代碼漏洞、黑客、市場波動、套利者：DeFi 風險管理的范式_DEF:DEFI

DeFi是指用智能合約實現的去中心化金融協議，包括資產交易、借貸、保險、各種衍生品等等；除信用服務外，現實中的金融服務都可以通過DeFi協議實現。這些協議都是去中心化、自動運轉的，沒有第三方機構在管理和維護，所以合約的風險控制便成為行業難題。

DeFi兼具了金融和科技雙重屬性，主要包含以下風險：

1. 代碼風險。包括以太坊底層代碼風險，智能合約代碼風險，錢包代碼風險等。比如當年著名的DAO事件，近期的Uniswap漏洞攻擊問題，各類錢包被盜事件，都是代碼風險造成的。

2. 業務風險。主要是業務設計過程中留有漏洞，被人合理攻擊或操縱。比如當年FOMO3D被堵塞攻擊，又比如dZx錯誤使用了不抗攻擊的Uniswap預言機，被合理打壓價格盜取資產，這類人稱之為套利者。套利者對一個DeFi項目既有不利的一面，也有有利的一面。

Aave V3將選擇Business License代碼許可:12月14日，AaveV3代碼許可投票已結束，Business License獲得55.44%投票率，MIT獲得44.28%投票率，GPL獲得0.29%投票率，因此AaveV3將選擇Business License代碼許可。

Defiance Capital Goh YeouJie表示，擁有Business License與UniswapV3類似，將有助于防止分叉，如果可以延遲2-3年過渡到MITLicense將會給Aave更多時間來建立他們的生態。鑒于Aave生態系統是高度分散和去中心化的，Aave此前決定通過治理投票手段來敲定哪種類型的許可（如果有）適用于Aave協議V3代碼，這也是DeFi領域里第一次采用這種方式。[2021/12/14 7:39:23]

3. 市場波動風險。DeFi在設計時缺少一些應對變量，導致市場極端情況發生出現穿倉。比如MakerDao在312的表現，主要就是市場極端波動風險造成的。

金色沙龍 | 徐坤：Defi的發展讓我們看到了“代碼即規則”的潛力:在本期金色沙龍圓桌上，針對“在當下行情如何抓住投資機會面對新風口，DeFi能不能成為中小企業融資難的解決辦法？對加密貨幣有什么影響？是否能成為行業領跑者？”話題，OKEx首席戰略官徐坤表示Defi的發展讓我們看到了“代碼即規則”的潛力，但也帶給我們更多思考，有幾個問題不容忽視：

1、正如傳統金融市場上，各家金融機構之間的業務相互交織，Defi應用之間也是彼此聯動的，要從整個Defi生態來來建立風險管理機制，提高整個系統抵抗風險的能力。

2、探索鏈上的征信機制，Defi應用之間的黑名單共享與失信用戶行為限制制度。

3、Defi背后必須有真實價值的支撐，除了鏈上原生資產，將實體資產上鏈，才能夠實現更大的價值。[2020/3/11]

4. 預言機風險。預言機提供全局變量，是大部分DeFi的基礎，如果預言機遭遇攻擊或者出現停擺，則下游DeFi會陷入崩潰。我們認為預言機將成為未來DeFi最重要的基礎設施，帶有任何中心化風險的預言機，最終都會走向消亡。

聲音 | 西南政法大學林少偉：法律的多變性與代碼的唯一性導致區塊鏈和法律之間存在著矛盾:據人民網消息，近日，在學習讀書會“人工智能專題月”活動上，西南政法大學民商法學院副教授、人工智能法律研究院區塊鏈研究中心主任林少偉表示，格式化的規則應當具有確定性，但法律語言文字的多樣性以及法律功能的差異化導致法律規則解釋會出現多樣化。而在區塊鏈系統中的規則呈現出唯一性與確定性。因此，法律的多變性與代碼的唯一性導致區塊鏈和法律之間存在著矛盾。他認為，單純地對區塊鏈技術進行監管既無必要，也不可行。需要將區塊鏈“自律”和國家干預“法律”結合起來，唯有如此可以達到區塊鏈治理的最低標準。[2019/4/28]

5. “技術代理”風險。主要是指對智能合約和區塊鏈不熟悉的普通用戶，使用了中心化團隊開發的“便利”交互工具，這一工具本身可能存在風險。

任何DeFi項目在設計時，都應將以上風險考慮進去。完整的流程不僅僅是文檔內做好提示，還需要一些風險管理手段。這些手段大部分以去中心化的方式進行，少量以社區治理的方式完成（主要是指鏈上治理）。這里我們提出一個DeFi風險管理框架，主要分為事前、事中和事后：

事前：主要是對合約代碼進行形式化驗證，包含弄清楚合約使用的方法、資源甚至是指令的邊界，以及這些方法、指令、資源在組合過程中的相關性影響，沒有經過論證的方法或沒有找到邊界的組合堅決使用。這不是傳統軟件開發測試的思維，這是一個接近數學論證的理念。好的合約開發應該建立在已經論證過的方法組合上。

事中：事中主要是停機設計和異常觸發設計，即合約對攻擊行為能進行識別與干預，包含自動停機設計和治理停機設計。而異常觸發是對合約運行過程中，超預期現象的一種控制管理；異常觸發一般是自動的，通過異常觸發修正一些風險管理變量。可以參見NEST預言機系統中的beta系數和防堵塞攻擊設置，這是行業內率先考慮停機及異常觸發的一個實踐。

事后：事后風險管理包含幾個部分，首先是代碼出現漏洞，需要進行修正，一般通過鏈上治理，即DAO治理的方式。其次是治理資產本身遭遇攻擊，此時需要進行合約分叉！這是一個行業忽視的盲點。其次是通過保險機制，對合約可能的風險進行保險，從而降低損失。最后，社區可以通過鏈上數據的追蹤，與各類機構合作追蹤損失。關于鏈上治理和合約分叉，可以參見NEST的設計，這是一個創新。

以上是我們對DeFi安全的一個系統框架，僅供大家參考。目前行業內對安全的理解，過于早期，也過于傳統；如果不能轉變思維，將邊界、完備性、一致性、形式化驗證、停機、異常觸發、治理、分叉等新的思想引入，是不能適應未來發展的。

作者：NEST愛好者_九章天問

Tags：DEFDEFIEFI區塊鏈DeFi Kingdom比特令牌幣defi3.0yefi幣最近怎么了ruff幣區塊鏈最新消息

芝麻開門交易所