簡析Stacks生態項目ALEX：原生BTC借貸+固定利率的想象空間有多大？_LEX:IBBTC

在Aave、Compound等以太坊借貸平臺的推動下，ETH等主流加密資產流動性得到充分利用與開發，用戶可以利用手中的USDT、ETH等資產進行儲蓄獲得可觀利率，同時資金需求方可以抵押資產而借出目標資產，大幅提升資金利用效率。

目前，DeFi借貸市場的行業格局已基本穩定，但仍然存在兩個明顯痛點。第一是大部分借貸平臺提供給儲蓄用戶的利率為浮動利率，用戶難以知曉其實際的年化利率；

第二，BTC資產的流動性仍未得到充分開發，由于BTC資產橋接過程較為復雜，同時許多BTC持有者仍然對以太坊較為排斥，BTC作為全球市值最高的加密項目，在借貸市場的份額仍然很低，以Aave為例，WBTC供應量為17億美元，在該平臺總供應量中僅占9%。

因此，這個方向仍然蘊藏著加密借貸市場的巨大潛力，基于Stacks公鏈的開源DeFi協議ALEX則試圖解決前述問題，即幫助用戶便捷地通過BTC獲得預定期限的固定利率收益，進而加速釋放價值超過1萬億美元的BTC市場的流動性。

安全公司：AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道，據區塊鏈安全審計公司Beosin EagleEye監測顯示，2022年11月23日，AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證，導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數，接下來調用claimNodeReward函數提取節點獎勵，而節點獎勵的計算取決于攻擊者設置的rewardPerDay值，導致計算的節點獎勵非常高。而在這一筆交易之前，攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR，創建了攻擊者的節點記錄，從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]

如何集成原生BTC？

Beosin：UVT項目被黑客攻擊事件簡析，被盜資金已全部轉入Tornado Cash:金色財經報道，據Beosin EagleEye 安全預警與監控平臺檢測顯示，UVT項目被黑客攻擊，涉及金額為150萬美元。攻擊交易為0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499

經Beosin安全團隊分析，發現攻擊者首先利用開發者部署的另一個合約的具有Controller權限的0xc81daf6e方法，該方法會調用被攻擊合約的0x7e39d2f8方法，因為合約具有Controller權限，所以通過驗證直接轉走了被攻擊合約的所有UVT代幣，Beosin安全團隊通過Beosin Trace進行追蹤，發現被盜資金已全部轉入Tornado Cash。[2022/10/27 11:48:46]

據了解，ALEX底層集成的Stacks公鏈旨在打通原生比特幣以獲得最高安全性的同時，也支持去中心化應用程序和智能合約。該區塊鏈上成千上萬筆交易在比特幣上會產生一個散列，作為共識的一部分，Stacks?交易會自動在每一個比特幣區塊上「結算」，從而連接了比特幣網絡和?Stacks?區塊鏈，并擴展了比特幣的功能。

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

正是由于Stacks的前述特性，可以使得ALEX低成本打通原生比特幣成為可能。在以太坊生態，目前用戶需要通過第三方服務商將BTC轉為WBTC、tBTC等包裝資產，過程繁瑣且成本較高。以WBTC的橋接過程為例，用戶需要經過在WBTC商戶開戶、將BTC轉移到WBTC商戶、商戶尋找BTC托管人、商戶將BTC轉給托管人、托管人將WBTC轉給持有人、持有人再將WBTC轉至以太坊等至少6個步驟。

Force DAO 代幣增發漏洞簡析:據慢霧區消息，DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現： 在用戶進行 deposit 操縱時，Force DAO 會為用戶鑄造 xFORCE 代幣，并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度，當用戶的授權額度不足時 transferFrom 函數返回 false，而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行，xFORCE 代幣被順利鑄造給用戶，但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查，以避免此問題的發生。[2021/4/4 19:45:30]

而在ALEX的解決方案中，BTC持有者可以直接使用其BTC參與DeFi生態，盡管其中也存在包裝過程，但對用戶是不可見的，不影響其使用體驗。同時，該解決方案也不存在中介風險、KYC流程，同時大幅降低成本。

此外，ALEX未來還將支持?Stacks?上的所有本地/SIP10?兼容代幣，以拓展自身滿足Stacks?DeFi生態不斷發展的需求的能力。

如何實現固定收益？

在?ALEX?上，固定利率通過基于遠期合約的代幣“ayToken”實現。它類似于傳統金融市場中的場外交易雙邊遠期合約，指定標的資產“Token”和到期日。

借款用戶可以通過向抵押品池中添加符合條件的抵押品來鑄造ayToken，并在第一天以低于現貨代幣價格的折扣出售ayToken，并在到期時返還?Token，借出用戶以低于現貨代幣價格的折扣購買?ayToken，并在遠期價格與現貨價格趨同時在到期時收回標的資產。

購買?ayToken等同于以?ayToken?的價格隱含的利率借出代幣，出售?ayToken?則允許持有者以固定利率借入了ayToken，隱含利率取決于遠期價格與交易時現貨價格的折讓程度。

如何利用AMM機制？

同時，ALEX使用了AMM機制來進一步提升生態系統內的交易效率，目前設定了流動性引導池、收益代幣池、抵押品再平衡池等池類型。

其中，流動性引導池使用加權方程，旨在促進一種代幣相對于另一個代幣的資本效率啟動；收益代幣池使用?Yield?Token?方程，專門用于促進?ayToken?和?Token?之間的高效交易；抵押品重新平衡池使用加權方程并在代幣和抵押品之間動態重新平衡，以確保鑄造的?ayToken保持償付能力，尤其是在不利的市場環境中。

以?ayBTC?/?USD?池為例，該池將針對?BTC?上漲實施動態對沖策略，即隨著?BTC?現貨上漲，賣出美元并買入?BTC，反之亦然。由此產生的美元和?BTC?之間的重新平衡將由參與池定價曲線的套利者執行。借款人實際上是一個?LP，所提供的美元抵押品將自動轉換為一籃子美元和?BTC。

該機制的主要好處是ALEX可以更有效地處理?LTV?，并在使用適當LTV與儲備基金的情況下完全取消清算。不過，該機制也會導致貸款人在還款時收到的抵押品的美元價值將與原始價值不同。

此外，ALEX還推出了?Vault?持有和管理所有?ALEX?池的資產，即Vault與資金池是分離的，這使得在?ALEX?上構建自定義池時用戶的交易成本更便宜和開發人員的學習速度更快。由此，ALEX允許用戶使用閃電貸功能，利用兩個或多個池中的任何價格差異進行套利，而無需持有任何代幣。

總結

通過上述設計，ALEX生態主要存在四種角色，第一種角色是貸方，在固定期限內以固定收益率存入代幣；第二個角色是借款人，在固定期限內發布抵押品并借出代幣；第三個角色是流動性提供者，為資金池提供流動性并確保?ALEX?池的順利運作；第四個角色是套利者，減少?ALEX?池再平衡后代幣與市場價格的差異。

這些角色的充分運作可以保證ALEX借貸機制的順利運作，同時實現低成本、高效率、固定收益、無清算風險等優勢，進一步豐富DeFi生態的用戶選擇。

目前，ALEX的產品尚未正式上線，不過作為?Stacks?公鏈上最早的?DeFi?項目之一，以及整合了原生BTC流動性、固定利率借貸以及AMM機制的創新型產品，仍然值得期待未來的具體表現。

?

Tags：BTCABULEXALEXIBBTCSHIBSHABUPLEX幣ALEX價格

比特幣價格今日行情