DeFi 服務簡介
意思是在傳統金融裡提供的服務,在去中心化的區塊鏈裡都有相對應的版本。以下簡單介紹目前知名的平台以及相對應的服務。
1. 換幣所/自動造市商
同一個區塊鏈上可能由不同項目方出的代幣,比如說狗狗幣 如果想要購買這些代幣,就可以使用換幣所的服務,可以類比為傳統金融裡的證券商。
知名平台: Uniswap
2. 借貸平台
如果不想要換幣,這類平台透過抵押加密資產來借出另一種加密資產,平台方透過收取手續費以及利息來營利。當抵押品價值低於貸款以及利息的話,平台會強制平倉來保證安全。
此類平台有時還能提供閃電貸款(flash loan),這是一種毋需抵押品即可借出大量資金的服務,靠著智能合約限定借出與歸還必須在同一個區塊完成,否則交易作廢,因此平台方沒有任何風險。
知名平台: AAVE
3. 儲蓄
這類平台主要目標是高利息來吸引用戶儲蓄,同時平台也會將資金借出來為儲蓄用戶提供利息。
知名平台: Anchor
4. 跨鏈協議
目前區塊鏈上有許多公鏈,比如說以太鏈,幣安智能鏈等等。不同的公鏈之間互不相通,如果想要把資產從某個公鏈轉移到另一個公鏈上,就需要跨鏈協議的服務,可以把跨鏈協議理解為外幣兌換。
除此之外,更多DeFi項目還有比如說: 中央銀行 (Olympus DAO) ,期權(Synthetix) ,資產管理(Yearn Finance),等等。隨著大眾的需求,DeFi的應用還在不停地開發中。
加入BlablaBlock的非公開產品測試,嘗試全台灣的第一個投資DAO:https://www.blablablock.com
我們的Telegram:https://t.me/blablablockDAO
3個常見的DeFi犯罪
有金錢的地方就有犯罪,不管事現實世界中或是虛擬世界中。根據加密資產研究機構Elliptic的報告, 這些平台在2021年總共被盜取了至少100億美金, 比2020被盜取的金額高出五倍以上。下面簡單介紹一些犯罪者使用過的盜取方法。
1. 程式漏洞 — code exploit
因為許多DeFi專案的程式碼都是開源的,如此一來大眾都能看到源代碼,不用擔心項目方在背後搞鬼,安心的使用平台。
但是換句話說,如果代碼中有瑕疵的話,駭客們可以更好的研究代碼並找到其中的漏洞進而盜取金錢。大多數的DeFi犯罪都是利用程式漏洞。
比如說,多鏈跨鏈協議Poly Network 在2021年8月時遭到駭客利用智能合約調用之間的漏洞盜取了當時市值約6億美金的加密貨幣。此起事件榮登DeFi 損失金額歷史排行榜的第一名,幸運的是,駭客已經歸還大部分被盜的資金。
不僅如此,通常情況下一個當一平台成功時,其他人也為拷貝其代碼來架設服務,這種行為稱為分叉(fork) 。如果某天一個平台的漏洞被利用了,其他分叉的專案也會一同遭殃。
程式漏洞各式各樣,大多數的時候連開發者都沒有想到。許多平台為了安全,都會將程式碼由審計公司證明安全性。但是因為審計公司也會有疏忽,就算是審計過的專案也不能百分之百保證安全。一些平台為了避免類似事情發生,特別開出高額賞金給駭客,邀請多方好手前來破解以及找漏洞,以用來預先防堵系統的漏洞。
2. 經濟疏失 — economic exploit
第二大的DeFi損失便是經濟疏失。這種盜取的方法並不是因為找到程式碼的漏洞,透過單一平台未預料的使用狀況並結合多個平台的運用來進行違規的套利。最知名的方法就是閃電貸攻擊(Flash loan attack) 。
什麼是閃電式攻擊呢?閃電式攻擊指的是從借貸平台借出閃電貸之後,在去其他流動池較小的DeFi服務利用大筆資金混淆平台進行價格操作,造成短暫時間導致某個代幣供需不穩定並使價值飆高。
與此同時,犯罪者便能用高於市價的價格賣出代幣獲取收益。等到價格回到原點時,交易所便會造成損失。
兌幣所為了避免類似的攻擊,其中一個可行的做法是交易所使用多個來源來確定代幣的市價,或者是提高定價的更新速度。
3. 捲款騙局 — exit scam/rug pull
跟上面兩個犯罪方法比起來,捲款騙局盜取的金額就小很多,在去年在去年11月只佔了不到總盜取金額的2%,因為這類型犯罪相對好預防。但是被割韭菜還是會心痛啊。
在2021年11月因為韓劇魷魚遊戲的熱度導致大家無腦購入的魷魚幣($SQUID)就是一個很好的例子,大家將以太幣換成項目方的代幣之後,在一瞬間項目方把流動池裡的以太幣通通領走導致幣價大跌。
避免的方法除了詳細審視項目方的背景,也可以在Uniswap 的頁面字形來確認流動池裡的交易深度以及鎖倉量(Total volume locked/TVL),來避免太小以及流動性差的池子。
另外,現在的DEX經過更良好的設計,最初的流動池開創者可以選擇將代幣設定鎖倉期,未到期限之前無法將代幣取出,讓流動池保有更好的穩定性,也讓項目的支持者們感到安心。
盜完之後的錢如何處理?
在區塊鏈上,雖然帳戶地址是匿名的,但是每一筆交易都是透明公開的。合約地址與誰做了金額多大的交易大家都能看的到。
為了保護大家的隱私,在區塊鏈上出現了一種服務叫做混幣器,大略的方法就是多名用戶往混幣器存錢,混幣器會隨機分配金錢流向至其他用戶的錢包,此過程重複多次之後,最後的交易紀錄複雜到難以還原。
這項服務本身不違法,混幣器只是一種提供隱私的一種技術,只是犯罪集團常常使用這項服務來消除痕跡。慶幸的是,犯罪者使用混幣器也並不是完全安全,如果想要換成法幣來真實世界使用,目前多數的交易所如Coinbase, Binance, 都需要通過實名認證,當罪犯把錢轉出來的那一刻,行跡便會暴露。
如何避免DeFi 金融犯罪中損失金錢?
作為平民百姓,我們除了最基本的防止詐騙的意識以及保護好手中的私鑰,使用冷錢包或者紙錢包。我們自己能做到的就只有做好功課,分散風險。
畢竟這類金融犯罪如同銀行搶劫,存摺好好地放在抽屜並不能阻止銀行搶匪炸毀保險庫把裡面的鈔票搬走。但是我們可以選擇信譽好的銀行,有準備應對措施的銀行,來為我們服務。
下列列出一些我們可以關注的重點來避免自身未來的損失
- 選擇知名的老牌的項目
這些平台經過時間以及用戶的考驗,來相對穩當。使用服務前,我們也可以先上網搜尋,觀察平台在論壇還有社交媒體的用戶活躍程度,查看是否有潛在的問題如果真的很想嘗鮮,獲取高額年化報酬,請不要在新的項目存放大量資金,以免發生意外。
- 項目方背景
使用服務前,要確認項目方背景,選不匿名的比較安全,選之前有過其他專案經驗的更好。
- 安全性
挑選經過審計後的項目,不過就算是審計了也不能完全相信。今年初Wormhole跨列協議的盜取案也是通過審計的,但是仍舊出事。不過沒審計的建議不要碰。
- 攻擊後應對措施
深入了解項目方如果被攻擊的話是否有足夠剩餘的資金或者是其他策略來營運平台以及對使用者負責。
- 確認合約內容
可以使用Debank平台來查看是否自己的帳號有簽屬通過無上限金額的合約。
- 分散風險
不要在單一平台存放全部資產,平台被攻擊這件事防不勝防,生為使用者的一方,做好萬全的調查之後,能做的就是不要把雞蛋全部放在同一個籃子裡了。
3個幫助你避免加密貨幣詐騙的網站
這邊也提供一些網站給大家做參考,保護自己在未來有可能發生的DeFi犯罪中受害。
1. Rekt
這是一個專門記錄區塊鏈金融犯罪的新聞網站,右上角還有歷史排行榜,大家可以去看看。
2. Rugdoc
危險性評估網站,這個網站給不同的平台做出了等級的危險性評估。
3. Tokensniffer
這個網站替你評估某個代幣是否有可能是詐騙!
結語
現在大多數的攻擊都發生在以太鏈上,不是因為以太鏈比較不安全,是因為以太鏈上用戶也比較多,服務比較多,資金也比較多,駭客比較有利可圖,比較有動機去找漏洞以及攻擊。現在沒出事的平台,不代表以後不會出事; 有錢的地方就有獵人。區塊鏈技術以及DeFi不是詐騙以及盜取的根源,貪婪才是。大家記得功課做足,小心謹慎。
想要率先使用第一個去中心化共同基金嗎?
加入BlablaBlock的社群吧!
