EFI:圓桌論壇：開放式金融的矛與盾丨世界區塊鏈大會?武漢_Ramp DeFi

12月5日，“相信未來——2020世界區塊鏈大會?武漢”在武漢國際會展中心正式開幕。大會由巴比特主辦，并得到了武漢市政府、江漢區政府、武漢市經信局、中國信通院等部門單位的大力支持。

6日上午，“開放式金融的矛與盾”分論壇舉行了主題為“DeFi之盾--狂歡背后，審計是安全的護城河嗎？”的圓桌論壇。論壇對2020年火爆的DeFi領域閃電貸、中心化交易所與去中心化交易所之爭、DeFi安全審計、如何避免踩坑等話題作了深入淺出的探討。

本場圓桌的嘉賓都是區塊鏈領域一線的深耕者，他們分別是時戳資本CEO李宗乘，幣牛牛聯合創始人沐一，CertiK中國區總裁WilliamChen，TokenPocket商務負責人Michael，鏈節點君瑤擔任本次圓桌主持。

君瑤：再次感謝主持人剛才的介紹，感謝來賓來到我們今天的現場。我們這場的主題叫做“DeFi的矛與盾”，第一場圓桌聊聊DeFi安全的問題。今天在場的嘉賓有很多的安全經驗，請各位做一下自我介紹。

李宗乘：大家好我是時戳資本的CEO李宗乘，時戳資本是區塊鏈領域的垂直投資資金，2017年下半年隨著行業的大勢投入了很多本土的項目，我們都是比較早期參與進去。經歷了18年，19年的市場之后我們運氣還不錯活了下去，依然活躍在區塊鏈領域里面的一級市場和二級市的投資。因為今年整個市場的回暖，會繼續加大這一塊領域里面的投資。

Michael：大家好，很榮幸參加這次圓桌會議，感謝主辦方，感謝主持人讓我有機會和大家同臺，我們今天的分享對到場的各位有所幫助，謝謝。

沐一：大家好，我是來自幣牛牛的沐一，我不知道在座有多少人炒幣，我們作為行情咨詢平臺是服務于所有的交易用戶。然后我們的定位是幣圈同花順，謝謝。

WilliamChen：我們公司主要做代碼審計，有一點像財務審計，簡單解釋一下。

閃電貸的作用和局限性

君瑤：我們剛剛介紹過大家都是在這方面很有經驗，今天第一個問題是上半年發生的閃電貸問題，各家其實也是在DeFi項目上的安全上給了足夠多的反應和一些建議，但是到了下半年的時候閃電貸其實還是屢禁不止，一直在發生。第一個問題想提問所有嘉賓，如何看待閃電貸，它的本身的作用和局限性有沒有什么可以避免的方式。

Web3基金會從日本開始與政策制定者進行全球圓桌討論:金色財經報道，因其區塊鏈項目Polkadot而聞名的Web3基金會發布了一項鼓勵與全球監管機構進行圓桌對話的新倡議。首次圓桌對話于7月25日在日本東京舉行，來自監管機構、政府機構和行業利益相關者的代表出席了會議。基金會的代表包括首席執行官Bertrand Perez、Polkadot網絡的主要貢獻者Parity Technologies和首席執行官Bjorn Wagner以及基金會理事會成員Yusuke Obinata。在迅速采用區塊鏈技術和監管演變的背景下，基金會強調采取積極主動的姿態與全球政策制定者開展有意義對話的重要性。[2023/7/26 16:00:13]

李宗乘：我覺得閃電貸這個東西可能不太能避免，這是黑客攻擊合約的一種工具。我覺得這個東西要去限制或者避免它對于合約整個的侵害，應該不是一個在開發上特別難的事情。可能開發合約的相關人員有相應避免合約貸的經驗，可以很好避免閃電貸的攻擊。類似的事情發生過很多次，2018年的DAO攻擊，一次性盜了上億美金，當時很多人說智能合約這個平臺是不能用。后面相應的漏洞被修復，還有開發人員的經驗，完善之后也沒有再發生類似的攻擊事件。還有比如說2017年的下半年，很多人在寫發幣的代碼的時候也會有一個對應的漏洞，有一些黑客發現了之后大量增發對應的代幣，產生了很大的影響。然后代碼程序員添加模塊，添加出漏洞之后避免了類似事情發生。閃電貸也是，程序員的經驗豐富，也能夠很好的避免這種閃電貸的攻擊。

Michael：我來談談對閃電貸的看法，我覺得閃電貸它是一個工具，有人可以用它來做好事，有人可以用它來做壞事。閃電貸的特點就是可以提高資金的利用率，小資金也可以做大的事情。比方說有一些人用它來做壞事，比如說它要攻擊一個DeFi的項目要套利，本身要用幾千萬的資金體量才能套利，但是有了這個之后通過幾千塊就可以完成這個動作。我對項目方的一些建議就是讓這些僅僅依賴于一家這種提供價格指數的項目方把風險分散一下，多依靠一下幾家平臺的價格，或者多接入幾家的預言機。另外一個就是等區塊鏈的保險業務成熟之后，這些DeFi的項目方為自己的項目上一個保險，這是同時保障自己的項目，也保障用戶的資產安全。所以在未來區塊鏈保險將會成為每一個DeFi項目的標配，像現在審計一樣，每一個DeFi項目都要進行審計，所以我覺得區塊鏈的保險未來會在安全方面有很大的作用，謝謝。

沐一：我不知道大家在座的有多少人知道閃電貸，玩過DeFi項目的也可能不太了解。回答這個問題之前先得知道閃電貸是什么東西？它基于傳統的貸款，最有意思的是它是一個發生在一個區塊上的信用，就是一個區塊可能15秒鐘，我介入，然后還款。在傳統的金融領域，我們會發現我借款需要抵押，然后大家玩DeFi項目的時候，有一個點是資金利用率比較底下，我質押100%的資產得到70%的資產。閃電貸的就是我不用抵押，有人問我不用抵押不還款風險誰來承擔。這個就有意思，ETH上面有。你從我手上拿了一部手機走了，你會發現，手機上有一根你看不到的繩子，有一點像市場上無形的大手。你借走之后，這個時間內沒有還上，那根繩子突然之間拉走了，就回過去了，這個就是在智能合約的情況下是有可能被執行的。

動態 | 莫斯科證券交易所邀請VNX Exchange、NEX、bitflyer在圓桌會議上發言:據Nem Flash消息，莫斯科證券交易所目前已經邀請VNX Exchange、NEX、bitflyer在圓桌會議上發言，參會人員還包括俄羅斯最大的銀行、基金和財富管理機構以及行業專業人士。他們將一同討論區塊鏈帶來的機遇和挑戰、數字化金融資產以及資本市場的象征化。[2018/9/25]

回到這個問題的本身，它有局限性。我覺得它最大的局限也是它最牛逼的地方，也就是它在一個區塊從借入到還款這個事情完成。然后閃電貸攻擊背后其實是有兩點。第一點是叫套利者，第二種是操控價格預言機。對第一種套利者來說，我們會發現在鏈上很多閃電貸攻擊有黑客把這個錢還了，對于套利者來說，我認為他就是一個投機行為。對于后面第二種操控預言機價格的行為我認為是純粹不懷好心。

然后對于怎么避免，我也去咨詢了一些專家，有一些人會說能不能進行回滾，但是我們知道DeFi是去中心化金融，這樣做有違背DeFi的概念的。還有一種說法，我能不能進行游戲化激勵，我覺得再好的激勵如果有漏洞，對于科學家來說，他會套利還是會套利，會攻擊還是會攻擊，誰還不想一夜暴富呢。

我個人覺得就是有三種避免方法，第一種就是避免去進入，對于你的項目來說，就是避免去進入或加入流通性不太好的項目。第二種是在智能合約上，就是因為需要價格預言機給你的價格投位，你在這個過程中人為寫入一個時間延時的這樣一個智能合約。當然這中間會涉及到時效性問題，犧牲掉優越性。第三點我建議寫入交易延遲的智能合約，我認為這三點是可以一定程度的避免，當然也會一定程度的犧牲你自身的好處。

WilliamChen：閃電貸第一個問題需要完善的就是智能合約本身，因為很多時候我們升級的時候發現問題，然后我們也會標識出來，他們不一定有能力或不一定愿意改，這個是比較明顯的問題。第二點是價格語言機，一定要剛才那個說的，需要完善一下，不能從一個地方去做。第三個就是說價格預言機不能從一個地方，而要從歷史數據進行綁定，不太可能一下子跌40%，不太可能發生這樣的情況，這個也是要注意的一點。但是審計過之后基本上已經結束了，所以我們現在有動態的安全級的服務，相對來講一旦出現問題我們每15分鐘會掃描一下，每出一個問題都會預警。

最后是我們有保險服務，一旦出問題之后，我們會進行賠付，相對來講一般你如果既有價格預言機，又有安全預言機，一般情況下是不需要保險的。

現場 | 共識大會（新加坡）圓桌：風投機構更看重項目的社區激勵能力:金色財經9月20日現場報道，在新加坡共識大會《風投如何選擇加密項目》上，資本方的相關人員分享了各自對加密市場的看法：加密市場蘊含巨大機會，也存在投資風險。除了應對監管風險、技術更迭等帶來的挑戰，詐騙項目也是風投機構需要特別甄別的。相比傳統投資，投資加密行業時，資本方更看重項目的社區激勵能力。[2018/9/20]

去中心化交易所VS.中心化交易所

君瑤：第一個問題是聊了閃電貸，第二個問題其實想從交易所提問，因為現在有很多中心化的交易所出現了比較大的黑天鵝事件，大家把目光投入到這個上面來說了。但是對于什么時候可以取代中心化交易所大家意見很不一致，大家說現在非常早期，不太可能，有一些人覺得現在就是最好的時間，從安全的角度來講大家怎么看待這個問題？

李宗乘：這個命題一直被大家討論著。我先說一下我理解的結論，我覺得去中心化交易所是沒有取代中心化交易所，因為兩種機制的模式先天就不一樣。現在說的更多是這種儲備池模式的交易所，然后他們就是用了一個恒定之值，存儲兩個或者多個幣，一個相應的數，交易人在合約里面進行相應的買賣。這個很好的探索出了一種特定幣種的交易方式，就是當這個幣的價格整體波動相對較小的時候非常適合用這種模式去做。像本身做這種穩定幣的交易量，也就半年多的時間，整個交易規模排在第二位了，整個交易量也基本上達到一線交易所的這種交易量。這種模式當它面對這種大量的用戶的時候，因為本身這種底層公鏈的限制，性能上，掛單的限制上沒有辦法滿足這種更大量交易人群的交易需求，所以還是比較難取代中心化交易所，因為中心化交易所給你更多的交易方式的體驗和功能，所以我覺得去中心化交易所比較難代替中心化交易所的。

Michael：我個人認為目前去中心化交易所完全取代中心化交易所完全不可能，現在發展去中心化交易所正是時候。為什么呢？因為隨著DeFi的發展，越來越多的項目方和用戶對中心化交易所的依賴程度正在降低，再加上中心化交易所最近黑天鵝事件頻繁爆出。對用戶來說在區塊鏈錢包，他掌握了自己資產的最高權限就是私鑰，是最安全的。如果說有風險那就是用戶自己不小心搞掉了私鑰，參與了不靠譜的DeFi項目，或者跑路的DeFi項目。但是這些問題并不是它帶來的，其他地方也會發生，所以我覺得目前是發展去中心化交易的最好時機。其實這個已經發生很多年，之前受交易深度的影響一直沒有發展起來，今年隨著這個的火爆，讓大家看到了DeFi區塊鏈在金融方面未來很大的潛力以及長期的價值。

現場|共識大會（新加坡）圓桌：多個商業領域探索通證化客戶忠誠度:金色財經9月19日現場報道，在新加坡共識大會上，來自Soramitsu和KPMG Digital Village的相關人員共同探討了各自在通證化客戶忠誠度方面的探索。KPMG Digital Village與新加坡航空合作開發了KrisPay數字錢包，在區塊鏈上存儲客戶積分。Soramitsu也已與日本的幾家公司合作，開發新的獎勵應用，打通客戶積分的使用場景。[2018/9/19]

之前這個交易深度沒有解決主要原因是因為需求沒有，以前的需求都是人為創造的，就是炒幣，有每一波的需求不一定就很波動。但是今年的DeFi火爆之后讓大家到了區塊鏈長期價格之后需求解決了，通過長期驗證有底層協議留下來了，為交易的需求不斷的創作。

另外一方面就是類似于AMM自動交易商的出現解決了交易深度的問題，所以我認為未來的形態是什么樣子的還沒有定論，但是它未來的趨勢和潛力非常的巨大。

沐一：我個人的觀點是去中心化取代中心化是為時尚早的，為什么這么講？從用戶需求角度來看，非常多的用戶其實是價格跟時間敏感型的用戶，目前去中心化并沒有很好的能解決兩個層面，第一個層面是交互層面，鏈上與鏈下的交互并不是很好。第二個是交易體驗層面，我剛才也講了很多炒幣的用戶會對于時效性和交易的體驗有很高的需求。然后就是從安全的角度，這個問題就跟第一個問題有一點像，就是因為現在去中心化其實需要來自于世界的數據源的頭位，然后考慮用哪一家的價格源。像現在頭部的預言機項目他們其實已經非常穩定，我們看前段時間發生的攻擊，最后就是有專家分析，它背后雖然據說是用了多種組合的價格源，然后背后完全出就是來自于這個系統，在上面操控價格導致套利7、8千萬美金被盜的情況。我認為去中心化有機會取代掉中心化，因為去中心化所有的交易進行在鏈上，它更加真實。我們作為工具，去中心化會返還很多刷量的數據，讓我很難受，就是用戶說你這個資金流入怎么全是正的，365天全部是正的。然后從交易體驗環節，我們都知道現在在第一層網絡上面它的TPS沒有那么高，性能沒有那么好。最近一段時間在各地進行了演講，其中提到一個技術叫rop，在二層網絡上面，現在他們想采用的還有一種rop技術，這兩種技術如果在未來的一段時間技術層面上升很多，它是有可能解決掉交易體驗層這一層的問題，交互層就是考驗開發者了，這是我的觀點。

WilliamChen：我也覺得現在ETH交易速度不是很快，交易成本有一點高，深度不會特別高，所以這也是一個問題。所以ETH2.0出來之后交易速度和交易成本降低之后我覺得可能是一個比較大的發展機會。

百人圓桌 工信部五所相里朋：EOS當前價值與實際價值不匹配 但其應用場景方面還是有很大的想象空間的:在金色財經百人圓桌EOS系列問題上，對于“當前的EOS發展情況是否與其市值匹配？如不匹配，其實際市值應該是多少？”的問題，工信部五所高級工程師相里朋表示：EOS當前價值與實際價值不匹配，但其實際價值也不會是零。EOS作為業內熱議的區塊鏈3.0應用，雖然在技術上沒有實質性的突破，也存在較多的質量問題，但其應用場景方面還是有很大的想象空間的。不嚴謹的說，EOS可以被看作應用層面的區塊鏈3.0，然而其技術上仍然處于區塊鏈2.0，還需要不斷探索和迭代。我們過多的關注其貨幣屬性，但忽視了其在各行業應用中所能帶來的深遠的影響。我個人認為，雖然其存在的問題較多，但也是業內探索區塊鏈之道的重要組成部分。相里朋是工信部五所高級工程師，信息系統管理工程師，中國計算機學會區塊鏈專委會委員，中國電子商務協會區塊鏈專委會委員。籌備貴陽賽寶工業技術研究院，貴陽區塊鏈測試認證中心主任，開展區塊鏈質量保障技術研究。[2018/6/20]

黑天鵝事件后的處理方法和變化

君瑤：安全事故發生之后怎么辦，要不然就是黑客自己有良心退回來，要不然是中心化的平臺進行，各位嘉賓如何看待事故發生后的處理方法和變化？

李宗乘：我們可以看到有一些黑客攻擊確實蠻高級，但是還是有大量的黑客攻擊初級程序員發現了程序比較明顯的漏洞，然后把錢盜走的現象。避免這種情況我覺得還是要提高項目方自己的程序員的開發能力，同時找到靠譜的審計公司，同時用一些剛才幾位嘉賓說的預言機，從多種地方采取方法，盡量避免被盜。程序總歸還是很難避免漏洞，如果你的漏洞被黑客發現了，他們就會把你資金盜取走。我們可以看到還是有可能把你被盜資金追回來，因為黑客在盜取你資金過程中或多或少會留下痕跡，有尤其是你的ip地址和相應的錢包地址，這種痕跡有可能追蹤到黑客具體身份，通過這個合法的渠道還是能夠把資金要回來。同時我們自己圈內相應的白名單或者黑名單機制可能也會逐步的建立起來，有一些相應的黑客被盜的攻擊地址被列到一個黑名單地址里面去，和各個交易所，和各個去中心化交易平臺進行聯系，把它的這個地址一定程度的限制住，這個還是有可能對黑客進行一個相應的威懾，盡量減少這種事情發生的可能性。

還有，現在看到了被盜之后有一些項目方出一些新的形式，他自己當然是不太可能有有資金實力把錢補回去，他自己發行一個新的代幣，未來收益部分填補被盜的損失，這個也是相對比較負責任的項目方拿出一個比較積極的填補虧空的一個方案。

Michael：我們作為錢包方，錢包是Dapp的入口，我們承擔的一個角色就是為用戶篩選這些DeFi項目。今年因為DeFi的火爆，TP錢包也火，原因是我們篩選比較嚴格，有用戶調侃我們TP三件套又來了，每一個DeFi項目要實名認證，審計，多簽。除了三件套，TP自己的小伙伴玩各種各樣的DeFi項目，通過這種方式如果三件套還沒有辦法做到100%的穩，我們就通過自己去玩，自己進群提前預判一些項目風險，從這種角度也會有一個提前的預判。

我這邊分享一個比較有趣的事情，今年7、8月份DeFi比較火的時候有一個挖礦的項目叫翡翠。沒有提供三件套，沒有上架TP錢包，他們的運營人員，也不能稱運營人員，對外顯示的是自愿者，為了搶頭礦，大概圈了幾千萬人民幣就跑路了。這本身跟TP沒有關系，但是我們TP的小伙伴玩了這個項目，發現各種數據，發現項目方的小號，把他們所有轉帳數據找到了，把這些線索提供給，然后利用這個線索把這個項目方抓到，這個項目方還是小有名氣的，其實他們很有錢，他完不用做這個事情。但因為人性的趨勢，他覺得抓不到他，結果把他抓到了。最后的結果，賠付USDT給所有人，最后賠給項目方，最后坐牢。想要作惡的項目方和個人警醒，并不是法外之地，還是有人看著的。

沐一：關于這個問題，分成兩層。第一層對于開發者而言，對于開發者而言考驗開發者的零bug的開發能力，當然我認為是不太可能，我們不排除這個世界上有奇才。第二塊就是對于開發者而言，盡量去找一些安全大廠，像在座的一些嘉賓，包括國內的一些安全審計公司做一些安全審計，然后就是給自己沒有發現的問題，然后查找一些漏洞，防止后面出現一些問題。

第二塊就是說對于用戶層的，規避一些風險，盡量去減少參與沒有安全審計的項目。很多人會看一些高收益，年化收益多少，實際上我們這個圈子里面高收益意味著高風險。回到問題的本身，接下來就是我認為還是鏈上世界與鏈下世界沒有辦法完全脫節，還是需要鏈下世界的很多輔助，畢竟我們不是機器人，不活在那一層，我們是活在當下的，這是我的看法。

WilliamChen：其實一旦出問題大家很痛苦，因為造成比較大的損失。我們之前跟Michael說過，我們有一個服務，最理想的狀態還是不出來問。如果沒有審計報告，這個項目基本上是不能看的，因為現在審計已經基本上是已經標配了。我們實際審計有10%到15%的時候不會出審計報告，也就是說這個項目肯定是有各種各樣的問題，而且蠻嚴重。

另外還有一點，現在大部分的DeFi模式差距不太大，一個bug出現不會馬上被黑客攻擊，會有一段時間，這段時間直接把你的分值調低。比如說A項目已經bug，后面的99個項目并不會被攻擊，做好遷移和財政保全要好很多。

如何避免踩DeFi雷區

君瑤：接下來對每位嘉賓分別提問，第一個問題想問Michael，你們作為Dapp的入口有哪一些審計的標準，你有說三件套。想問一下沐一同樣的問題，作為服務商的角色，怎樣幫助用戶發現比較好的DeFi項目，同時避開雷區呢？

沐一：這個問題涉及到我們下一個版本的開發，可以公開。對于我們行情數據服務商來說，核心是幫助用戶、或者輔助用戶去做交易決策。再延伸就是幫助用戶賺到錢。然后對于我們來說就是三個層面，第一個是數據的及時性，第二個是數據的完整性，第三個是數據的全面性。從這三個維度去進行篩選項目，其中有一些細分，比如說我剛才講的讓一些安全審計的大廠去給你出安全審計的報告。然后包括我給你做一些就是API的排行，因為大家沖進來就想賺錢，只要我的收益能夠扛住風險，我的盈虧比足夠高，就會有用戶沖進去玩。當然這個取決于咱們用戶的他的風險偏好，對于我們是這樣子的。

君瑤：我們什么時候能看到這樣的版本運行？

沐一：快了。

君瑤：有沒有時間？

沐一：時間不太好說。

君瑤：接下來提問一下WilliamChen，你們接到非常多的DeFi項目的審計，有沒有什么案例可以跟我們分享一下？

WilliamChen：7月以前審計的DeFi項目單子基本上正常，7月以后排期比較長，有時候要一個月。因為好的項目反而不太深刻，一般沒有發現問題我們很快就給他們一份報告就結束了。但是我印象中有項目，其實團隊的實力不強又非要做DeFi項目，其實是會很痛苦的。我們給他們審計，我們會更痛苦，最后審過幾遍之后不給他們報告，有的時候宣傳我們審計了最后沒有給他們報告，其實就是這個原因。

君瑤：所以要以報告為準？

WilliamChen：報告我覺得還確實是大廠會好一點。

君瑤：因為今天時間有限想請問最后一個問題，給DeFi的投資者一個建議，避過的坑一定要注意的問題。

WilliamChen：如果參與DeFi項目，一定是要看有哪個大廠審計，如果沒有審計報告的項目一定不要參與。

沐一：關于這個問題，就是我還是分兩層。第一層是對于開發者，就是DeFi項目的風險敞口其實挺多的，我舉幾個常見的，第一個就是開發者團隊的問題。開發者團隊我們分成中心化的開發團隊，還分成匿名化的開發團隊，你不知道他是誰。第三種是去中心化的開發者團隊，大家常討論的真道還是假道的問題。第二個就是大家講到很多代碼審計的風險，第三個風險是流通性的風險，第四個風險是匯率的風險，作為普通投資者好好從這四個角度去篩選一下，這是我個人的看法。

Michael：我個人比較幸運，在這次DeFi目前為止沒有踩過坑，不代表后面不會踩坑。我對普通投資者的建議，進入這個行業必須要努力提升自己的一些鑒別能力。但是如果實在沒有辦法提升自己的能力，那就去相信大的平臺，比如說用TP錢包，用TP錢包玩幣牛牛推薦的項目，比如說玩我們審計過的項目，通過這些方法避免自己少踩一些坑。

李宗乘：我們DeFi里面有一點后知后覺，沒有第一時間參與進去。真正帶火這個DeFi應該是半個月之內漲10倍以上，我們是屬于激進的保守派，后來覺得這個項目還不錯，已經上線半年多，整個資金體量很大，好幾億美金，體驗也不錯，也推出了自己的質押模式，也參與進去了。我們參與項目的時候平臺在相對較長的時間里面是否沒有出現相應的問題，如果沒有的話資金量比較大還是愿意參與進去。但是DeFi行業變得太快了，很多新項目如果是投礦比較難賺到錢。第一是不是靠譜的平臺，上面給你推薦。第二是否是有相應靠譜的審計公司出的審計報告，這個是一定程度的避免踩坑。

君瑤：再次謝謝所有嘉賓的回答和建議，本場圓桌到此結束，謝謝各位嘉賓。

Tags：DEFEFIDEFI區塊鏈Ramp DeFifdudefiEarn DeFi Coin區塊鏈專業

火必APP