SEA:簡析NFT抵押借貸的三種模式：點對點、資金池和中心化模式_MandoX V2

原文標題：《NFT抵押借貸的簡單思考》

原文作者：Jiawei

文章來源：律動blockbeats

引子

說回抵押借貸，對于NFT而言，抵押顯然需要承擔一定的流動性成本：面對Token上漲，無法出售并獲利；面對Token下跌，只能被動持有。

而對于長持頭部NFT項目的機構或核心玩家來說，也許本就沒有出售的意圖，因此在需要資產變現時，抵押借貸是值得考慮的選擇。而頭部NFT的價格也相對穩定。

進一步來說，出于投機目的，散戶手中的NFT可能存在頻繁買賣換手，并且NFT的總價值整體不高，相對而言不適合進行抵押。

LendHub被黑簡析：系LendHub中存在新舊兩市場:金色財經報道，據慢霧安全區情報，2023 年 1 月 13 日，HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下：

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken，其一已在 2021 年 4 月被廢棄但并未從市場中移除，這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格，這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回，在新的市場進行借貸操作，惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03，黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時，黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡，已經得到黑客的部分痕跡，慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

因此，認為短期內NFT借貸會是小眾賽道，以面向頭部/藍籌NFT持有者為主。

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

三類項目

安全公司：AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道，據區塊鏈安全審計公司Beosin EagleEye監測顯示，2022年11月23日，AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證，導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數，接下來調用claimNodeReward函數提取節點獎勵，而節點獎勵的計算取決于攻擊者設置的rewardPerDay值，導致計算的節點獎勵非常高。而在這一筆交易之前，攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR，創建了攻擊者的節點記錄，從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]

點對點模式

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

在DeFi借貸中，Aave的前身Ethlend采用的就是點對點模式。

Arcade與之類似，其AssetWrapper合約支持打包抵押ERC721、ERC1155、ERC20資產，隨后將生成wNFT。借方設置借款額、償還金額、幣種及時間后，將wNFT抵押，之后則等待貸方匹配訂單。Arcade在未來的版本中將添加分期還款的模式。

需要注意的是，Arcade不設置自動清算，如果發生違約情況，在貸方claim抵押品之前，借方仍然可以償還貸款。

對于點對點的平臺來說，借貸需求能否及時得到響應，與平臺的用戶體驗直接相關。Arcade的平臺數據中暫未提供匹配的平均等待時間。據團隊成員所說，BAYC和CryptoPunks地板價的借貸請求基本能夠實現即時響應。

另外，NFT與FT的不同之處也在于，同系列的NFT各不相同，貸方難以對稀有度高的NFT進行評估，或是借貸雙方對抵押品的估值產生分歧，增加了借貸的不確定性。

目前Arcade的平臺總貸款額來到了950萬美元，支持49個NFTCollection。去年12月底，Arcade拿到了1,500萬美元的A輪融資，由PanteraCapital領投。

資金池模式

第二類是與Aave、Compound近似的資金池模式，例如DropsDAO。

這種模式下，貸款沒有到期日，利率根據資產的利用率計算得出。NFT的實時價格采用預言機進行報價。

有關點對點模式和資金池模式的優缺比較，DyoHu在這篇文章中有更為詳細的闡述。

對于稀有度高的NFT，在資金池中的價值實際上被稀釋，使得這部分NFT的貸款價值比不劃算。

整體而言，資金池模式較為復雜，存在價格被惡意操控和連環清算的可能性。在NFT市場整體流動性一般的情況下，有著較高的系統性風險。在去中心化NFT借貸的發展初期，點對點模式相對更穩定可靠。

中心化模式

去年年底，數字資產金融服務機構Nexo與三箭合作，推出了中心化的NFT借貸業務。交易所Kraken也計劃推出相同業務。

Nexo提供的相當于OTC服務，需要填寫簡單的KYC申請表。目前僅支持BAYC與CryptoPunks作為抵押品，抵押的NFT價值必須超過50萬美元，年化借貸利率約為15%，貸款價值比在10%-20%之間，即價值50萬美元的NFT可以獲得5萬-10萬美元的貸款。

中心化的NFT借貸模式適宜機構采用，而對于CryptoOG來說可能顯得不那么native。

ClosingThoughts

類比看看現實中的藝術品市場，受疫情影響，2020年的全球藝術品交易額較上年下跌22%，仍超500億美元——僅從數字上看，藝術品抵押似乎有不錯的市場。

然而，藝術品的鑒定本身眾說紛紜、缺乏權威擔保，估值困難；并且因為缺乏流動性，即便清算后，抵押品能否變現脫手也是未知數。為了彌補這部分的風險敞口，傳統典當行壓價嚴重，往往只提供非常小的貸款價值比。

說回NFT，與傳統藝術品相比較，NFT的真假鑒定只需要檢查合約地址；估值有同系列NFT的地板價作參考；線上交易的形式使得變現也相對容易。在技術面和可操作性上，NFT借貸面臨的問題相對更少。

近期的Azuki很快躋身OpenSeaNFT交易量第8位，類似的藍籌在未來也許會更多地涌現。以CryptoPunks和BAYC為代表的頭部NFT、以Doodles和Azuki為代表的藍籌，以及Sandbox和Decentraland的地塊，在未來會率先成為NFT借貸的主打標的。

?

Tags：NFTGVCSEAMANSWISSNFTFUND幣AGVCTSSEAMandoX V2

SAND