CertiK CEO顧榮輝：安全審計是高質量DeFi項目的標配_CER:CERT

過去8個月，DeFi正以快速突擊的態勢發展壯大。截止9月1日，Debank數據顯示，DeFi總鎖倉金額近8個月由7億美元左右上漲至116.14億，約16.3倍；DeFi總市值近8個月由15億美元上漲至186億美元，約12.4倍；DEX交易量近8個月由464萬美元左右上漲至11億美元，約236.8倍；抵押借貸市場總借款量由1.49億美元上漲至16億美元，約10.7倍。

DeFi市場飆升的同時，越來越多的DeFi協議諸如Yam Finance、Spaghetti Money、SushiSwap以及Kimchi Finance等強勢吸引了數十億美元的資產。

Balancer（BAL）、Compound（COMP）、Synthetix（SNX）、Ampleforth （AMPL）、UWA（yUSD）等協議引發的流動性挖礦更是掀起一波熱潮。盡管有諸多項目未經審計，但眾多用戶仍將大額資金投入其中，對于挖礦樂此不疲。

CertiK：Conic Finance再次受到閃電貸攻擊:金色財經報道，據CertiK官方推特發布消息稱，Conic Finance再次受到閃電貸攻擊。截至目前，EOA地址 (0xB636) 以及EOA地址 (0xd050) 已經獲利至少22.3萬美元。[2023/7/22 15:52:04]

如何看待這一波DeFi流動性挖礦浪潮？普通投資者應該如何參與？需要注意的風險有哪些？金色財經由此對話CertiK聯合創始人&CEO顧榮輝，探討其中的風險與機會。

金色財經：如何看待這一波DeFi流動性挖礦浪潮？

CertiK聯合創始人&CEO顧榮輝：最近DeFi流動性挖礦熱潮，可以說是展示出了DeFi在新實踐上的成功。在DeFi基礎上，流動性挖礦將金融的特性拓展開來，以挖礦獲得高額利潤來吸引區塊鏈投資者，并將巨額資金鎖住，從而為DEX（Decentralized Exchange 去中心化交易所）提供海量流動性（Liquidation）。

CertiK獲SUI頒發50萬美元漏洞賞金:金色財經報道，全球區塊鏈和智能合約安全團隊CertiK因發現一種新型安全威脅而被SUI授予50萬美元賞金。該威脅被命名為“HamsterWheel（倉鼠輪）”，并有可能破壞SUI整個Layer 1網絡。

在主網啟動前，CertiK向SUI報告了這一關鍵漏洞，并得到了SUI的確認與反饋。認識到情況的嚴重性后，SUI迅速實施了安全解決方案以緩釋這種攻擊的潛在威脅。目前SUI已推出修復措施用以確保其網絡安全。

SUI為了感謝CertiK，SUI支付了50萬美元用來獎勵這一關鍵性的發現。關于HamsterWheel攻擊的技術細節和對Layer 1更深層次的影響將會隨后披露給公眾。[2023/6/19 21:47:41]

從金融市場角度來說，流動性挖礦的本質是為當前各DEX提供大量的流動性。流動性挖礦，為DEX減少了交易滑點，增強了交易深度，也增強了流動性。流動性越強，則金融系統中的投資者在市場中買賣資產越容易。

Balancer宣布新Boosted Aave礦池上線:金色財經報道，Balancer 剛剛發布了基于 Aave V3 市場的新 Boosted Pools。Aave V3 是對 Aave 協議最重要的升級，確保了數十億美元的無許可智能合約。團隊可以通過將 bb-a-USD 用作 Balancer 上的基礎對來構建新的創新礦池和金融 dApp。通過使用 Aave 增強池構建，集成商繼承了 Aave 協議中內置的高安全性標準。[2023/4/6 13:47:00]

從資本市場角度來說，這些DeFi流動性挖礦項目的接踵而至，也正是因為背后有大量資金涌入其中。比如Sushiswap是社區資金支持，側面反映出大眾普遍對DeFi市場看好；UniSwap則是由VC資金支持，這側面說明了資本對區塊鏈，特別是對DeFi的未來有十足的信心。

但與此同時，這種熱潮也反應出了群體面對利益的追逐以及趨利性的社會價值觀。很多大眾認為只要有足夠的利潤，風險都是可以忽略不計的。項目方過度炒作以及部分媒體的大肆渲染也容易導致群眾盲目跟風而進行非理性投資。特別是大眾投資者看到某些人因此賺到了錢，就會有“幸存者偏差”，僥幸地認為壞事不會發生在他們身上。

基于BSC的Arbix Finance協議被CertiK標記為Rug Pull:區塊鏈安全公司CertiK已將基于Binance Smart Chain的流動性挖礦協議Arbix Finance標記為“Rug Pull”（拉地毯）項目。根據CertiK的事件分析，Arbix Finance項目顯示了太多的危險信號。CertiK稱：“ARBX合約只有所有者功能的mint()，1000萬個ARBX代幣被鑄造到了8個地址”。CertiK還確認有450萬個ARBX被鑄造到一個地址，之后“450萬個鑄造的代幣被丟棄。”另一個危險信號是1000萬美元的用戶資金。這筆資金在存入后被定向到未經驗證的池中，黑客最終獲得了所有訪問權限，耗盡了全部1000萬美元的資產。（Coingape）[2022/1/6 8:27:48]

對于區塊鏈本身，當前DEX和諸如SushiSwap的項目雖然為DeFi系統注入了巨大的活力，但目前仍無法找到足夠讓這個龐大的金融系統獲利的應用場景，即Killer Application。而這個應用場景，能讓DeFi甚至區塊鏈項目都進行落地，并且愿意讓市場主動埋單。

Balancer聯合創始人：100%專注于以太坊 擴展方案Zk Rollups最有前途:10月28日，Balancer聯合創始人兼CTO Mike McDonald發推闡述其對Balancer以及擴容解決方案的看法。他表示，重要的是要明確我們100％專注于以太坊。 盡管Balancer已經為一些第三方提供了小額贈款，幫助他們在其他L1網絡上實施Balancer協議，但這只是處于研究目的，所有的內部努力仍在以太坊上。與此同時他還表示，Zk Rollups是最有前途的擴展方案，并且也是Balancer目前在內部探索的唯一的擴展路徑。 話雖如此，但從L2演示應用邁向具有有意義的資金鎖定狀態的共存的L2仍然需要大量時間和持續開發。[2020/10/28]

交易細節上，由于在交易過程中交易確認時間較慢(可高達幾分鐘)以及交易費用較高等特點，也體現了以太坊的不足之處。

最重要的是，由于DeFi發展過快過熱，很多投機者為了賺錢而快速上線，跟風發布項目，甚至赤裸裸的地模仿其他項目。代碼世界的版權問題暫且不說，這些項目有不少都沒有經過專業審計，更有甚者未經測試就急于上線，項目安全和大眾的資金安全十分令人擔憂。

金色財經： 諸多SushiSwap仿盤出現，是否有安全隱患或者技術風險？這些風險、漏洞為什么擋不住瘋狂的用戶？

CertiK聯合創始人&CEO顧榮輝：未經審計的合約會有較高概率存在漏洞，進而成為安全隱患。并且由于當前DeFi挖礦熱潮，未經過審計的合約中存在的漏洞會有極大可能被新出現的挖礦項目（仿盤）繼承。為了讓大家看的更清晰一些，以下我將對風險進行分類闡述。

一、智能合約風險

舉個最簡單的例子，就是寫代碼的時候出現失誤。比如眾所周知的YAM項目，將基本計算公式寫錯從而造成了不可挽回的局面。

針對智能合約相關漏洞，這里我用最近大火的幾個項目舉例：比如SushiSwap項目有重入攻擊（reentrancy）安全漏洞；再比如SushiSwap的仿盤項目Yuno與Kimchi，擁有類似的“無限增發漏洞”，即智能合約擁有者擁有絕對的權利可以無限增發代幣。這種情況下一旦沒有外力限制，則有可能造成代幣的瘋狂發布從而代幣通脹進而貶值。當然目前SushiSwap和Kimichi項目已經由Timelock進行管理，問題暫時得到了緩解。      

智能合約一旦出現問題并被惡意利用，則有可能影響LP (liquidity pool) 的資金安全。合約漏洞也可導致市場價格變動劇烈，如上文所說的YAM項目，短時間內價值從100$跌到了1$。無論哪種情況，對于大眾投資者來說都是“血虧”。

二、其他風險

除了智能合約風險外，還存在但不限于鎖倉折損風險、操作風險、交易摩擦風險以及私鑰風險等等。比如對于普通用戶來說，挖礦過程相對復雜，如果操作失誤，資金會不慎丟失；對于散戶來說，每一筆gas費用較為昂貴，并且有可能交付了幾筆gas費用，然而交易本身還未成功。

至于這些風險為何依然抵擋不住蜂擁的用戶：

首先，我想這種新型金融模式的出現，民眾都普遍愿意“嘗鮮”。其次，部分民眾會有從眾心理。特別是現在DeFi流動性挖礦的新聞鋪天蓋地地充斥這個圈子。當然這些項目最吸引大眾的地方，還是他們短時間內能夠獲取的超高收益。這樣驚人的收益率打破了數年來傳統金融的固有年化收益局限。比如SushiSwap項目一開始最高APY(年化)為20000%，Kimchi一開始的最高APY(年化)為400000%。很多時候，利潤率只要足夠高，民眾就有可能被利益蒙蔽從而忽略了其中的風險甚至寧可冒險也要一試。

金色財經：普通人想要參與，應該重點關注哪些指標來防止相關風險？

CertiK聯合創始人&CEO顧榮輝：首先，每個人的風險偏好和資金實力不同。進入項目前，不妨先評估一下自己的風險承受能力。我想這是所有投資者在進入任何的項目前（不管是DeFi還是傳統金融）都需要做的事情。而DeFi項目太過火熱、出新頻繁等特點，容易導致大眾在短時間內忽略風險偏好的判斷以及對風險承受能力的評估。

其次，用戶應該在投資前盡量對項目進行調研，比如社區中媒體上不同的聲音，是否有人對合約的安全性提出質疑。當然我們也要擦亮雙眼去辨識消息的真實性。因為社會中各個群體利益不同，其中不乏有帶節奏者。因此建議大家寧可多花時間觀察清楚，晚一點“入場”，也不要貿然進入有風險的項目。

最后，如果有能力和精力，可以檢查這個項目的合約是否有進行過專業審計。安全審計現在已經是高質量DeFi項目的標配。若項目沒有被審計，對于用戶來說，投資行為則要格外慎重；對于項目方來說，則需要找專業并且聲譽好的審計公司進行審計。若項目被審計過，則需盡量了解審計公司背景以及其審計報告中的各項指標，其中包括但不限于：

安全審計的范圍，方法，及結論

合約是否有漏洞或者安全隱患？如果有，需要了解這些問題的嚴重程度及可能影響

合約整體的代碼質量

審計公司的專業性和獨立性

Tags：CEREFIDEFDEFICERTDEFIDODeFi LandGDEFI幣

歐易交易所