鸵鸟区块链

虽然遭遇安全漏洞攻击,但这个名为「88mph」的项目仍有可圈可点之处

鸵鸟区块链要闻 2020-11-20 15:10 2098
摘要:

LP 不亏反而小赚一笔,记一次因祸得福的安全漏洞攻击。

刚刚启动流动性挖矿两天的固定利息加密借贷协议 88mph,因合约漏洞导致攻击被紧急关停,幸运的是,项目方反应迅速将资金安全转移,并在不到 24 小时内完成了漏洞修复,并宣布 将于北京时间 11 月 21 日凌晨 4 点重启第二轮流动性挖矿,新启动的流动性挖矿同样持续 14 天,将向参与用户分发 88,000 MPH 代币。

颇具戏剧性的是,由于团队冻结了该名攻击者放在 MPH 债券合约中价值 10 万美元的资产,并决定将这些额外的收益分配给流动性提供者,因此这一次攻击不但没有导致用户遭受损失,反而还让首批参与者获得了一笔意外的「奖励」。

在这场与黑客的正面交锋中,88mph 开发团队通过及时的反应有效保护了用户的财产安全,并在很短的时间里完成了漏洞修复,反而为项目赢得了口碑。不过这一安全事故又一次为市场敲响了警钟,高利润的 DeFi 游戏同样孕育高风险,即使是经验丰富的开发者以及已通过审核的合约,也不能百分之百保障安全。

88mph 攻击事件始末

11 月 16 日,固定利息加密借贷协议 88mph 启动流动性挖矿。

根据官方公告,此次流动性挖矿将持续 14 天,用户可通过存款和购买浮息债券获得其原生代币 MPH,通过在 Uniswap 上为 MPH/ETH 交易对提供流动性赚取更多原生代币 MPH,88mph 将通过此次挖矿计划总共分配 88,000 MPH,每日分配约为 6285 MPH。

就在流动性挖矿启动后两日,一名攻击者利用 MPHMinter 的合约漏洞试图盗取其在 Uniswap 流动性资金池中的所有 ETH,结果被著名白帽 samczsun 发现并通知了项目方。

开发者随即暂停了流动性挖矿,将 ETH/MPH 池中的资金转移到治理多签钱包中,以保持资金安全,并在不到 24 小时的时间里永久修复了漏洞。

与此同时,由于开发团队冻结了该名攻击者放在 MPH 债券合约中价值 10 万美元的资产,并决定将这些额外的收益分配给流动性提供者,此次向流动性提供者空投的 ETH 包括本金和攻击者的部分 ETH。也就是说,这一次攻击用户财产不仅没有损失,反而还小赚一笔。

截至目前为主,88mph 已宣布将于北京时间 11 月 21 日凌晨 4 点重启第二轮流动性挖矿,新启动的流动性挖矿同样持续 14 天,将向参与用户分发 88,000 MPH 代币。

值得一提的是,88mph 的开发者 Zefram Lou 背景坚实,涉足包括 Betoken 在内的多个区块链应用的核心开发,擅长以太坊 dApp 开发,熟练掌握 Python、Java,以及 Web 与 iOS 开发,热衷于区块链、机器学习、虚拟 / 增强 / 混合现实等,涉足的项目包括反大鲸 DAO 组织 WhalerDAO 、无损捐赠协议 PoolDAI 和 DAO 平台 Fantastic12。

事实上,88mph 早前就已通过 Quantstamp 的安全审核。根据 Quantstamp 出具的安全审核报告,88mph 的存款和债券智能合约已通过 Quantstamp 审核,其流动性挖矿和质押合约则是从 Synthetix 分叉而来。所有合约的所有权均已转移至 Timelock 合约。(Timelock 合约地址:0x4027d912A19E3Cd540FB580aF6A9088eAC738566#code)

此次安全审核中,Quantstamp 总共发现了 16 个问题,其中,高风险问题有 2 个(已解决),中风险有 1 个(已解决),低风险问题有 8 个(已解决),信息风险问题有 3 个(已解决)。

虽然遭遇安全漏洞攻击,但这个名为「88mph」的项目仍有可圈可点之处

可以看出,通过 Quantstamp 安全审核的仅仅是存款和债券智能合约,被攻击则是由 MPHMinter 合约漏洞导致。

这再一次提醒我们,在参与高回报的 DeFi 挖矿策略游戏时,应把安全看作是头等大事,即使团队开发经验丰富,合约已通过审核,也不能保障百分之百的安全。

不过,刨去安全风险,这个名为「88mph」的项目仍有可圈可点之处,以下简要介绍 88mph 有何独特之处、实现原理、独特的经济模型,以及刨去安全风险,这个项目的流动性挖矿是否值得参与?

88mph 到底是什么?

88mph 是一个新的固定利息加密借贷协议,允许用户存入多种加密资产赚取固定利率的利息,此时,存款人可获得一个代表自己存入资金的 NFT 凭证,同时保持无限的流动性。这和大多数浮动利息的加密协议不同,目前支持的加密代币有 aUSDC、cUSDC、cUNI、yUSD 和 ycrvSBTC。

也就是说,如果你以 10%的固定年化 APY 在 88mph 中存入 100 DAI,存储期为 1 年,1 年到期后,你可以获得 110 DAI。

对于波动性如此大的加密资产来说,88mph 是如何实现总是提供固定利率收益呢?88mph 是否总是可为存款人保证承兑固定利率利息?是否存在风险呢?

想要弄清楚这些问题,需要了解 88mph 的运行原理。

实现原理

实际上,当用户存入加密资产(USDC/UNI/yCRV/crvSBTC)时,88mph 会将这些资金投入 Compound、Aave 和 yEarn 这样的各种 DeFi 收益协议中赚取浮动收益,从而为存储用户的固定利息提供资金来源。

你也许会问,这些 DeFi 收益协议的利息都是浮动的,要是产生的收益小于应付给存储用户的固定利息呢?

88mph 通过将所有存款聚合在一个资金池解决该问题,这意味着 88mph 会将所有存储资金放入一个独立池中,一旦存款期结束,用户就可以从中提取存款。

将所有存款资金放入一个独立池中有什么好处呢?

第一个好处是平衡风险。由于池中有多种不同的协议代币,当一种协议的浮动利率 APY 下跌时,有可能另一种协议的浮动利率 APY 在上涨,此时,前者下跌造成的债务就可由后者浮动利率 APY 上涨产生的收益来弥补。从而降低破产风险,提升 88mph 系统中各种加密资产利率的稳定性。

第二个好处是保持 88mph 的偿付能力。一个池中各个存款的到期日有重叠的时间,也就是说,当一个更早到期的存款出现收益赤字时,可用另一个到期日更晚的存储本金支付前者的收益差额部分,虽然这本身不能直接解决债务问题,但结合风险平衡和浮动利率的波动性,有助于保持 88mph 的偿付能力。

如果有更坏的情况发生呢?即如果浮动利率 APY 降至很低并长时间保持该值的话,那么一开始基于较高浮动利率生成的固定利率值就会产生赤字,有可能无法承兑存款人到期日的利息收益,时间足够长的话,甚至可能导致整个池范围的破产事件。

为此,88mph 还提供了一种机制「浮动利率债券」。购买浮动利率债券后,即可填补池中一笔或多笔存款产生的债务,作为交换,债券买家则获得这些存款产生的收益。

比如,如果 Kevin 一年期限的存款利息生成不足,给 88mph 带来了 5 个代币的利息债务赤字(5%的固定利率),此时 Chad 购买了该债务的浮动利率债券,并填补了这笔债务。

此时,Chad 可获得的风险收益是这 105 个代币产生的浮动利率收益。由于 88mph 的固定利率收益等于初始浮动利率的 75%,所以,只要在 Kevin 存款有效期内,平均浮动利率下降幅度不大于 25%,Chad 总是会获利,而如果浮动利率上升,其利润就会增长。Chad 本质上是在对浮动利率做多。

当然,为了保障系统安全,激励「浮动利率债券」购买,88mph 同样采用了 MPH 代币奖励计划,即购买「浮动利率债券」赚取 MPH 代币。

MPH 代币有何用处?

88mph 核心业务是提供固定利息的加密借贷服务,允许用户借出多种加密资产获得稳定的利息收益,该收益以存入时刻该代币的浮动利息为基准计算得出(为其 75%),满足了想寻求稳定年化收益 DeFi 用户的需求,另一方面,「浮动利率债券」则提供了某种程度的保险机制,为系统提供更加稳定的安全保障,实际上,这相对于提供了风险分层,让风险偏好较高的用户有机会获取更高收益,同时承担一定风险。

以上两个功能是 88mph 产生长期价值的关键点,也就是说,只有其核心业务用得越多,产生的价值才越大,从而产生基于整个生态系统的正循环。

为了激励更多人使用这些核心业务,88mph 启动了此次流动性挖矿计划(初始代币分发),只要使用平台两个核心业务(以固定利息进行定期存款和购买浮动利率债券),就可以获得 MPH 代币奖励,定期存款基于存款产生的利息收益占比进行 MPH 代币奖励,而浮动利率债券购买则基于购买金额占比进行奖励。

虽然遭遇安全漏洞攻击,但这个名为「88mph」的项目仍有可圈可点之处

88mph 目前支持的代币有 aUSDC、cUSDC、cUNI、yUSD 和 ycrvSBTC,固定存储期限从最短 7 天到最长 1 年共有 7 种选项。

不过,和大部分挖矿项目不同的是,MPH 代币的持有并不是永久性的,而仅在业务有效期内有效,一旦到期,存款人可拿回本金和固定利息收益,此时权益凭证 NFT 被销毁,同时需将 90% 的 MPH 奖励代币归还给治理金库。

也就是说,在存款业务到期之前,你可以使用这些奖励的 MPH 代币做各种各样的操作赚取收益。比如,可参与流动性挖矿活动获得更多代币奖励。根据该计划,流动性提供者可在 Uniswap 上为 MPH/ETH 交易对提供流动性,同时将该交易对的 LP 代币质押在 88mph 上可赚取 MPH 代币奖励,在挖矿有效期的 14 天内,88mph 总共分发 88,000 MPH,每日分配约为 6285 MPH。

在持续 14 天的流动性挖矿有效期内,MPH 代币持有人可通过参与提供流动性赚取更多 MPH 代币,或者在该平台质押这些 MPH 代币赚取更多收益,收益来源包括其他相关协议(比如 Compound 和 Curve)的耕种收益,以及 88mph 协议上产生的费用(每一次取款 88mph 会从利息中扣除 10%作为协议费支出),该奖励以 DAI 的形式发放。本质上,MPH 代币是一种有有效期的生产型代币,只有参与平台的核心功能操作才可以借用,在这段期间,你可以使用它进行利益最大化操作。

虽然遭遇安全漏洞攻击,但这个名为「88mph」的项目仍有可圈可点之处

此外,88mph 采用了 NFT 作为用户存款和购买凭证,每一次存款和购买债券行为都会产生一个 NFT 凭证,持有者拥有取回本金和获得利息的权限。 以太坊的可组合性赋予了该 NFT 无限的可能性 ,比如可将该 NFT 作为抵押品在 RocketNFT 等贷款平台进行贷款,并在存款到期后偿还贷款。

可以预见,一轮流动性挖矿结束后,基本上挖矿所得的大多数 MPH 代币会流入治理基金,此时,浮息债券购买不再有 MPH 代币奖励,而只限于存款功能奖励。接着会重启下一轮为期 14 天的流动性挖矿。

团队、治理和产品路线图

88mph 属于 Aave 第二轮生态资助计划 中的一个项目,并已通过 Quantstamp 安全审核。

作为 Aave 生态资助计划中的一支,88mph 支持的协议首当其冲是 Aave,不过暂只支持其中一种代币资产 aUSDC,其中支持的代币资产包括 cUSDC、cUNI、yUSD 和 ycrvSBTC。团队表示将集成更多 Aave V2 和 Curve 中的更多资产。

此外,88mph 计划启动更加智能的固定利率 APY 策略。此外,88mph 计划开发更多 NFT 的应用潜力,以将存款 NFT 作为一种资产凭证集成到更多的 Opensea 或 Rarible 上出售,在 Nftfi 抵押借入更多资产等。

治理

和大部分挖矿项目相同,88mph 鼓励用户进行核心操作后可获得治理代币奖励,不同的是,88mph 的代币奖励有一个时间期限,仅在业务期内有效,但到期后,你得归还 90% 的代币给治理基金库(Governance treasury,地址 0x56f34826Cc63151f74FA8f701E4f73C5EAae52AD)。88mph 计划集成 Snapshot 激活社区治理,将协议参数集成至治理模块,MPH 持有人将有投票权决定如何处置这些资金。

也就是说,每次用户操作后,真正获得的代币只有 10%,如果想获得 100% 的代币,就得另外花钱买回 90%,或者花更大(10 倍)的力度进行挖矿,拿回代币,拥有更大比重的治理权。这种设计机制导致的结果是,用户要么进行更多的操作行为,要么花费更多资金买入代币,才能获得掌握更大比重治理权限的投票代币。

在 88mph 生态系统中,MPH 代币被赋予治理功能,持有 MPH 代币可各种社区提案投票,包括但不限于协议参数更改、MPH 代币的归还比例(目前 90%),新的激励机制、资本效率策略和增长等。此外,MPH 代币还被赋予各种收益生息功能,无论是质押生息(奖励 DAI)还是提供流动性生息(奖励 MPH 代币),都可以获得更多收益。

可以说,MPH 代币不仅是一种治理权益代币,更是一种生产型代币,相当于一种生产工具,只不过这种生产工具的使用是有时间期限的。对于持有人来说,「租用」意味着时间紧迫,会促进他们更加极尽所能进行收益生产,获得最大化收益,另一方面,如果自己的生产收益在一段时间内持续有机增长,那么,这种租期机制的收益耕种也有利于促进现有用户延长业务,一定程度可以促进平台核心业务的有机增长。

开发基金

每发生一次存款操作或者债券购买行为,就会铸造出 MPH,与此同时,系统会根据新产生的 MPH 代币铸造出额外 10% 的 MPH 代币,发送至开发者基金,用于支付该协议未来开发和维护费用。

去中心化金融仍处于早期阶段,高收益的另一面是需承担高风险,高风险不仅意味着频发的攻击事件有可能让你血本无归,而且,作为一款去中心化的保本理财服务,还存在利率波动风险,劣后(买浮动收益债券)资产规模是否能满足系统需求还有待时间验证。

来源:链闻ChainNews (ID:chainnewscom)

==

和11万人同时接收最新行情资讯

搜“鸵鸟区块链”下载

和2万人一起加入鸵鸟社群

添加微信ID:tuoniao02

本文经「原本」原创认证,作者鸵鸟区块链,访问yuanben.io查询【I0JD95CD】获取授权信息。

声明: 鸵鸟区块链所有发布内容均为原创或授权发布,如需转载,请务必注明文章作者以及来源:鸵鸟区块链(微信公众号:MyTuoniao),任何不尊重原创的行为鸵鸟区块链都将进行责任追究!鸵鸟区块链报道和发布内容,不构成任何投资建议。

鸵鸟区块链要闻

该出手时就出手,不然只能打酱油。

1505 篇 作品
443.2W 总阅读量