DeFi 系统的复杂性使得黑客攻击频发,DeFi 项目应从代币价值驱动因素、预言机、定价和拍卖机制,以及危机治理维度完善经济学机制设计。
撰文:Johnny Antos,咨询公司 Prysm Group 合伙人
编译:詹涓
去中心化金融 (DeFi) 被誉为加密世界的下一场革命。但最近针对 DeFi 项目的黑客攻击激增表明,DeFi 项目可能仍不够成熟,无法完全取代标准的金融服务。
经济学告诉我们,当博弈复杂机制存在激励时,就有可能发生意外事件。
我们的分析表明,在过去的一年里,有 5% 的 DeFi 价值(价值 5,000 万美元的加密资产)在黑客攻击和其他平台攻击中遭到破坏,部分原因是 DeFi 平台设计中的经济漏洞。
这仅仅是个开始。
如果没有健全的经济学,黑客攻击、诉讼、怨声载道的用户和宣布紧急状态的推文数量将会激增,严重阻碍 DeFi 的潜在增长和扩张。
什么是 DeFi,为什么它成了靶子?
广义上,DeFi 包括了所有专注于金融基础设施非中介化的项目(见下图),其中包括稳定币、借贷、衍生品和交易所等应用。
自 2017 年以来,DeFi 协议中存储的价值已经飙升,并在 2020 年初探向 10 亿美元大关(见下图)。在 DeFi 首次被黑客攻击的前夕,《财富》在 2020 年 2 月写道,「感觉 DeFi 将站稳脚跟。」
随着 DeFi 的价值增加,对其攻击的潜在收益也会增加。不出所料,正当 DeFi 存储的价值达到最大值时,黑客攻击在 2020 年大幅增加。
当数以百万计美元可能面临这些风险时, 「快速行动,打破常规」的科技信条就会承载着重大责任。此外,当用户的信任被破坏时,被攻击的协议很难得以恢复;在 dForce 的 Lendf.Me 智能合约被抽走 2,500 万美元后,该平台仍被关闭,用户可能再也不会回来(链闻注:随着 dForce 团队成功追讨回被抽走的资金,该团队正计划逐步开放 Lend.Me 平台,并争取用户回归)。
在 Prysm Group,我们专注于识别、分析和解决区块链平台在发布和成长过程中面临的经济漏洞。在这些 DeFi 事件中,出现了四种经济安全威胁。DeFi 项目必须投资于了解这些漏洞是如何发生的,以及如何修复它们 (如果要获得大量采用的话)。我们目前已经看到的 DeFi 项目经济安全威胁主要有四种:
加密代币价值的相关决定因素
DeFi 代币和金融工具的价值驱动因素往往是其他法定货币(如一篮子货币)和 / 或其他代币(如稳定币)的复杂组合。
这样一来,恶意参与者的意外事件或操作导致代币价格发生变化的风险就会较高,而且这种变化可能是人们不希望看到的。
MakerDAO 是一个管理着 DAI 的 DeFi 生态系统,DAI 是它的稳定币。它被称为「DeFi 的哥斯拉」。在黑色星期四,ETH 网络拥堵导致多个关键的 MakerDAO 机制出现重大故障。MakerDAO 事件的一个关键驱动因素是 DAI 稳定币与其抵押品来源(当时是 ETH 和 BAT)之间的关系。
DAI 的价值不仅取决于其抵押品的价格,而且隐性地取决于其抵押品来源市场的平稳运行。当 ETH 的价格在黑色星期四大幅下跌时,ETH 交易市场变得拥堵。在 MakerDAO 上,这导致了小金库 (Vault) 所有者无法存入额外的抵押品,清算人 (Keeper) 无法获得 DAI 的流动性,最终导致 DAI 脱离了它的挂钩。
由于黑色星期四事件的影响,MakerDAO 已经扩大了抵押品的来源集,将 ETH、BAT、USDC 和 wBTC 纳入其中,试图解决抵押品和风险集中的问题。不过,DAI 抵押品中约 90% 的抵押品仍然是 ETH。此外,MakerDAO 还需要仔细考虑未来这些抵押品来源的任何一个底层平台上的事件会对 DAI 产生怎样的影响。
对于任何没有完全抵押的稳定币(代币与抵押品的比例为 1-1),平台必须了解驱动其代币价值的各种相互依存关系,并制定出针对任何弱点的补救计划。在设计过程中进行基于代理的模拟,可以帮助确定代币设计中最容易受到不良事件影响的元素。
预言机在 DeFi 中的激励兼容性
DeFi 通常依赖于某种形式的预言机,其中许多个体报告信息,由一个复合函数确定协议随后使用的「真相」。
预言机可以简单地传递与代币相关的信息,如当前价格,但也可以涉及更有争议、更复杂的信息,如平台 Augur 上投注事件的解决方案。
当个人有获利动机,并且能够以低成本左右预言机的方向时,平台就会受到损害。这也是上述众多事件中的安全威胁。Pegnet 是一个去中心化的稳定币平台,自 2019 年 8 月上线以来,该平台已经通过其网络转移了超过 5 亿美元的资金。
然而在 2020 年 4 月,四家挖矿实体成功地在 Pegnet 平台上提交了 pJPY 预言机前 50 名报价中的 35 个,人为地将其 pJPY 代币的起始余额从区区 11 美元抬高到了约 670 万美元。尽管这些挖矿实体没有兑现其 pJPY,但它们清楚地表明,通过预言机进行重大价格操纵是完全有可能的。
与基于区块链系统的许多组件一样,预言机的设计可以通过博弈论模型进行分析。对预言机设计进行严格分析,可以揭示出每个利益相关者在进行不诚实(但在经济上也许是理性的)行为时可能采用的精确策略和步骤,并设计杠杆以缓解这些行为。
DeFi 定价和拍卖机制
许多 DeFi 系统通常需要各种金融工具的定价和拍卖机制。
糟糕的拍卖设计可能导致低效率的结果,从而伤及系统和利益相关者。
在 MakerDAO 系统中,当小金库的抵押品价值下降到某个阈值时,金库被清算并拍卖给一组清算人,这些清算人将 DAI 注入到系统中,以换取 ETH (或其他代币计价的)抵押品。如果有多个清算人(或多个清算机器人)参与这些拍卖,竞价竞争会导致拍卖的抵押品被以公平的价格购买。
然而,正如我们在 Coindesk 之前的一篇文章中提到的,拍卖机制的失败在前面讨论的 MakerDAO 事件中扮演了关键角色。以太坊的网络拥塞创造了这样一种场景:两名清算人在清算拍卖中各自单独出价,以零 DAI 的出价赢得多个拍卖。由于 MakerDAO 的拍卖机制没有指定底价或最低出价,因此无法阻止清算后 ETH 资产被无偿出售。这在 MakerDAO 系统中造成了 570 万美元的缺口,并为 MakerDAO 带来了一系列其他问题。
关于拍卖设计有着丰富的经济学研究文献。有两个因素已经被证明对拍卖结果有重大影响,一是是否规定了底价,二是如何确定拍卖结束时间。如果将这些研究中的见解应用到 MakerDAO 的设计中,将会极大地改善这些拍卖的运作,避免 MakerDAO 系统再次出现数百万美元的赤字。
DeFi 中的治理差距
DeFi 系统存在这样的风险:一个小小的经济漏洞就可能破坏整个系统的完整性。
这种风险可以通过建立专门的风险管理机制,如后备方案、故障保护和危机治理机制等得以减轻。然而,构建应急保障组件往往很复杂。
在 Lendf.Me 事件中,dForce 本可以通过某种危机治理机制来防止损失。然而据我们所知,在系统遭到破坏时,没有任何紧急关机程序或计划来及时停止平台运营。从 dForce 团队得知攻击的消息到 Lendf.Me 存款被冻结之间大概隔了 4 个小时。dForce 没有运用去中心化治理,因此并不需要花时间来协调利益相关者执行应急程序,在这种情况下居然仍然无法及时行动,这令人惊讶。
此外,在 dForce 采取行动后,他们没有完全暂停资金流入借贷协议,而是在网站上简单地挂出了红色警告横幅,上书「请勿继续供应」。
缓慢的行动,有限的响应,这些都不成其为促进用户信任的紧急行动。
正如我们在前一篇 CoinDesk 文章中所讨论的那样,定义明确的危机治理是任何区块链平台的重要组成部分。从平台上线开始,就必须有一套明确的规则,规定哪些事件会触发危机治理流程,谁获准代表平台做出决定,以及他们有哪些行动的选项,这一点至关重要。
如果没有这一套基础设施,危机期间不采取行动所带来的混乱可能会造成重大损害,并阻碍用户的采用。
DeFi 需要经济安全
DeFi 系统非常复杂。虽然复杂的系统可以提供重要的价值,但复杂性也为自利行为者的游戏行为提供了许多途径。
在 DeFi 中,金融工具的创建、转移、关闭或销毁都必须以精确的顺序满足特定的算法标准,这可能是一个特点,但也会造成经济上的漏洞。DeFi 系统的创建者有责任和义务开发出在经济和技术层面上安全的平台。
为了避免用户损失和崩溃,严格的经济审核对于 DeFi 项目至关重要。