幣乎咕嚕DeFi踩雷記：掉坑lendf.me，投資者需警惕這6類DeFi風險_KEY:onekey公司

作者：咕嚕

編者注：原標題為《幣乎咕嚕踩雷記》

好像全網都知道了我最近踩了lendf.me的雷，既然都知道了，也是好久沒寫文章，今天跟大家來分享一些思考。

Lendf.me屬于Defi范疇，是DeFi中非常流行的抵押借貸類產品，本文主要講述DeFi類產品的風險識別和規避。

這個世界不存在“無風險收益”，不確定性是這個世界的本質屬性，量子力學告訴我們。

巴菲特把10年期美國國債的利率作為無風險利率的近似，用到“未來現金流折現公式”里，這個大概是巴菲特能找到的最接近零風險的回報率了吧。巴菲特心里應該清楚，10年期美國國債的風險不是絕對零，只是風險很小，市場認為美國10年內國債違約的風險接近于零。注意，這里所說無風險，是指在美元本位的前提下的論述，別忘了，美元是在通脹和貶值的。

再舉個例子，圈內熟悉的搬磚套利不是無風險的。搬磚通常在2個中心化交易平臺之間進行，那么存放在交易平臺上的資產承受著交易平臺出事的風險。同時，搬磚本身也存在因時間差而被阻擊的風險，另外還有中間鏈路出問題而導致第二筆無法成交或成交延遲的風險。這些風險都是真實存在的，市場上的每個人對這些風險的評估不同，在特定搬磚回報率的條件下，有的人選擇參與，有的人不參與。

NFT集體證明正在為其Moonbirds社區構建3D世界:金色財經報道，NFT 集體證明 Proof 正在與 3D 世界構建平臺 Mona 合作推出“Moonbirds Monaverse”，這是 Moonbirds 社區的一個新的社交和虛擬世界，他們在2023 年共識大會上宣布了這一消息。

Mona 將提供技術支持，幫助 Proof 拓展虛擬世界空間。兩家公司表示，此次合作旨在創造社區體驗，例如現場市政廳、觀看派對和藝術展示。周四，“100 PROOF 播客”現場直播了虛擬體驗的早期預覽。[2023/4/28 14:31:39]

回到DeFi。不同的DeFi產品，風險各不相同。那就說說抵押借貸類DeFi，參與這類DeFi產品的風險我認為有這些：智能合約代碼安全性引入的風險；智能合約AdminKey引入的運營風險；持有特定資產本身的風險；抵押借貸類DeFi本身的市場風險；包括抵押品迅速跌價導致無法及時平倉的風險、某一抵押品抵押數量過多導致市場流動性無法消化的風險，和是緊密關聯的；智能合約平臺的風險；用戶自身私鑰管理的風險。

下面一一分析：

智能合約代碼安全性引入的風險。

這是目前DeFi應用最主要的風險，我個人認為占了總風險的大多數。智能合約作為管錢的“機器人”，是一段要求不能有Bug的代碼。代碼中引入Bug通常有2種途徑：程序員對需求是理解正確的，但是在寫代碼的過程中引入bug，導致代碼無法100%正確表達需求；程序員對需求的理解有誤，或需求本身錯了，導致根據此需求寫出的代碼是錯的。嚴格意義上講，最近出事的Lendf.me不屬于以上任何一種，而是智能合約被超出范圍地使用：出事的智能合約不應該納入ERC777的代幣，而imBTC作為ERC777的代幣被錯誤地納入到了抵押品里，導致智能合約被假幣欺騙，在智能合約賬本內部虛構大量的imBTC作為抵押品，借走智能合約里存放著的所有其它資產。

Coinbase的L2網絡Base發布后，與其無關的BASE代幣經歷暴漲后暴跌:2月24日消息，Coinbase昨日宣布推出L2網絡Base測試網后，與其無關的Base Protocol的BASE代幣在過去24小時內飆升，然后暴跌。

CoinMarketCap數據顯示，Base的市值僅為100萬美元，價格昨日晚間8點左右約1.9美元，在Coinbase的Base宣布后，BASE價格暴漲至6.8美元以上，早期參與者的收益高達250%。BASE現已回落至1.97美元左右。

報道稱，該代幣已上線Gate和PlasmaSwap。Base Protocol表示，BASE代幣代表了整個加密行業，其價格與所有加密貨幣的總市值的比例為1:1萬億。[2023/2/24 12:27:18]

如何識別和規避風險？

首先，安全審計報告是規避智能合約風險的第一道關口，也是最重要的關口，也是目前唯一能前置規避智能合約風險的措施。我個人不會把資產存放在沒有安全審計報告的智能合約里。

其次，時間是最好的檢驗。經過長時間有效實戰檢驗的智能合約，風險顯著降低。多長時間算長？我個人認為至少1年以上。

智能合約AdminKey引入的運營風險。

Coinbase CEO：公司現持有約200萬枚BTC，請警惕虛假信息:11月23日消息，Coinbase首席執行官Brian Armstrong在推特上表示：“我們的財務是公開的（我們是一家上市公司），我們持有約200萬枚BTC，截止9月30日價值約399億美元，我們需要團結起來，以負責任的方式建設這個行業，請警惕虛假信息。”

此前，幣安首席執行官趙長鵬在推特上表示：“Coinbase Custody為灰度公司持有63.5萬枚BTC。而4個月前Coinbase只有不到60萬枚BTC。”不過，在Brian Armstrong對此作出回應后，趙長鵬已刪除上述推文，并承認這個數字是錯誤的。

CryptoQuant.com也對此發表評論，稱由于Coinbase對每筆存款都使用一次性錢包，因此沒有一家鏈上數據提供商能夠提供準確的Coinbase BTC儲備。數據提供者只能識別冷錢包。希望交易所將客戶資金轉移到更少的錢包而不是許多一次性使用的錢包中以提高透明度。[2022/11/23 7:59:24]

什么是智能合約的AdminKey？智能合約作為一個提供服務的“機器人”，很多時候運營方需要留有人工的權限去控制這個“機器人”，例如關停“機器人”，再例如凍結智能合約中某個賬戶的資產，等等。如果存在這樣的Admin

Upbit母公司Dunamu創始人：Dunamu將通過三項核心服務加強和推動其業務發展:金色財經報道，加密交易所Upbit母公司Dunamu創始人兼董事長宋智亨在周四舉行的 2022 年 Upbit 開發者大會上表示，Dunamu將通過三項核心服務加強和推動其業務發展：Upbit 加密貨幣交易所、Upbit NFT 交易所和 Levvels。?據當地媒體報道，宋補充說，克服“加密貨幣寒冬”的驅動力是區塊鏈和加密貨幣的不同應用，例如DeFi、NFT 和P2E。Dunamu 的 CEO Lee Sir-goo 在同一場活動中也表示，他對 Levvels 的推出投入最多；Lee 認為 Levvels 是 Dunamu 向海外擴張的機會。Levvels 預計將提供與基于 K-pop 藝術家的知識產權 (IP) 的 NFT 相關的服務。[2022/9/23 7:16:34]

Key人工權限，就會引入額外的風險。有的智能合約是沒有AdminKey的，例如uniswap，也就是說，運營方沒有權限對智能合約做任何干擾，“機器人”是完全自動運行的。

對于有AdminKey權限的智能合約，如何識別和規避風險？

智能合約通常都是代碼開源的，但很少有人會去真的查看代碼，一個負責任的運營方應該有義務主動披露AdminKey權限。

Coinbase下周將上線第二個加密衍生產品Nano ETH Futures:金色財經報道，Coinbase周四表示，該公司將于8月29日在其衍生品交易所上線Nano ETH Futures。Nano ETH Futures是Coinbase的第二個此類衍生品產品，該公司在6月份推出了Nano BTC Futures。（The Block）[2022/8/26 12:49:32]

看AdminKey的權限范圍。主要看AdminKey權限是否有權動用用戶在智能合約中的資產，以及其它會影響用戶資產的權限。例如，如果僅僅是關停智能合約的服務，關停之后用戶仍然可以提幣，像這種“剎車式”的AdminKey權限屬于保護性質，而不是侵入性質。那些可以凍結、轉移、沒收用戶資產的AdminKey權限，需要格外當心。

看是否對AdminKey權限設置了延時生效機制。延時生效機制是防范AdminKey的侵入式權限對用戶造成傷害的有效防御手段，同時也是反應運營方態度的關鍵看點。例如，MYKEY作為一款智能錢包，其所依賴的KEYID協議目前設置了4天的延時生效機制，也就是說，運營方如果要修改協議，至少4天后才能生效，如果待生效的協議對用戶不利，用戶有4天時間可以選擇退出并撤走所有資產。隨著時間推移，KEYID協議的延時長度將逐漸從4天提高到30天以上。

看持有AdminKey權限的運營方本身是否信譽良好，其所處的司法管轄區是否能起到有效的保護作用。

持有特定資產本身的風險。

持有的資產本身具有價格波動的市場風險、資產被Token合約本身的AdminKey凍結/沒收的風險，等等。

抵押借貸類DeFi本身的市場風險。

核心的市場風險：抵押品迅速跌價導致無法及時平倉的風險。某一抵押品抵押數量過多導致市場流動性無法消化的風險，會導致風險的發生和加劇。

如何識別和規避風險？

在抵押協作中規定針對特定單一抵押品的抵押數量上限，上限的設定須與該抵押品的市場真實流動性匹配，尤其是要考慮泛濫的刷成交量這類因素。

評估抵押協議中的平倉機制設計是否合理，平倉機制是否能有效利用市場中的流動性進行平倉。

評估被納入的抵押品本身的風險。

智能合約平臺的風險。

像以太坊這樣的智能合約平臺，自身是存在風險的，這個風險的規避與智能合約風險的規避類似：安全審計。例如，以太坊早期做了非常詳實的安全審計。長時間的有效實戰檢驗。例如以太坊這樣的智能合約平臺，上線已經接近5年，早期出過一次中等級別的漏洞，導致被DoS攻擊造成交易擁堵，后來基本運行平穩。

用戶自身私鑰管理的風險。

用戶的私鑰存在丟失、被盜的風險。用戶發生人身事故，導致用戶私鑰所管理的資產無法繼承的風險。

如何識別和規避風險？

學習私鑰保管的相關知識，建立一套完善的、適合自身的私鑰管理體系，包括備份、保密機制、物理存放安全、發生人身事故后的預案。通過使用智能錢包規避私鑰管理的風險。注意，智能錢包為私鑰保管提供更多安全和便利的同時，同時也引入了智能合約風險和AdminKey風險，需充分了解相關風險后根據自身情況選擇使用。

好了，大道理說了一堆，那么我是怎么掉進這次lendf.me事件的坑里的呢？

首先，作為在Mt.Gox丟過幾十個BTC的人，我對中心化平臺的風險認識應該說是充分的，一般不會將資產長時間地存放在中心化平臺上，尤其是在當前缺乏監管的行業大背景下。這讓我對DeFi有天然的好感。

參與lendf.me的過程中，我主要關注3類風險：智能合約的風險、智能合約AdminKey權限的風險、lendf.me抵押借貸的市場風險。

先說lendf.me抵押借貸的市場風險。在2020年3月12日的市場暴跌中，lendf.me平臺較好地抵御了市場的暴跌，沒有出現抵押品清算不利導致資不抵債的情況。所以3月12日之后，我對平臺的信任度有所上升。

關于智能合約AdminKey權限的風險，我事先知道平臺是留有該權限的。平臺的創始人與我相識，平時有不少交流，欣賞創始人的學識。出于對創始人的信任，我對平臺的AdminKey權限也有連帶的信任。

對于最重要的智能合約風險，我主要是通過“長時間的有效實戰檢驗”這一措施來規避，現在看來，有以下幾方面今后可以改進：

對“長時間”的定義應更加保守，原來我的定義大約是6個月，現在看來至少是1年。參與的資產占個人整體資產的百分比的上限，應與智能合約經過實戰檢驗的時間長度成正相關關系。

風險和收益應該成正比才對。我參與平臺的主要方式是穩定幣理財，剛開始的時候收益率是比較高的，印象中是5-10%，后來隨著收益率的下降，其實風險和收益的對比已經不劃算了，但是由于惰性和僥幸心理，我并沒有及時去調整頭寸，例如出事前USDT在平臺上的年化收益率不到1%，顯然是與風險不匹配的，理性的選擇應該將資產從理財中取出。這是我在這次事件中，犯的最大的錯誤，今后引以為戒。

更加重視安全審計報告。平臺關聯的審計報告，我事先并沒有去了解，雖然對于本次事件來說，是否去看了審計報告并不會影響事情的結果，但我確實沒有事先去看審計報告，這是不對的。最后，說說展望。

DeFi作為一個新的范式，并沒有因為這次事件被證偽。好好想一想，讓一個透明規則的“機器人”來提供金融服務，這是一件多么意義重大的事情，是一種全新的范式轉移。這一范式轉移，依然令人激動。然而，如何打造更安全的“機器人”，是今后區塊鏈從業者必須要解決的問題，不然，新的范式不會流行。我個人會繼續參與DeFi的投資和建設，以調整之后的風險意識參與。

想要獲得收益，必須接受風險。世界的本質是不確定的，哪里都是風險，沒有絕對的安全。想一想這次疫情，好好家中坐，禍從天上來，去超市買菜都存在死亡的風險。接受它，正視它，坦然面對，與狼共舞。

從投資的角度，務必遵守“分散原則”。這次踩雷事件中，我一直篤信和踐行的分散原則，起到了最大的保護作用。雖然損失的絕對金額不少，但占比不是太大，當然，調整風險評估體系后，占比應該要更小一些。雖然踩了雷，事后心情固然有短暫的不開心，但并沒有強烈的負面情緒，并不沮喪，并不悲觀，更談不上絕望。不然，也不會有心思寫此文，此文也就無緣與你相見。分散原則讓你夜里可以安睡。

Tags：BASEBASKEYADMcoinbase買的USDT不能發送coinbase的特點是onekey公司adm幣是什么價格

比特幣價格今日行情