來源:CoboLabs
撰文:神魚(毛世行)、蔣長浩、LilyZhuoCoboCOO、AlexZuo
CoboLabs是亞太最大的加密貨幣托管平臺,最受機構歡迎的金融資管服務商Cobo的加密貨幣研究實驗室。
我們專注于創新項目,前沿加密數字技術領域,全球市場合規動向,市場基本面及波動因子;旨在幫助市場參與者和加密貨幣愛好者,降低進入市場的認知門檻。
核心內容原創者包括:
?-神魚(毛世行)?Cobo聯合創始人兼CEO,F2Pool?聯合創始人
?-?蔣長浩?Cobo聯合創始人,前Facebook高級科學家
?-LilyZhuo?CoboCOO,前知名400億美元基金總法律合規顧問
?-AlexZuo?(左常柏),Cobo資管VP,前?TokenInsight聯合創始人,業內最大FOF牽頭人
我們也希望對加密數字貨幣領域有研究精神和科學方法論的終身迭代學習者可以加入我們的行列,向行業輸出思考洞察與研究觀點!
神魚:因Value DeFi遭攻擊存套利空間,某用戶花3000美金套利超1000萬人民幣:魚池創始人神魚表示,Value有BSC和ETH兩條鏈,ETH上的早期叫yfv上了火幣,BSC上的Value被黑了,價格暴跌,所以有套利空間。有個老哥的套利操作:
3000美金在BSC上買了37萬Gvvalue-B跨到ETH解壓出40多萬個Value提到火幣賣了 1000萬+人民幣。老哥的地址0x2b2B231d3a02F5A52b43018F5f07050Ce15b76FB。目前跨鏈橋里面沒有資產了。
今日此前消息,DeFi協議Value DeFi再遭黑客攻擊。[2021/5/8 21:37:10]
此篇是CoboLabs的第??1??篇文章。
神魚-時間管理大師的經年領悟
在8月的最后一周,已經鮮少現身的神魚,為溝通DeFi基金的市場需求,現身于Cobo內部業務溝通會。
神魚回答了來自于從業者的犀利問答,下文,CoboLabs精簡了關于DeFi、NFT等當下創新機會的風險和自我思考總結。
神魚:Filecoin lotus節點的一些返回值不是很符合常規邏輯:神魚及Cobo官方今日給出Filecoin“雙花攻擊”細節:Filecoin lotus節點提供了多個API用于鏈上交易的獲取,例如ChainGetBlockMessages可以獲取指定區塊內的所有交易內容,StateGetReceipt可以獲取指定交易ID對應的執行結果,此次被攻擊的交易所就是采用這兩個API來進行鏈上轉賬行為的解析,并基于此為用戶入賬。不過他們沒有注意到,StateGetReceipt接口有個比較不符合常規邏輯思維的設計,就是在獲取指定交易ID的執行結果時,如果這筆交易已經被RBF(replace by fee),則會返回最終RBF成功的那筆交易的執行結果,并且在返回值里沒有任何的提示表明這筆是RBF后的交易的執行結果。
假設攻擊者首先發送了TX1,對應的交易ID為TXID1,隨后攻擊者對TX1進行了RBF,生成TX2,對應的交易ID為TXID2,最終TX2上鏈成功。此時通過StateGetReceipt對TXID1和TXID2分別查詢,都能得到執行正確的結果!
Cobo Custody技術團隊在對接Filecoin的過程中已經發現了上述問題,因此沒有采用ChainGetBlotckMessages和StateGetReceipt來獲取鏈上的轉賬行為,而是采用ChainGetParentMessages和ChainGetParentReceipts來獲取已經成功上鏈的交易,從而從根本上避免了被雙花充值的風險,因此未受此次雙花充值攻擊的影響。
此外,在使用ChainGetParentMessages和ChainGetParentReceipt的過程中,Cobo Custody技術團隊發現lotus節點的一些返回值也不是很符合常規邏輯思維,例如對于空塊的處理是有一些問題的。Cobo Custody技術團隊對此作了妥善的安全處理,在此也提示其他中心化托管機構需要仔細檢查相關的對接代碼,避免其他的雙花充值攻擊行為。[2021/3/19 19:00:06]
結尾,神魚還分享了自我私生活,可供大家品味觀賞!
神魚:BTC凡是挖CRV的單幣都有風險 需抓緊提現:F2Pool聯合創始人神魚在微博表示:“黑客通過閃電貸瞬間操縱了CRV上穩定幣的匯率,然后在harvest低價充值某穩定幣、然后在CRV購回賣出穩定幣,恢復正常匯率,harvest提現,賺取匯率差。理論上harvest上穩定幣,BTC凡是挖crv的單幣都有這個風險,大家抓緊提現吧。”此前消息,據推特網友發現,疑似有黑客借用閃電貸,使用20ETH從Harvest的穩定幣與BTC資金池中盜取約2300萬USDT,大部分通過renBTC提現并通過Tornado.cash成功套現超400萬美元,總轉賬費為5.19ETH。[2020/10/26]
一、關于Cobo的靈魂三問
Cobo的DeFi風控體系如何?類似上次PolyNetwork的被盜事件,DeFi類資金如何保證安全?Cobo基金資產是不是神魚自己操作,怎樣做好風險把控?
神魚:
首先,Cobo沒有參與這個項目,是我個人資金投入,但是我們第一時間捕獲到了相關信息,并且協助溝通了相關渠道,例如幣安、Tether等處理這次的黑客事件,還是比較順利,從收集情報、團隊內部一起溝通,最終也獲取到了有效信息,比較幸運,也感謝很多安全團隊的協作。
F2Pool聯合創始人神魚:在礦難時刻礦機和礦場會完成一波新陳代謝:在今日金色財經聯合魚池舉行主題為《算力變動下 如何尋找更多收益》的線上直播中,針對”豐水期即將到來,算力和收益將會發生怎樣一個明顯的變化呢”的問題,F2Pool聯合創始人神魚表示,挖礦作為一個自由市場,參與者之間的博弈會有效調節市場。我們回顧這次312的下跌,收益降低,全網算力下降到90E左右,挖礦難度隨之調整,然后收益逐漸提升,這期間淘汰出局的是S9這類的老舊機器,在礦難時刻,礦機和礦場會完成一波新陳代謝,高性能新礦機進入市場,低性能礦機會被逐步淘汰,礦機搬往低電費礦場完成洗牌。減半后,BTC價格劇烈下降會出現類似的情況。今年的礦工朋友需要注意利潤率可能創歷史新低,投資挖礦的回本周期變長。礦工在經營的過程中如果能提前做好決策,比如說更換更低功耗的礦機,然后尋找更優質的電價,同時優化各項開支,提高內部的效率,才能去度過這樣的一個市場環境。礦工同時還需要優化礦場管理和算力穩定性,尤其是豐水期水電不穩定的情況下,可能需要借助一些第三方的半自動化的工具,提高整個礦機的在線率和穩定性,降低人力成本。[2020/4/15]
本次黑客盜幣事件其實是對DeFi行業的反思,由于涉案金額巨大,我們事后也在思考在DeFi領域的投資方式,特別是挖礦,投入的是本金,面臨是的不確定的安全風險。
獨家 | 神魚:堅信區塊鏈底層技術成為價值互聯網的下一代基礎設施:今日,針對金色財經聯合火幣共同發起話題:“你還會投資比特幣嗎?”F2Pool&Cobo wallet創始人神魚表示,還會投資比特幣,事實上我個人資產90%以上是以比特幣為主的數字貨幣,更重要的是,我們把人生中最寶貴的時間都投身于這個行業中,這其實是比金錢更寶貴的“投資”,時間是唯一的貨幣。從歷史上來看,比特幣的暴漲暴跌是很常見的,這次大跌疊加疫情、美股崩盤影響,減半去杠桿化,所以大家才更難受一些。作為比特幣的信仰者,我堅信區塊鏈底層技術可以不斷迭代發展和落地,成為價值互聯網的下一代基礎設施。[2020/3/19]
對于如何來保證安全:
1.監控報警提醒
Cobo結合了自己一年多的實踐,在投入大資金前,也會一起討論項目的指標,尤其是被攻擊的風險,一旦發生可疑操作,例如時間鎖、多簽發生變化,風控監控會第一時間通知。
2.加密機加速本金撤離,保障資金安全
在區塊鏈安全上,Cobo使用多人協作,內部有系統來完成,通過多人多權限來保證資產安全。
比如發現報警信號,可能會對本金產生損失,會觸發Cobo的在線加密機自動處理,加密機持有一把低權限的Key,監控系統發現了可疑,通過加密機把本金先撤出來,并且實現7*24小時工作,采用特殊方法以及嚴格的風控能夠比黑客跑的更快。
3.決策委員會
Cobo有決策委員會,會在項目做完經濟模型審計后,做內部安全審計并會對常見問題做出預判,我們也會在自營媒體以及私域「德妃耕田」,溝通和預警項目的信息,也會提醒讓項目方升級和完善相關模塊,通過實踐也幫助DeFi挖礦大戶抵御了一些攻擊,這樣不斷的實踐讓我們在DeFi領域更好的做一些風控,保證所參與項目的安全性。
報警問題:對于不訴諸于法律的原因
是因為事件發生后,第一時間和公鏈團隊溝通,以及能夠支持的渠道,特別是在安全團隊的溯源,看能不能找到黑客關聯人,能不能鎖定一些人,如果采用法律,速度和響應不會像我們自發組織的這么的快,而且DeFi對于傳統是非常復雜的,并且這類黑客肯定會第一時間使用洗錢工具,如果事后談判失敗,能有更好的方式,該走法律也會有法律方式。
二、極端行情下怎么應對市場
現在是牛市,已經漲了那么多,此時進場買DeFi基金,會不會風險比較大,如何應對類似519等極端行情?
神魚:
DeFi給我們提供了新的增值方式,提供了公允的市場利息,DeFi收益來源是通過鎖定本金價值,在DeFi協議里獲取代幣,絕大部分的收益,我們會對礦幣進行套期保值,并且會比較快的速度賣掉,在我們自動化工具里,每10?分鐘量級賣掉,如果是像519這種,盡量降低杠桿,或者能自動化處理,能夠防止這樣的事情發生,DeFi的風險除了合約之外的風險,整體收益還是比較OK的。
三、被神魚沖塌的礦,小散我怎么辦
?沖哪個礦?當前的挖礦機制里面哪個設計更合理一些,以及如何防止被巨鯨沖塌,被神魚老板沖塌的礦實在是太多了!
神魚:
目前常規礦收益略無風險,當前收益率處于回暖狀態,老礦和新公鏈整體市場的TVL也在提高,當前好礦也很多。
挖礦核心問題,首先是安全,其次是經濟模型是否合理,是否有本金磨損以及大資金進入是否會沖塌這個礦。
我們投委會調研做出研報,投委會成員進行檢測和試跑,看看經濟模型是否長久,找到賽道的模型和價格預期,以及資金體量能到什么程度的時候會出現正反饋和負反饋;
特別是對于大戶的進入,會不會讓這個礦收益率降低,我們需要計算多少錢投入可以獲得最優質收益,當然也需要根據市場動態調整,賽道、模型、估值區間等計算大概可以承載的范圍,像拐點來臨的話要止盈止損,這是個高度動態的過程,決斷根據參數來變化,找到資金分配收益最優解的解決方法。
四、DeFi賽道方向您怎么看
下一步DeFi發展的方向?
神魚:
DeFi在過去1年的發展中,已經有了非常重要的底層基礎設施像算法穩定幣、底層借貸、豐富的衍生品,其實頭部效應已經顯現,目前性能問題是要解決的主要問題,目前DeFi鎖倉在1000多億美金,但是公鏈只能支撐幾百萬用戶,伴隨著行業的發展、數量級的突破,目前的性能支撐不了這些用戶。
可能的方向是采用多層公鏈,半年到1年之間,二層網絡會形成頭部效應,也會聚集大量的核心應用;由于DeFi協議分散在各個公鏈上,同時跨鏈協議是一個繞不開的話題,二層網絡解決后,流動性解決方案,跨鏈協議是個方向;
另外,DeFi的外延,例如NFT、GameFi很多和DeFi相結合的協議,這塊短期內會有爆發的機會,大概3-6個月,游戲和元宇宙和DeFi結合,會有成長的機會。
最后,最近美國監管機構對DeFi的討論,也是DeFi行業的機會,例如鏈上數據的分析,監管政策所帶來的剛需,更注重隱私的協議以及保證匿名性的技術迭代和發展。?
五、目前最熱的NFT
你們目前對NFT有哪些涉獵,投資NFT底層邏輯是什么?
神魚:
基本邏輯目前比較簡單,行業處于非常早期階段,大家對于元宇宙,核心觸發點是區塊鏈原生的重新制定藝術和審美的標準,本次的圖片熱潮奠定加密朋克,它不單單是頭像,更代表了社會認同和社交價值。
對于投資者來說。可以把70%資產放在大幣種,20%在新型領域,5-10%放在看起來有未來但比較早期的資產,兼顧保守和激進的方向,如果哪塊有爆發期,整體收益都會不錯。
同時,NFT是消費品,不是投機,目前入場的人是帶有非常多閑置資金,當前市場非常小,頭像類的市值很低,稍微有一點資金進來后,泡沫波動都是流動性溢出帶來的,而不是長期有這么好的流動性,所以大家根據自己的情況參與。
六、福袋:神魚的私生活
問問魚總是怎么調節工作和休息,行情太火爆都沒時間好好睡覺了
神魚:
NFT大部分是都是海外項目,都是凌晨,1-2小時一次,看很多朋友都已經分布式睡眠,睡一下看一眼,大家比較適應,但是牛市確實很辛苦。
對于傳統挖礦,都是大學生看礦場,現在都是挖DeFi,核心資產還是需要自己去看,經濟模型和安全報告,硬件錢包,DeFi和NFT項目還是要參與一下,過去一年比過去4年都多,每周差不多100個小時.
除了賺錢,大佬還有什么愛好?
神魚:
養魚,養海魚,珊瑚養不活了。
鏈捕手消息,Block.one旗下加密交易所Bullish宣布計劃通過與與特殊目的收購公司FarPeakAcquisitionCorporation合并,在紐約證券交易所上市.
1900/1/1 0:00:00作者:谷昱 今晚,跨鏈互操作性協議PolyNetwork在以太坊、BSC與Polygon部署的智能合約同時遭到黑客攻擊,價值超過5.9億美元的USDC、ETH等資產被黑客轉移.
1900/1/1 0:00:00鏈捕手消息,固定收益協議ExactlyFinance宣布完成300萬美元種子輪融資,拉丁美洲風投基金Kaszek領投.
1900/1/1 0:00:00鏈捕手消息,JayGraber成為Twitter旗下去中心化社交平臺Bluesky負責人,MaskNetwork、Audius、Mastodon等成為首批社區項目.
1900/1/1 0:00:00原文鏈接:《DeFiRiskManagement》原文作者:PaulVeradittakit,PanteraCapital創始合伙人譯者:盧江飛現階段,利用DeFi漏洞實施攻擊的情況愈發嚴重.
1900/1/1 0:00:00作者:來朋 今日,Coinbase宣布與日本三菱UFJ金融集團建立合作伙伴關系,將共同在日本創立加密貨幣交易所,加入競爭激烈的日本加密市場.
1900/1/1 0:00:00