DeFi值得冒险吗？

加密货币（包括比特币和以太坊）价格的飙升正吸引越来越多关注加密货币市场的目光。而这反过来又成为这些底层分布式账本网络上项目增长的催化剂。随着大量基于金融的项目涌现（如借贷协议、稳定币、衍生品、交易所），投资者希望在风险方面获得更充分的信息。

在研究去中心化金融（DeFi）项目时，投资者很容易找到关于巨大回报潜力的声明，另一方面也能看到关于智能合约被黑、诈骗和其他欺诈行为的新闻。然而，量化与投资相关的机会和风险远比这些头条新闻所描述的要复杂得多。

2020：DeFi的里程碑年份

2020年是DeFi的标志性年份。我们看到了难以置信的回报承诺，以及涉及数千万美元的"黑客攻击"头条新闻。据估计，2020年已知事件[1]造成的损失超过2亿美元，事后约有50%的价值被追回。这些事件大部分发生在年底的最后几个月。第四季度的激增表明，随着DeFi行业以前所未有的速度获得动力并增长，其受到的审查和脆弱性也在增加。

投资DeFi有哪些风险？

鉴于DeFi的加速崛起，它远不如机构投资成熟——但了解风险类型可以让投资者更好地了解面临的风险。虽然不是一个全面的列表，但以下是一些值得思考的问题。

谁负责？

在传统金融中，你了解你的交易对手。而且，如果一家公司有欺诈行为，你可以依法起诉他们。监管机构通过强制执行适当的风险管理、适当的保险以及有关物理和软件安全的要求，进一步降低风险。然而，DeFi项目不像传统金融项目那样受到监管，并且本质上是去中心化的。例如，“拉地毯”（rug pulling）一词描述了项目成员携用户资金突然消失的情况。最近的例子包括Compounder.Finance、Yfdex.Finance和SharkTron等。在这些案例中，项目既不是由可识别的可被起诉方管理，也不是由其拥有。归根结底，当事情变糟时，你知道谁会被追究责任吗？

谁在监督DeFi？

许多DeFi项目仍处于"试错"阶段，在一个仍然缺乏公认行业标准的生态系统中进行实验。除此之外，在大多数（如果不是全部）国家，法规都落后于技术。这意味着DeFi项目不需要经历与传统金融项目相同水平的风险要求。没有监管监督，谁在关注DeFi？

“代码即法律”，真的吗？

在传统金融中，信任是由机构和监督它的监管机构建立的。然而，在区块链中，信任是建立在公开可用的不可变代码中的。有些用户甚至说"代码即法律"，暗示区块链技术允许的任何事情也是合法的。事实并非如此，但这突出了在法律上定义智能合约在区块链中可以扮演什么角色的重要性。

更多层级，更多漏洞

DeFi项目建立在庞大的技术堆栈之上，每一层都增加了更多潜在的攻击面。像密码学原理（包括其实现）和网络层这样的层级经常被深入审查。然而，保护一个层级并不能防止系统其他层级的漏洞。采用整体的、自上而下的视角对于保护你的项目至关重要。

你知道你的密钥在哪里吗？

如果有人拥有你的私钥，他们就可以偷走你所有的财富。然而，与此同时，私钥又不可能被记住。2020年的一个例子是Nexus Mutual的首席执行官Hugh Karp的机器被入侵，价值约800万美元的加密货币被盗。你能以一种既不会丢失访问权或忘记，又没有人能访问它的方式存储你的密钥吗？

解决方案是回归中心化吗？

有人可能得出结论，回归中心化的加密货币管理是解决方案。不幸的是，事情没那么简单。用户在中心化交易所的资金也成为了黑客攻击和管理不善的牺牲品。为了让你了解涉及的金额，2020年，中心化交易所KuCoin被黑，损失了2.8亿美元。

DeFi值得冒险吗？

与所有新企业一样，很难理解风险的全部范围。然而，有风险的地方也有机会。通过在进入DeFi市场时了解并管理相关风险，这些新项目可能既是一个有趣的投资领域，也是一项有前途的未来技术。而且，归根结底，最经久不衰的风险管理策略仍然适用：分散投资。

[1] 在我们的"已知事件"清单中，我们收录了通过媒体报道成为公众知识的事件，包括被盗资金的价值（以及，如果适用，追回的金额）。被盗/追回的资金价值基于事件发生时公开报道的内容。我们没有收录没有财务影响的事件。

关于我们

ChainSecurity的使命是在区块链生态系统中建立信任，使这项新兴技术能够在成熟组织、政府和区块链公司中发挥其潜力。

我们有能力在你前进道路上的任何地方指导和支持你——从探索你如何使用DLT和智能合约，到在智能合约启动前对其进行正式评估，再到在智能合约部署后对其进行监控。如果你想了解更多关于智能合约安全的信息，或者有兴趣与我们合作，请访问 www.ChainSecurity.com。