coinbase:Multicoin:如何通过「信任图谱」评估加密金融服务?

编者按:本文来自MulticoinCapital,作者:TonySheng,Odaily星球日报经授权转载。当人们谈起加密行业中的金融服务时,他们总会谈到“去中心化”或“中心化”。加密布道者倾向于认为前者的风险更小,因为用户无需信任交易对手就能托管资产,从而避免了由于以下情况导致资金损失的风险:黑客攻击、不当行为、政府扣押以及由于其他形式的人为失误或恶意行为。然而现实并不是非黑即白的。虽然柏拉图式的“去中心化”理想非常美好,但是今天的产品和服务所提供的保障不能简单地划分为“中心化的”或“去中心化的”。最好通过一系列的信任模型来理解这些产品和服务。在本文中,我们会探索“信任”这个概念,剖析它不是二元——而是多维的。然后,我们使用这些属性来为当今市场中的一些顶级产品和服务打一个“信任分数”,展示它们都落在信任图谱中的位置,最后我们认为,托管风险并不总是可以预测信任分数的。本文中的每个属性都包括三个子部分:它的信任图谱;在该图谱中,加密行业中的顶级产品和服务;市场观察。信任属性

在对协议和企业进行打分前,需要建立一个评分框架。我们定义了在用户使用某个产品或服务时必须面临,影响总体信任的五个特性,它们分别是:托管不可变型可验证的安全性法律和监管保护保险这些属性的分数由两个问题决定。问题一,“用户会怎样损失他们的资金?”问题二,“如果可以,用户能如何挽回损失的资金?”。用户损失资金的情况有以下几种:运营商盗窃黑客盗窃运营商冻结第三方冻结程序漏洞冻结系统设计糟糕导致管理不善系统规则的改变,导致用户容易面临上述任一情况在某些情况下,用户可以通过正式的保单,或利用法律追索权来挽回损失的资金。通过这五个属性,我们定义了一个标准,将某个产品或服务从1到5打分。在接下来的五个章节,我们会介绍每个属性,建立评分标准,并为21个产品和服务样本打分。其中样本来源注重多个产品种类和不同规模。托管

托管是与信任有关的最常见属性。然而托管也并非二元的,我们根据以下五点标准对托管进行评级。信任图谱虽然托管的和完全非托管的很容易定义,但二者之间的分数需要对每个产品和服务的运作方式有一个深刻的认识。我们确定了三个最为相关的属性::存在能够没收或冻结资金的管理密钥;时间锁;围绕管理密钥的操作安全。一项产品或服务具备多少个这些属性决定了它得、和分。一个协议每包含一个上述特性,我们就加一分。总结如下:托管:用户资产由该项目或服务的运营商所托管。例如,Coinbase是用户资金的独家托管商。非托管,有管理密钥:资产而由智能合约而非运营商托管。如果有人有权冻结、更改或从合约中提走资产,那么资产潜在就比较脆弱。例如,Compound的上一个版本在没有时间锁的情况下,允许管理密钥随意提走用户资产。非托管,有管理密钥和时间锁:这种情况与上述相同,除了一点:由于时间锁的存在,运营商更难对用户的资产有想法。例如当前版本的Compound依然允许管理密钥对合约进行修改,但需要48个小时的等待期才能生效。这给了用户提现资产的时间窗口。非托管,有管理密钥、时间锁和强力的密钥操作安全性:这种情况与上述相同,但是在围绕管理密钥的操作安全性上,存在已发布和可验证的做法。在我们的样本中,不存在一个项目,它的用户资金安全性依赖于一个管理密钥,并且该项目有时间锁和强大的管理密钥操作安全性。随着项目改进它们的操作安全性并将其传达给用户,今年这种情况可能会发生改变。完全托管:在该模型中,智能合约托管用户资产,并且不存在任何形式的后门。其中的一个例子是Uniswap。信任分数

市场观察从上面的分数可以得出三个有趣的结果。第一,在完全的最小化信任和可升级性之间存在着一个权衡。在托管方面,虽然MakerDAO和Uniswap都是相对最小化信任的,但是MakerDAO通过正式定义的治理系统能够对系统参数进行升级,而Uniswap则完全不能修改现有的合约。这一点意味着很多情况下,为了进行升级MakerDAO的用户无需退出旧合约,然后将他们的资产转移到新的合约。在另一方面,Uniswap系统则完全没有办法修改已有的合约或参数,它的规则是静态,并且无法更改的。第二,使用最多的DeFi产品和服务不是柏拉图式理想的去中心化,而更类似那些中心化的竞争对手。特别是稳定币,因为稳定币是基于法币质押而产生的,它们需要更高程度的信任。Compound和dYdX协议值得我们关注,因为它们在DeFi协议占据了相当大的质押物份额。在dYdX和Compound中,团队控制着带有某些限制,能够修改智能合约的管理密钥。第三,几乎所有得分在2-5的服务都将自己定位为“非托管”,并着重强调高度的信任最小化,因而更加安全。在实践中,一些用户实际上承担了严重的托管风险。要安全地使用这些服务,用户必须了解系统的底层设计。对非托管协议的盲目信任本身就是一种风险。不可变型

如果规则可以随意更改,那就毫无意义。而规则是否会更改取决于:被授权利益相关者更改规则的动机,以及规则能够更改的程度。由于是不可观测的,我们将关注点放在——也就是系统的可变性。信任图谱我们将可变型划分在这两者之间:完全可改变,即运营商可以做出任何更改;完全不可改变,即任何人都无法修改合约的逻辑、参数或指针/引用。分数、和则由系统可以更改的程度决定。运营商具有对系统所有层面进行更改的单边权力。例子包括所有的中心化交易所。随着交易所代币在治理方面发挥越发重要的作用,这一点可能会发生改变。运营商有权力对系统的大多数层面进行更改。不发行治理代币的DeFi产品和服务属于此列。运营商有权对系统的某些层面做出更改。在我们的样本中,唯一一个得分为3的产品是UnchainedCapital,因为它们的主要产品是一个多签的“金库”,该金库是不可改变的,但其附属产品则是可变的。能做出调整的范围有限,并且只能通过去中心化治理来实现。大多数决策都是由代币持有者所控制的DeFi产品和服务。任何人都不能对系统做出改变。我们打5分的唯一产品是Uniswap。信任分数

市场观察我们接触到的大多数产品都是可以改变的,即使DeFi项目也不是一成不变的。这意味着DeFi或CeFi的用户应当认识到,他们所使用的系统规则是可以改变的。重要的是,即使一个系统似乎在某个时间点上满足了用户的信任最小化要求,但运营商能够改变规则也意味着该系统的保证很脆弱。大多数情况下,改变规则是相对无害的,甚至是可以预期的;例如,中心化交易所要求用户添加KYC认证。即使这种情况不太可能发生,用户也要做好最坏的心理准备:恶意运营商篡改规则。最常见的例子是退出局,运营商冻结提现请求,然后带着钱跑路。值得注意的是,在“选择加入”上有一个重要的细微差别。对于像MakerDAO的多质押品Dai或0xv3这样的主流协议升级,用户必须从上一个版本迁移到新版本。Uniswap升级到v2时,用户也必须这么做。上一个版本的不可变型给用户带来了摩擦,但防止规则的恶意更改也充当了一个天然的屏障。在这些情况下,开发人员不能强制用户进行升级——用户必须主动选择加入。可验证的安全性

每个投资者的噩梦是某天醒来,发现自己的资产被盗了。不幸的是,对很多加密交易者来说,这个噩梦已经在现实中发生了。交易所黑客事件时有发生,无论是远在2014年的门头沟黑客事件还是最近2019年的Upbit黑客事件。但“交易所被黑”——由于交易所的安全漏洞,黑客能够获取私钥并窃取用户资产——并不是用户损失资金的唯一方式。智能合约程序漏洞也会导致资产被冻结或被黑客攻击,例如臭名昭著的Parity钱包漏洞冻结了超过一百万个ETH。最近,保证金借贷协议bZx的一个漏洞让两名攻击者在两笔分开的交易中分别获利37万美元和66.5万美元。因此,用户需要判断某个产品的安全性。在某些情况下,他们没有可用的信息——产品本身是一个黑匣子。在其他情况下,所有代码都是开源的,并由信誉良好的审计公司独立审计。对于前者,用户必须盲目信任。而对于后者,他们则可以自己验证产品的安全性。信任图谱我们为黑匣子系统打分;为可验证安全性的系统打分。然后通过评估某个产品的不透明/透明程度,以及是否受审计对中间区域进行评分。有审计比没有审计好,同时最好的情况是具备多个独立审计。透明则比不透明好。不透明且未经审计。例如,某个中心化交易所就不具备独立的审计。该现象在初创交易所中非常普遍。不透明,但声称具备审计。例如,Tether宣传进行了偿还能力的审计,但这些说法基本上没有得到证实。透明或者具备审计的。例如BitMEX和FTX声称它们已经受到了审计,但我们找不到任何独立的报告来证实这一点。透明且具备一个独立审计,或不透明但进行过多次审计。主要指大多数大型中心化交易所。例Coinbase和币安不透明,但它们都进行过多次独立的审计。系统全方位都是公开的,同时接受过多次专业审计。这种情况适用于大多数大型DeFi产品和服务。信任分数

市场观察由于DeFi协议是运行在公有链上,因此任何人都可以对它们进行验证,所以它们的一个天然优势是透明或暴发户型交易所。有趣的是,缺乏可验证的安全性并没有阻止这些新晋交易所吸引用户和高额的交易量:BitMEX是最大的交易所之一,FTX则是发展最迅速的交易所之一。事实上,某个项目可以宣称缺乏可验证的安全性是一种产品特性,而不是一个漏洞。例如,可验证的安全性需要KYC——这是许多交易员不愿碰到的;同时衍生品监管机构的正式监督——会阻碍创新和新产品开发。法律法规监督

虽然很多加密行业人士欢呼从法律和监管框架解放出来,但是大多数人们更加倾向于出事以后,能有一个法律体系提供追索权。此外,人们通常希望知道与他们做生意的实体受到可信监管制度和司法体系的约束。特别是机构投资者,他们更希望——同时通常也需要——他们的对手方提供强有力的法律和监管保证。信任图谱我们通过该问题进行打分:“如果用户的资金丢失了,在多大程度上他们可以通过法律和监管保护而挽回损失?”尤其是DeFi产品,当前没有任何法律先例可依赖的,因此需要随着法律的发展更新评分。目前,我们根据当前信息尽力评估这些协议。没有法律保护。此情况适用于大多数DeFi产品和服务。用户受法律法规保护的机会渺小。此情况适用于那些位于以宽松金融监管著称的司法管辖区的中心化金融产品和服务。用户受法律法规保护的可能性一般。用户受法律法规保护的可能性很高。用户受到法律法规的强力保护。此情况适用于大多数发达国家的中心化金融产品和服务。信任分数

市场观察很明显,法律和监管监督是所有信任属性中界限最分明的——用户要么几乎没有法律保护,要么受到强有力的法律保护。法律和监管保护力度最小的协议是那些目前位于没有任何保护性监管管辖区内的协议。如果出事了,用户不知道应该由哪个执法机构或监管机构来处理。尽管开放金融协议还没有经历过法庭的检验,但是企业——即使它们那些位于塞舌尔等司法宽松的管辖区——也受到一些法律的约束。我们给这些交易所打2分,因为存在一些司法系统处理资金损失。而在图谱的最右边一列,那些提供最强有力监管保护的企业,通常位于美国、欧洲、韩国、中国和日本等发达经济地区。保险

加密行业中的保险包括我们非常熟悉的——联邦存款保险公司为美国大多数银行做担保,也有非常新颖的——例如针对智能合约漏洞而导致用户资产损失的去中心化保险。在加密货币交易所中,Coinbase是这方面的标杆。除了为每位用户准备了高达250,000美元的FDIC现金存款保险以外,Coinbase还为用户的热钱包提供加密存款保险。虽然大多数加密货币交易所没有对存款购买像FDIC这样的保险,但是有一些提供了其他独特形式的保险。例如币安的SAFU基金。它成立于2018年7月,SAFU基金将币安10%的交易费用存到一个钱包中,用于赔偿用户遇到极端事件造成的损失。到目前为止,币安的SAFU基金曾在2019年5月币安被黑客盗取7,000BTC事件中用过一次。黑客攻击后,币安动用SAFU基金来弥补用户的损失。SAFU基金保护用户的存款不受黑客攻击和其他意料之外的漏洞,而BitMEX的保险基金则在过度化杠杆交易对手违约的情况下为交易者提供保险。BitMEX保险基金实质上是一个比特币账户,作为BitMEX清算收入的一个产品,多年来该账户的余额一直在缓慢增长。随着BitMEX保险基金的出现,其它交易所也成立了类似的保险基金。然而,大多数这些保险基金都是托管的,因此可能见仁见智了——也许某天交易所会用它的SAFU基金来支持它的清算基金!需要注意的是,有些去中心化协议也具备应对极端情况的保险机制。例如在Maker系统中,不管由于什么原因,如果抵押池处于抵押不足状态时,协议将会释放MKR来弥补这些损失。短期看来,该做法导致MKR持有者的代币被稀释了,但它保证了协议具备偿还能力。但大多数DeFi协议和小型离岸交易所没有提供任何形式的正式保险。如果出现用户资金遭遇不测,也没有赔偿用户的资金。在这种情况下,用户可以向愿意承担智能合约风险的第三方保险。尽管这类服务为数不多,但它们都是试验性的。我们会提到它们但不会考虑到评分中。信任图谱我们对保险的评分如下:没有保险。此情况包含了几乎所有DeFi项目和一些交易所。某些方面有保险。提供保证金交易的交易所往往会为这种特定形式的风险设立保险基金。某种半正式化保险。一些交易所拥有非标准保险,例如Bakkt针对BTC资产的1.25亿美元保单;BlockFi的资产结构则在清算时,将用户赔偿放在最优先的地位。部分保险。例如,Coinbase为法币和加密资产提供一定额度的保险。全覆盖保险。我们样本中没有一个企业提供全方位的保险,同时我们也不认为该情况在可预见的未来会有所改变。信任分数

市场观察总的来说,加密市场目前提供的保险非常少。图谱的最右端是存款保险。从只为现金存款担保到为现金和加密存款的全方位保险。中间部分则包括了一些非正式或应对极端情况的保险。另一个极端则是用户没有任何正式的保险。此情况包含了智能合约原生的DeFi产品和服务,以及一些定制化加密金融产品。虽然DeFi产品可能不提供原生的保险,但值得注意的是,随着加密行业的发展,第三方智能合约保险可能会发挥更大的作用。自2019年推出以来,NexusMutual的需求大幅增长。同时还值得一提的是,即使在很多事情上没有明确的保险,当出现不测时,很多交易所还是真诚地赔偿他们的客户。特别要指出的是,Coinbase和币安曾经在系统出现故障或黑客攻击时,都让用户资产完好无缺。大多数用户对于传统金融产品和服务的保险习以为常,但是加密市场目前还不够成熟,因此用户还不能想当然。而绝大多数经济活动诞生于缺乏强有力的、传统保险的土壤。信任图谱

当试图从这些评估中得出结论时,很重要的一点是要知道不同的用户,彼此的需求不同。因此相对于给出一个整体的评分,我们注重于考虑每一个独立的属性。下图是利用雷达图来可视化每个协议和企业的信任模型。

我们特别显示了四个项目:0x、BitMex、Coinbase和Compound。0x占据了图片右侧的大部分面积,而Coinbase则占据了左下角的大部分面积。相对于Coinbase,Compound更类似于0x但占据的面积更小,原因是目前的Compound比0x需要的信任更多。而相对于其他加密产品或服务,BitMEX需要的信任似乎更多。此外,我们可以想到不同的用户偏爱着不同维度的信任。例如,相对于法律法规保护,某个去中心化鼓吹者可能更看重托管、不可变型和可验证的安全性。因此如果可以选择,他们会更愿意使用协议,而不使用Coinbase。而机构投资者可能相反,会优先考虑保险、法律法规保护和可验证的安全性,同时更偏向托管化服务和可变型。他们的理想产品看起来更像Coinbase。整理思路:bZx攻击

2020年2月15日,bZx的储户总共损失了62万美元。在该事件中,某个攻击者利用了bZx平台智能合约的漏洞,开了一个低抵押的仓位,同时操纵深度不足的去中心化交易所订单薄,最终获利37万美元。KorantinAuguste的这篇文章解释了本次攻击的机制。所以尽管bZx协议被认为是去中心化的,但是用户的资金却切切实实损失了。bZx协议是“非托管”和无需许可的。那么,让我们来评价一下bZx五个属性的得分:托管:2分。非托管,有管理密钥,没有时间锁,对管理密钥也没有已验证的操作安全性。不可变型:1分。决策都是由bZx团队单方面做出的。虽然该平台发行了一种用于治理的原生代币,但到目前为止代币从未用于任何决策。可验证的安全性:3分。bZx平台是开源的,并且接受过独立审计机构的审计。但是在审计后,代码进行了多次修改,这也解释了为什么智能合约中还是有漏洞。同时也强调了近期审计的重要性。法律法规保护:2分。该公司似乎是在美国注册的,所以有可能受到法律的保护,但是此类事件没有先例。保险:1分。有一个保险基金,但实际上里面储备为零。bZx的信任雷达图如下:

首先,我们来了解一下本次攻击的背景。为了实施本次bZx攻击,攻击者必须在低质押率的bZx贷款中保留一些wBTC抵押物。bZx团队认为最好的选择是立即清算这些抵押物,然后根据储户的本金偿还利息。在bZx发布《事后分析》时,那些wBTC抵押物的市场价值为1,902.26ETH,意味着可以对损失的本金贷款支付202年的利息。到了2222年,整个借贷池需要共同承受4,698.02ETH的损失。然而,202年这么长的时间已经足够bZx保险基金大幅增长了。等到损失真正需要结算的时候,bZx团队预计保险基金能够完全弥补损失。这引出了我们的第一个观察:bZx团队可以通过使用管理密钥来最小化损失。有了管理密钥,他们就能终止协议,清算抵押物来为储户支付利息。虽然管理密钥减少了系统的非托管性,但它也让团队在出现问题时进行干预。我们的第二个观察是:虽然bZx在设计上有应对过度杠杆违约的保险基金,但它在用户存款或智能合约漏洞上没有保险。如果用户要应对智能合约漏洞,他们可以通过第三方保险提供方。有少数用户是这样做的,由于bZx协议中的漏洞,NexusMutual向保单持有人进行了补偿。这是历史上首次去中心化保险池对由于智能合约漏洞而损失资金的用户进行的赔偿。最后,同时也是最重要的一点:虽然bZx在可验证的安全性方面得分很高,但团队在审计以后对系统进行了上千次的升级,这强调了在考虑安全性审计时效性的重要性。本次bZx事件最终损失的金额相对较小,但是很容易想到更大的系统中有更多的恶意参与者,可能会造成更严重的损失。局限与未来工作

我们在本文中展示了一个高层次的框架和市场剖析。为了实现该目标,我们必须选择复杂而微妙的主题,将它们简单评为1-5分。虽然我们认为本文采取的方法能成功地勾勒出市场的大致轮廓,但还有很多主题超出了我们的研究范围,值得在未来加以分析。具体来说,我们的方法:提供一个思考“信任”问题的框架,但不直接给用户提供全面比较各产品的工具。不考虑“预言机风险”或一项产品服务由于依赖的预言机出错而带来的某种风险。没有解决产品由于代币持有集中而导致的中心化问题。仅专注于安全性审计,忽略诸如金融性、程序性和经济性等其他形式的审计。将法律和监管视为一个同质主题,而在实践中,法律和监管都是非常复杂的,基于地理等因素有很多的细微差别。随着时间发展,我们会逐步改善研究方法,同时欢迎您的反馈。结语

本文的目的在于开始一场对话,以探讨信任对加密金融产品和服务用户到底意味着什么。很显然,对去中心化或中心化贴上一个非此即彼的标签并不足以让用户知晓他们资金所处的风险程度。而通过评估托管、不可变型、可验证的安全性、法律法规保护和保险则提供一个更加完整的图景。当今的协议涵盖的信任模型范围广泛,用户却不太可能理解这些模型对其资金构成的风险。在托管方面,我们发现由于存在让运营商冻结或提取用户资金的管理密钥,很多非托管服务实际上让用户面临着重大的托管风险。在很多情况下这种风险可通过时间锁和可验证的安全性操作消除,但重要的是让用户知晓此类风险,同时不要盲信非托管产品与服务。在不可变型方面,我们发现绝大多数情况下系统的规则可以被修改。因此其他四种属性的保证也随之改变。在大多数情况,我们相信这些改变是有利于用户的。但在某些情况下,运营商会滥用这种信任,因此用户需要知晓系统的规则能够会改变,会怎样改变。在可验证的安全性方面,我们发现Defi项目天然就可以获得高分数,原因是它们具备固有的透明性,以及经历过多次独立的安全审计。有趣的是,我们发现随着过去几年交易所实现了大规模的专业化,中心化产品同样也能获得高评分。关于法律,我们发现用户要么具备强力的保护措施,要么完全没有保护。除非某产品或服务是由美国、欧洲、中国、日本或韩国企业提供的,否则用户应该默认自己没有受到法律的保护。最后,关于保险,我们惊奇地发现即使最大型的交易所也只有少数保险。其中,只有Coinbase为加密货币和法币存款进行保险。除了应对过度杠杆违约的“保险基金”以外,DeFi协议没有原生的保险。这可能会为第三方保险公司带来一些机会,但我们还需要更多的实践案例来理解此类服务的可行性与实用性。总之,本文对信任进行了一个多维度的观察,同时展示了为了全面评估信任模型及其风险,用户到底有多难。我们希望本文的框架能为用户提供一种评估信任的方式,同时让开发者批判性地思考他们系统的设计和可提升的空间。此外,我们真诚欢迎业界对此文提出宝贵的反馈意见,以期共同合作,携手推动加密行业的发展。很乐意收到您的来信,请通过tony@multicoin.capital或ben@multicoin.capital与我们联系。衷心感谢CalvinLiu、NicCarter和CyrusYounessi对本文提出的宝贵意见。披露:MulticoinCapital投资于Bakkt,同时持有BTC和USDC代币。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

MANACRYP:初识密码学易踩的“坑”,你中过招吗?

写代码,是密码朋克的使命。我们深知总要有人写软件来保护隐私。只有我们亲自动手,我们才能拥有隐私权,我们一定会开发这样的软件。我们将要公开发布我们的代码,让密码朋克战友们能够使用软件.

[0:15ms0-6:470ms