10月20日晚,财经·链新举办了“看见新未来”——国际观察线上沙龙第四期,主题为“去中心化金融是什么?它的发展趋势会是怎样?”
本次沙龙特邀清华大学经管学院数字金融资产研究中心主任罗玫、北京链通律师事务所主任丁飞鹏律师、艾贝链动CEO叶新三位嘉宾,他们分别从金融、法律、安全三个角度做了精彩的分享。
面对蓬勃发展的去中心化金融,嘉宾们认为,这一新生事物处于发展初期,还存在诸多问题,投资者需要谨慎。
1、罗玫:高收益率不可持续且风险极高
罗玫表示,风险和收益是成正比的,去中心化金融的高收益是不可持续的,加密资产价格暴跌、合约漏洞等风险都可能给投资者带来巨大损失。
链新:去中心化金融和传统金融有什么异同?
罗玫:去中心化金融跟传统金融类似的地方是,它有传统金融世界里非常典型的借贷产品、理财产品、抵押贷款、交易所等,但它的交易所很特别,它不是在中心化的交易所交易,而是在去中心化的交易所里面交易,这是传统金融里没有的。
链新:去中心化金融有哪些风险呢?
罗玫:金融领域里风险和收益是成正比的,去中心化金融里很多产品的收益率能够高达100%,但这一方面是不可持续的,另外也意味着极大的风险。
风险主要有两点:第一个是金融传导性在区块链网络的波及扩散,以及快速的传导效应而导致的风险。因为在网络世界所有的公链是相通的,加密资产价格持续上涨,盘子会越来越大,当资金量大到一定程度的时候,它涉及的面会很广。当价格大幅上涨后突然暴跌时,金融的传导性就能够传导整个区块链网络。合约执行不及时,或者是清仓不及时,或者一些高杠杆儿的产品还不上,连锁反应就会导致所有的资产价格快速下跌。
第二个风险是人为的,虽然协议是计算机自动执行,但具体的机制设计还是人为的。就算设计者没有私心,但合约也可能有漏洞,被黑客攻击。甚至设计者有私心,自己去攻击自己设计的合约,那将对投资者造成很大的损失。
2、丁飞鹏:去中心化金融在国内已不受法律保护
丁飞鹏律师表示,在法律实践中,去中心化金融出现了很多问题,普通用户不只是损失资产,还可能涉及到一些洗钱的案子。
链新:从法律的角度,你认为去中心化金融和传统金融的差别是什么?
丁飞鹏:两者都是试图通过一定的规则对现有事物进行探索,但是传统中心化金融的规则是通过合同和法律来实现,而去中心化金融逻辑不是这样,它是一种智能化的合约和代码,靠底层技术把规则事先定好。
链新:在实践中,去中心化金融会遇到哪些问题?
丁飞鹏:主要有以下几点:1、技术层面的,公链的底层代码写的不好的话,用户可能就比较麻烦。2、匿名化,用户自主权非常大,如果自己出错了,资产就会永远丢失。3、处于发展初期,生态不完善。4、洗钱的风险。
在我办理的很多案件中,很多普通公众都只是盯着高收益,而忽视了这些项目的风险。有的可能是被黑客攻击了,有的可能就是开发者监守自盗,在智能合约里设置漏洞甚至嵌入后门儿,然后卷走用户的资产,给用户造成无法挽回的损失。
还有一些去中心化的交易所,其实是混币平台,做的是洗钱的事情,警方利用链上追踪技术手段可能锁定普通用户,即使不用承担法律责任,但也会卷入到一些案件里去,同时也是客观上为洗钱者提供了帮助。
9月24日央行等十部门发布了《关于进一步防范和处置虚拟货币交易炒作风险的通知》,给虚拟货币交易以及衍生品的活动一个非法的定性,因此,我们对待去中心化金融更要坚持理性。
链新:9月24日十部委发文后,去中心化金融活动是否已不受国内法律保护了?
丁飞鹏:是的,虚拟货币交易和去中心化金融等都不受法律保护了。这也对去中心化金融的技术提出了更高的要求,之前可以通过合同、法律规则去维护自己的权益,现在这种途径行不通了。
链新:去中心化金融能轻而易举的实现跨境转账,可对国家来说资金跨境即要换汇,DeFi与国家利益的融汇点或交集有哪些?
丁飞鹏:最根本的问题在于,虚拟货币或数字资产这个领域的应用挑战的是传统铸币权,挑战的是中心化组织和权威,所以肯定有冲突。2019年之后,非法的传统换汇属于被打击的对象了,可以定非法经营罪,DeFi领域也出现了类似的刑事案件,有人利用去中心化金融用境外的账号和境内账号进行“跨境转移支付”,然后被定非法经营罪被拘留和审查起诉。
3、叶新:警惕安全风险
叶新表示,去中心化金融是一个野蛮生长的初期市场,发展很快。从2017年第一个协议MakerDAO诞生以来,仅3年多的时间,已有十多条主链上运行着超500个DeFi协议,总锁仓资产已超过了1600亿美元。由于代码开源、离钱近,自然也成了黑客关注的焦点,各种安全事件频发。
链新:在去中心化金融的协议方面,主要存在哪些问题?
叶新:1、项目之间交叉现象较为普遍,代码“抄袭”招致安全风险。开源特性其实是把双刃剑,在黑客攻击面前如果新项目不能对原代码有深刻的理解,很容易招致祸患。最近一个项目就是在uniswap v2的基础上修改手续费,结果没改对,造成每次交易都可以取走所有的流动性。
2、DeFi项目间业务组合会产生大量未知的“可组合漏洞”风险。一些单独使用没有问题的代码特性,会在组合使用时成为漏洞被攻击,Lendf.me就是个典型案例。
3、预言机相关的问题。一些借贷类型DeFi,例如MakerDAO、Compound等,会参考外部的资产报价决定是否清算用户的贷款,而外部资产报价可能会被黑客操控,经常出现的闪电贷攻击多数与此有关。
除此之外,还存在项目方故意在代码里留后门、人为私钥泄露、链下服务器遭攻击等众多潜在安全威胁。
链新:目前投资者的参与风险体现在哪些方面?
叶新:1、私钥的存储风险,比如,私钥信息储存在邮箱等云存储上,或通过通信软件发送、泄露给钓鱼网站等。
2、用户在与DeFi协议的交互过程中,要明白哪些授权要求是不合理的,以及相应的授权额度有没有风险。比如,前段时间NFT交易平台Opeasea被黑客利用,通过平台漏洞由含有恶意代码的空投图片触发看似合法的授权弹窗,诱骗用户去点击。
3、要特别注意“中间人攻击”,黑客可能将自己置于通信两端,并试图截获和篡改关键信息,通信的两方认为他们是在与对方交谈,但是实际上他们是在与黑客交流。
在DeFi交互中,我们要特别关注一些关键的交易信息有没有被“篡改”,比如UNI合约地址、交易的金额、接收SWAP的目标地址等。在具有“所见即所签”功能的硬件钱包设备上,比对这些关键信息,再进行授权操作。
