老師,我有一個客戶的朋友,一直說 Defi 比較安全,說 Cefi 都是給交易所在賺。
Cefi 和 Defi 的課我都有教,單以安全性來 Cefi 遠遠高於 Defi,因此拿安全性給 Defi 背書是不合邏輯的。
具體而言,Defi 最起碼有這四大問題:
- Defi 沒有足夠的資金提升資安等級。
- Defi 項目方常被駭客攻擊。
- Defi 無救援機制,無還手之力。
- Defi 無監管機制,項目方隨時可捲款潛逃。
這四個問題環環相扣,只要中了其一,無論在 Defi 多富有,都會在一瞬間化為烏有。
Defi 與 Cefi 有何不同?
Defi 缺少第三方監管,跟銀行或信託也沒有往來,完全是 P2P (點對點;用戶對用戶)的流程,犧牲了安全性,增加了隱蔽性;而 Cefi 則是在平台上進行交易,安全的平台會接受監管,也會收取手續費。
以購物來比喻,Defi 有點像流動攤販,直接跟賣方交易,沒有發票或收據;Cefi 是到店家交易,會給收據。
更詳細的說明可參考這篇文章《Defi是什麼?風險高嗎?3分鐘認識「去中心化金融」》。
Defi 的四大風險
信仰 Defi 的幣友一直有個核心理念,就是顛覆原有的金融秩序,做到完全的私下交易。
無序的世界會帶來創新,也會帶來混亂。
Defi 沒有足夠的資金提升資安等級
向這位同學「推廣」Defi 的幣友,其論述之一在於「Cefi 都是交易所在賺」,似乎對交易所頗有微詞。
沒錯,Cefi 的中心化交易所確實賺了不少錢,也因此他們有足夠的預算持續提升資安等級;相反的,雖然對用戶來說,Defi 在一開始可以省下交易成本,但由於項目方缺乏穩定的收入來源,因此沒有資金提升資安等級。
Defi 項目方常被駭客攻擊
有人問聖母峰的挑戰者為何要爬聖母峰?挑戰者回「因為山就在那裡」。
Defi 的核心是智能合約,智能合約的漏洞可能導致資金被盜。
智能合約雖有自動執行、不可篡改等特性,但智能合約的程式碼由人編寫,因此不可能做到完全沒有漏洞。
有漏洞,項目方如果又缺乏防禦能力,駭客自然可以利用漏洞修改智能合約的代碼,將資金轉移到自己的地址,「因為錢就在那裡」。
其他駭法包括:
- 利用智能合約漏洞竊取資金。
- 攻擊 Defi 項目的網站或系統,竊取用戶的私鑰或密碼。
- 利用跨鏈橋攻擊,竊取跨鏈交易中的資金。
Defi 無救援機制,無還手之力。
Defi 沒有信託、沒有保險,加密資產又完全存在於鏈上,因此被攻擊後沒有任何還手能力,也沒有其他單位會做補償。
例如 2022 年 8 月,Poly Network 被駭,損失了約 6.1 億美元。Poly Network 曾請駭客高抬貴手,但駭客並未回應,反而進行一場戲劇性的自我宣傳。
Chainalysis 統計,2022 年前四月,全球共有約 16.8 億美元的加密資產遭竊,DeFi 占 97%。
Defi 無監管機制,項目方隨時可捲款潛逃
也因為沒有監管,Defi 又不一定有收入來源,而錢就在那裡,難保不會引起項目方覬覦。
例如,2022 年 6 月,Fei Protocol 的創辦人撤銷了用戶的存款,導致用戶損失了約 3.5 億美元。
總結
Defi 的安全性是相當堪慮的。會認為 Defi 比較安全,很大程度是被假訊息騙了。
之後,對方又推薦同學買一個奇怪的加密貨幣:TPY。
我們可以用這個案例來學習怎麼分辨加密或幣是否值得投資。