」的风险,但它真正的价值却是很多人没有看到的。
UST市值一直稳步上升Terra所做的事情,就是通过区块链技术改善电商的支付流程。长期以来,加密世界和现实世界之间都有一道天然屏障,Token价格因为波动幅度大,无法被真正运用到现实生活中,因此Stablecoin成为了桥接这两个世界的重要工具。但与大部分算稳协议不同的是,Terra真正考虑到了法定货币的强区域性。其Stablecoin体系实际上是一套丰富的货币组合,与各类法币挂钩,并通过生态内的实体应用满足不同区域和场景的需求,这其中就包括了美元、韩元、泰铢等。在链下,CHAIPay帮助企业和个体打通了电汇、本地网关、信用卡等20多个支付渠道,节省了大量的时间和成本;在链上,用户则可以通过Mirror获得交易美股的敞口。Terra生态内的各种投资需求,最终都传导回UST,以LUNAToken的形式为持有者捕获网络创造的价值。在DeFiSummer初期,Compund、Aave、Yearn、Curve这些OG项目之所以成功,就是因为它们致力于为普通群众提供触手可及的金融服务,这才是市场和广泛受众真正需要的,也是能创造真正价值的产品。而Terra能获得今天的成功,也是同样的道理。「DeFi不是一个人的世界」
DeFi甚至是整个crypto领域还是充满了个人崇拜的情绪,从这个角度来说,AC的离开也是一件好事,它为其他开发者留下了更多的发展空间,也让整个行业变得更加理智。在Andre退出后,Fantom基金会发表了声明:「Fantom从来不是一个人的团队」。
YearnFinance成员在推特上认可团队的贡献,并表示未来还会继续为DeFi带来更多创新产品。
社区也在关键时刻站了出来,维护必要的基础设施。
DeFi未来的发展路径永远不止一条,重要的是有更多的开发者愿意为这个领域默默做出贡献,庆幸的是,这正是我们所看到的。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。