1.DeFi 从17年低,经过了 2 年半多的时间,才达到了 10 亿美元的市值,而现在,DeFi 总锁仓量已经达到 $4.61B,短短半年时间翻了 4 倍,我们都猜测「流动性挖矿」是 DeFi 快速增长的背后主要推送力。那么流动性挖矿到底是什么?普通用户如何参与?
xiaopang:
简单地讲,流动性挖矿主要是通过提供代币资产,从而获得收益。用户存入某些代币资产即可进行挖矿,挖矿这个说法也是沿用了比特币挖矿的行业说法。
我们以在 Compound 上进行流动性挖矿举例,用户在 Compound 中存入代币或借出代币等操作,能够获得治理代币 Comp。COMP 代币代表了 Compound 协议的治理权,代币持有人可以投票决定Compound协议的发展方向。
用户参与最简单的方式就是在不同的项目中存入代币,提供流动性,从而获得收益。
同时流动性挖矿的收益取决于很多因素,由于每个时间段(每天或每周)发行的代币量是基本固定的,收益主要取决于奖励代币的价格。例如 Compound 代币价格最高曾超过330美元,而现在下降至 137 美元,不同的价格直接影响挖矿收益率的大小.
2.对于绝大多数用户, DeFi 存在几个显性问题,比如:1. 操作页面复杂,很多流动池产品的交互性很差,操作也很繁琐。2. 安全性问题,系统性安全和假币风险等。
所以 DeFi 的门槛是比较高的,这也导致目前参与 DeFi 的都是少数人,而这部分人会利用信息差,通过高利润高回报去吸引更多人参与进来,那么面对市面上五花八门的 DeFi 项目,普通用户该如何辨别可靠的 DeFi 项目呢?
yudan:
普通用户参与 DeFi 时可以到官方的媒体渠道如 medium,twitter,等了解最新信息,或加入官方的聊天频道如 discord,telegram等了解官方的最新活动等。通过从官方的这些媒体渠道收集的信息可判断该项目的背景,是否正规,团队如何等。 此之外,蓝狐笔记也提供很多关于 defi 项目的解读,或翻译相关的白皮书,可以关注。除了上述方式外,也要看参与的项目是否经过是否经过相应的安全审计,防止在参与 DeFi 的过程中产生资金丢失的风险。
xiaopang:
- 如果你真的想参与一个项目,那么你就要通过多种渠道去了解这个项目,项目官网,官方媒体渠道,项目进展,融资情况,媒体报道情况。我本身也是一个普通用户,用我自己的经验就是看不懂这个项目就不要参与,不听信别人的喊单和传销。因为你想要的是利润,别人要的是你的本金。
- 在操作前一定要对工具有清楚的了解和认知,知道如何操作。否则非常容易出现操作即亏损的情况,因为近期以太坊网络矿工费非常高,如果你操作非常频繁,很可能出现矿工费亏损,也就是说你的利润没有矿工费多。
3.社群经常看到用户问,我参与了某某项目的流动性挖矿,获得XXX代币,听说可以去Uniswap 卖掉,我在 Uniswap 搜索时搜到一堆XXX代币,那个才是真的? 小胖可以给大家讲讲如何在 Uniswap 上判断代币真假,找到是我持有的代币。
yudan:
一般而言,代币项目方会拥有自己的 github 公开自己的源码,通过该 github 可拿到代币对应的合约地址的信息。此外,还可通过加入官方社区频道了解代币的合约地址。最后 etherscan 上提供代币查询功能,etherscan 会对代币进行标记,同时也会对一些虚假的代币打标签,防止用户被骗。用户可综合以上这几方面对一款代币进行分析,辨别真假代币
xiaopang:
刚才 yudan 讲到通过代币的合约地址区来分不同代币,这是最安全的方式,而且操作起来也非常简单,因为每种代币的合约地址都是唯一的。而且 uniswap 也支持代币合约地址搜索功能,所以建议在 Uniswap 上通过代币的合约地址来找到正确的币种。
etherscan 教程:以太坊区块浏览器 Etherscan 使用教程
4.最近有一个叫 YFI 的项目在社区吸引了很多人的眼球,最高暴涨 1600 倍, 紧接着类似名字的 YFII,YFFI,YFIII 出现,他们到底谁是谁?之间又有什么关系?
xiaopang:
YFI 是 yearn.finance 的治理代币,Yearn 是一个借贷平台的聚合器,让用户拥有三挖的机会,,也就是说你可以在 yearn 上通过一次挖矿操作获得多种奖励代币,同时获得拥有治理权限的治理代币 YFI。YFI 最高价格为 0.5 BTC,现在仍旧稳定在 4200 美金。是一个完全去中心化治理的项目,社区用户提出了很多提案,其中第八个提案建议 yfi 修改代币分发机制,借鉴比特币定期减半的分发方式来逐步扩大 yfi 的影响力,避免挖矿奖励突然结束导致的流动性断崖式下降。
但是这个提案没有通过,也是有这个契机,提案八的发起者和支持者分叉了 yfi 项目,另起炉灶,这个分叉项目就是 yfii。并且 yfi 项目的创始人 andre 也在 twitter 上表明了自己的中立态度,认为 yfii 和 yfi 同样具有发展空间。
再往下,我们看到了 yffi 的出现,他的出现很突然,没有预兆,而且价格在上线后一路下行至目前的 1.51 美元,大家要谨慎,不要盲目投资。yfiii 就不说了,大家一定要有自己的投资原则,不了解不参与。
5.yudan 你作为慢雾 DeFi 安全方面的研究人员,对于你而言,DeFi 领域的哪一次安全事故让你记忆犹新,为什么?
yudan:
对我而言,印象深刻的是 lendf.me 被黑事件,这次事件的主角 ERC777 代币重入风险早在 19 年就有安全研究人员披露过,但没有引起足够的重视,这次事件损失金额达上亿,暴露了 DeFi 领域中因兼容性问题而加粗示例导致的巨大风险。在事故发生后,慢雾安全团队也紧急介入,及时负责任的披露了相关的漏洞详情并在后来参与到对被盗资金的追回中,其中追回的细节我们可能会在后续择机披露。所幸的是通过各方的努力,被盗资金最后被全数追回,是一个大团圆结局
6.DeFi 因为去中心化金融天生自带的不安全性,这些不安全性主要在哪几方面?
yudan:
DeFi 的风险主要是合约的风险。在开发过程中,开发人员可能会不遵循安全的开发规范,导致出现相关的安全风险和漏洞,造成资金损失。由于 DeFi 是一个庞大的场景,是一个复杂的系统,各种合约之间的兼容性也会对应的安全风险和漏洞,如 Uniswap 和 lendf.me 的 ERC777 重入风险,balancor 的通缩型代币兼容性风险。除此之外,在 DeFi 中广泛使用的预言机也会导致相应的安全风险,如 bZx 遭遇的两次闪电贷的攻击。
xiaopang:
- 项目方跑路
- 假币交易
- 系统性风险
7.相关 DeFi 的黑客事件也层出不穷,有没有什么办法来防止 DeFi 安全事故的发生呢?
yudan:
智能合约开发人员在开发时应遵循相关开发规范,如 solidity 开发中的 Checks-Effects-Interactions 模式,也就是在智能合约的开发中遵循先检查,然后改变对应的状态信息,最后才是交互,如外部调用等,能最大程度的降低安全风险。同时,OpenZeppelin 也开源了很多遵循安全规范的合约模版,可以参考相关的模版进行开发。此外,慢雾安全团队也发表了很多智能合约漏洞的技术分析,并有公开相关的智能合约的安全实现,可以在我们的公众号和 github 找到。最后,DeFi 项目应联系专业的安全团队,如慢雾,进行对应的安全审计,全方位审查智能合约安全风险。
8.上周,一个存在已久的开放问题 ——「DApp 过度授权」在国内被重新提及,各大媒体、钱包以及其他公链项目都有站在自己角度参与讨论,也引发很多用户恐慌,开始自查自己资产是否安全?那么授权是什么及两位怎么看待这一问题?
yudan:
授权是以太坊上常见的智能合约转移用户 ERC20 资产的方式,由于智能合约不能直接操纵用户资产,根据 ERC20 标准,用户必须授权给智能合约,让智能合约可以调用用户资金,才能参与到 DeFi 中。同时,授权给 DeFi 项目不是代表 相应的智能合约可以随意调用用户资金,这需要结合相应的场景具体分析,只能说这是一个风险,但不是漏洞。 但是由于一定的技术门槛,用户很多时候不知道自己授权了给什么项目,授权了多少。了解为什么授权,下面为大家介绍一款能介绍一款能检测授权的工具,https://approve.sh/ 来检测对应的授权信息,及时取消。
xiaopang:
我个人认为在这个时间节点,社区能够关注到这个问题是非常重要的,因为这说明社区里面还存在着一些头脑冷静的,从我个人的角度来看,社区现在有些过于狂热,应该有人来降降温。其实 imToken 在三个月以前就已经关注了这个问题,并针对过度授权问题进行了优化,同时我们也发布了公告,但是这个文章在当时并未引起社区的关注,那么在这个社群狂热的时间节点,有人关注这个话题,我是非常高兴的。
9.作为 imToken 的用户,在进行 DeFi 交易的时候,如何才能最大程度地保证资产安全?
xiaopang:
- 使用新钱包小金额参与,与自己的主要钱包分开
- 参与靠谱项目
- 不要被假币诈骗
- 不要轻易听信他人的喊单
- Wallet Connect