EFI:神魚：個人和機構玩家如何在 DeFi 領域安全增值，科學避雷_TradeFlow

來源：CoboLabs

撰文：神魚(毛世行)、蔣長浩、LilyZhuoCoboCOO、AlexZuo

CoboLabs是亞太最大的加密貨幣托管平臺，最受機構歡迎的金融資管服務商Cobo的加密貨幣研究實驗室。

我們專注于創新項目，前沿加密數字技術領域，全球市場合規動向，市場基本面及波動因子；旨在幫助市場參與者和加密貨幣愛好者，降低進入市場的認知門檻。

核心內容原創者包括：

?-神魚(毛世行)?Cobo聯合創始人兼CEO，F2Pool?聯合創始人

?-?蔣長浩?Cobo聯合創始人，前Facebook高級科學家

?-LilyZhuo?CoboCOO，前知名400億美元基金總法律合規顧問

?-AlexZuo?(左常柏)，Cobo資管VP，前?TokenInsight聯合創始人，業內最大FOF牽頭人

我們也希望對加密數字貨幣領域有研究精神和科學方法論的終身迭代學習者可以加入我們的行列，向行業輸出思考洞察與研究觀點！

神魚：Filecoin lotus節點的一些返回值不是很符合常規邏輯:神魚及Cobo官方今日給出Filecoin“雙花攻擊”細節：Filecoin lotus節點提供了多個API用于鏈上交易的獲取，例如ChainGetBlockMessages可以獲取指定區塊內的所有交易內容，StateGetReceipt可以獲取指定交易ID對應的執行結果，此次被攻擊的交易所就是采用這兩個API來進行鏈上轉賬行為的解析，并基于此為用戶入賬。不過他們沒有注意到，StateGetReceipt接口有個比較不符合常規邏輯思維的設計，就是在獲取指定交易ID的執行結果時，如果這筆交易已經被RBF（replace by fee），則會返回最終RBF成功的那筆交易的執行結果，并且在返回值里沒有任何的提示表明這筆是RBF后的交易的執行結果。

假設攻擊者首先發送了TX1，對應的交易ID為TXID1，隨后攻擊者對TX1進行了RBF，生成TX2，對應的交易ID為TXID2，最終TX2上鏈成功。此時通過StateGetReceipt對TXID1和TXID2分別查詢，都能得到執行正確的結果！

Cobo Custody技術團隊在對接Filecoin的過程中已經發現了上述問題，因此沒有采用ChainGetBlotckMessages和StateGetReceipt來獲取鏈上的轉賬行為，而是采用ChainGetParentMessages和ChainGetParentReceipts來獲取已經成功上鏈的交易，從而從根本上避免了被雙花充值的風險，因此未受此次雙花充值攻擊的影響。

此外，在使用ChainGetParentMessages和ChainGetParentReceipt的過程中，Cobo Custody技術團隊發現lotus節點的一些返回值也不是很符合常規邏輯思維，例如對于空塊的處理是有一些問題的。Cobo Custody技術團隊對此作了妥善的安全處理，在此也提示其他中心化托管機構需要仔細檢查相關的對接代碼，避免其他的雙花充值攻擊行為。[2021/3/19 19:00:06]

此篇是CoboLabs的第??1??篇文章。

神魚：王純說賣掉 40 億美元比特幣是一種嘲諷:F2Pool聯合創始人兼Stake.fish創始人王純在推特上引用了ElonMusk的消息，表示，已賣出40億美元價值的比特幣，為了可以換得一張去火星的單程票，針對該消息，F2Pool聯合創始人神魚表示這是王純在嘲諷，以諷刺部分用戶近期懷疑比特幣價格下跌是因為F2Pool在拋售比特幣。[2021/2/1 18:36:22]

神魚-時間管理大師的經年領悟

在8月的最后一周，已經鮮少現身的神魚，為溝通DeFi基金的市場需求，現身于Cobo內部業務溝通會。

神魚回答了來自于從業者的犀利問答，下文，CoboLabs精簡了關于DeFi、NFT等當下創新機會的風險和自我思考總結。

結尾，神魚還分享了自我私生活，可供大家品味觀賞！

一、關于Cobo的靈魂三問

Cobo的DeFi風控體系如何？類似上次PolyNetwork的被盜事件，DeFi類資金如何保證安全？Cobo基金資產是不是神魚自己操作，怎樣做好風險把控？

聲音 | 神魚：本次減半對礦工和礦機均有比較大的沖擊:在本期金色沙龍中，魚池F2Pool創始人、Cobo錢包聯合創始人神魚發言指出：本次減半對礦工和礦機均有比較大的沖擊。如果幣價在減半后，還沒有出現一個快速的劇烈上漲，那么預計在五月份減半后，全網30%-40%礦機可能會選擇暫時的關機；如果幣價在這個過程中有大幅的上升，那會舊型號的礦機可能會開起來。但是整體市場上的礦機，由于產能受限和疫情等原因的影響，基本上今年對礦工來講是一次大的洗牌期和考驗階段。[2020/2/19]

神魚：

首先，Cobo沒有參與這個項目，是我個人資金投入，但是我們第一時間捕獲到了相關信息，并且協助溝通了相關渠道，例如幣安、Tether等處理這次的黑客事件，還是比較順利，從收集情報、團隊內部一起溝通，最終也獲取到了有效信息，比較幸運，也感謝很多安全團隊的協作。

本次黑客盜幣事件其實是對DeFi行業的反思，由于涉案金額巨大，我們事后也在思考在DeFi領域的投資方式，特別是挖礦，投入的是本金，面臨是的不確定的安全風險。

聲音 | 神魚：比特幣可能回調后再緩慢進入新的上漲周期:在本期金色沙龍中，魚池F2Pool創始人、Cobo錢包聯合創始人神魚發言指出：從歷史上來看，比特幣每四年減半，基本上和比特幣的牛市周期是相對重合的。歷史經驗是減半后的一年左右會出現一個明顯的上漲行情。從經濟學的角度來講，這個事情有可能，但沒有特別的依據。春節前后，比特幣幣價從六七千開始漲到了一萬左右，這個階段發生之后可能會經歷一次大的回調，然后再緩慢地進入新一輪的上漲周期。雖然這種歷史不會簡單重復，但不能排除這種周期性的事件。[2020/2/19]

對于如何來保證安全：

1.監控報警提醒

Cobo結合了自己一年多的實踐，在投入大資金前，也會一起討論項目的指標，尤其是被攻擊的風險，一旦發生可疑操作，例如時間鎖、多簽發生變化，風控監控會第一時間通知。

2.加密機加速本金撤離，保障資金安全

在區塊鏈安全上，Cobo使用多人協作，內部有系統來完成，通過多人多權限來保證資產安全。

聲音 | F2Pool創始人神魚：有礦池調用算力對其他礦池采用長期扣塊攻擊:F2Pool創始人神魚在朋友圈表示：6年前挖礦存在各種收益模式，并且不同收益模式計算方式對礦工來說難以精確計算收益，因此存在諸多貓膩，魚池創立之初就致力于解決這一問題，經過數年努力全球主流礦池都采用了對礦工透明的PPS模式。近年來中國友商通過不懈努力，各種攪水與輿論戰，名義收取較低費率，背后通過調整礦池顯示算力，甚至采用“人工智能”費率（剛接入期給低費率，后期動態調整費率至5%甚至10%），終于繞暈了礦工。更有甚者調用算力對其他礦池采用長期扣塊攻擊。搞笑的是某大幣種，全網算力（根據難度推算）與實際全網礦池算力長期差了1/4，也就是說有1/4的算力用于扣塊攻擊，打壓競爭對手，讓其他pool虧損至倒閉。[2019/6/12]

比如發現報警信號，可能會對本金產生損失，會觸發Cobo的在線加密機自動處理，加密機持有一把低權限的Key，監控系統發現了可疑，通過加密機把本金先撤出來，并且實現7*24小時工作，采用特殊方法以及嚴格的風控能夠比黑客跑的更快。

3.決策委員會

Cobo有決策委員會，會在項目做完經濟模型審計后，做內部安全審計并會對常見問題做出預判，我們也會在自營媒體以及私域「德妃耕田」，溝通和預警項目的信息，也會提醒讓項目方升級和完善相關模塊，通過實踐也幫助DeFi挖礦大戶抵御了一些攻擊，這樣不斷的實踐讓我們在DeFi領域更好的做一些風控，保證所參與項目的安全性。

報警問題：對于不訴諸于法律的原因

是因為事件發生后，第一時間和公鏈團隊溝通，以及能夠支持的渠道，特別是在安全團隊的溯源，看能不能找到黑客關聯人，能不能鎖定一些人，如果采用法律，速度和響應不會像我們自發組織的這么的快，而且DeFi對于傳統是非常復雜的，并且這類黑客肯定會第一時間使用洗錢工具，如果事后談判失敗，能有更好的方式，該走法律也會有法律方式。

二、極端行情下怎么應對市場

現在是牛市，已經漲了那么多，此時進場買DeFi基金，會不會風險比較大，如何應對類似519等極端行情？

神魚：

DeFi給我們提供了新的增值方式，提供了公允的市場利息，DeFi收益來源是通過鎖定本金價值，在DeFi協議里獲取代幣，絕大部分的收益，我們會對礦幣進行套期保值，并且會比較快的速度賣掉，在我們自動化工具里，每10?分鐘量級賣掉，如果是像519這種，盡量降低杠桿，或者能自動化處理，能夠防止這樣的事情發生，DeFi的風險除了合約之外的風險，整體收益還是比較OK的。

三、被神魚沖塌的礦，小散我怎么辦

?沖哪個礦？當前的挖礦機制里面哪個設計更合理一些，以及如何防止被巨鯨沖塌，被神魚老板沖塌的礦實在是太多了！

神魚：

目前常規礦收益略無風險，當前收益率處于回暖狀態，老礦和新公鏈整體市場的TVL也在提高，當前好礦也很多。

挖礦核心問題，首先是安全，其次是經濟模型是否合理，是否有本金磨損以及大資金進入是否會沖塌這個礦。

我們投委會調研做出研報，投委會成員進行檢測和試跑，看看經濟模型是否長久，找到賽道的模型和價格預期，以及資金體量能到什么程度的時候會出現正反饋和負反饋；

特別是對于大戶的進入，會不會讓這個礦收益率降低，我們需要計算多少錢投入可以獲得最優質收益，當然也需要根據市場動態調整，賽道、模型、估值區間等計算大概可以承載的范圍，像拐點來臨的話要止盈止損，這是個高度動態的過程，決斷根據參數來變化，找到資金分配收益最優解的解決方法。

四、DeFi賽道方向您怎么看

下一步DeFi發展的方向？

神魚：

DeFi在過去1年的發展中，已經有了非常重要的底層基礎設施像算法穩定幣、底層借貸、豐富的衍生品，其實頭部效應已經顯現，目前性能問題是要解決的主要問題，目前DeFi鎖倉在1000多億美金，但是公鏈只能支撐幾百萬用戶，伴隨著行業的發展、數量級的突破，目前的性能支撐不了這些用戶。

可能的方向是采用多層公鏈，半年到1年之間，二層網絡會形成頭部效應，也會聚集大量的核心應用；由于DeFi協議分散在各個公鏈上，同時跨鏈協議是一個繞不開的話題，二層網絡解決后，流動性解決方案，跨鏈協議是個方向；

另外，DeFi的外延，例如NFT、GameFi很多和DeFi相結合的協議，這塊短期內會有爆發的機會，大概3-6個月，游戲和元宇宙和DeFi結合，會有成長的機會。

最后，最近美國監管機構對DeFi的討論，也是DeFi行業的機會，例如鏈上數據的分析，監管政策所帶來的剛需，更注重隱私的協議以及保證匿名性的技術迭代和發展。?

五、目前最熱的NFT

你們目前對NFT有哪些涉獵，投資NFT底層邏輯是什么？

神魚：

基本邏輯目前比較簡單，行業處于非常早期階段，大家對于元宇宙，核心觸發點是區塊鏈原生的重新制定藝術和審美的標準，本次的圖片熱潮奠定加密朋克，它不單單是頭像，更代表了社會認同和社交價值。

對于投資者來說。可以把70%資產放在大幣種，20%在新型領域，5-10%放在看起來有未來但比較早期的資產，兼顧保守和激進的方向，如果哪塊有爆發期，整體收益都會不錯。

同時，NFT是消費品，不是投機，目前入場的人是帶有非常多閑置資金，當前市場非常小，頭像類的市值很低，稍微有一點資金進來后，泡沫波動都是流動性溢出帶來的，而不是長期有這么好的流動性，所以大家根據自己的情況參與。

六、福袋：神魚的私生活

問問魚總是怎么調節工作和休息，行情太火爆都沒時間好好睡覺了

神魚：

NFT大部分是都是海外項目，都是凌晨，1-2小時一次，看很多朋友都已經分布式睡眠，睡一下看一眼，大家比較適應，但是牛市確實很辛苦。

對于傳統挖礦，都是大學生看礦場，現在都是挖DeFi，核心資產還是需要自己去看，經濟模型和安全報告，硬件錢包，DeFi和NFT項目還是要參與一下，過去一年比過去4年都多，每周差不多100個小時.

除了賺錢，大佬還有什么愛好？

神魚：

養魚，養海魚，珊瑚養不活了。

Tags：EFIDEFDEFICOBdefiner幣幣幣情TradeFlowTRD-DeFiCOB幣

幣安幣