一次踩到 DeFi 三大坑!被駭、壞帳、流動性枯竭,損失百萬的教訓 😭
#734
嗨,我是區塊勢的作者許明恩。目前你是【免費讀者】。區塊勢有別於其他媒體。這裡沒有廣告,服務的是你。傳統媒體靠廣告賺錢,在乎的是流量,不是讀者;區塊勢採付費訂閱,在乎的是讀者,而不是流量。
每週出刊 3 則新內容,不靠聳動標題搶眼球,靠紮實內容累積信任。讓你每次打開文章,都能看見新鮮有趣的故事,讀到值得思考的觀點。如果你也希望這樣的內容長久存在,歡迎付費訂閱。共同撐起這份不靠廣告、專注內容、尊重讀者的媒體。
💡 本週新內容
一次踩到 DeFi 三大坑!被駭、壞帳、流動性枯竭,損失百萬的教訓 😭(會員 🔒)
詳解 RWA 發展!現實資產代幣化,為何是穩定幣後的下一波大浪?(公開 🎧)
Coinbase 一句話讓賭桌翻盤!預測市場的自證預言、反身性(會員 🔒)
一次踩到 DeFi 三大坑!被駭、壞帳、流動性枯竭,損失百萬的教訓 😭
這篇本來打算臨時停刊,因為心情太糟了。但想想既然百萬學費都付了,更應該要跟大家分享自己踩坑 DeFi 的第一手經驗。
開頭先提醒,如果你現在有錢放在 DeFi 平台,建議先確認是否還能夠提領。因為這兩天 DeFi 市場有超過 2 億美元不翼而飛,而且損失規模還在擴大。
先是知名去中心化交易所 Balancer V2 遭到駭客入侵,隨後 DeFi 收益服務 Stream Finance 突然宣布有 9,300 萬美元壞帳。一開始我以為這跟自己沒什麼關係,因為我並不是 Balancer 或 Stream Finance 的用戶。不過就在前天晚上,我打算把放在 DeFi 的穩定幣領出來避避風頭,畫面卻顯示無法提領,這時我才意識到自己也成了受災戶 😭
這篇文章我會先說明我的錢原本放在哪,再討論從事件中能夠學到哪些教訓。
離家出走
我自認是加密貨幣的保守投資者,不碰高風險交易,把心力放在寫作。奇怪的是,每隔一段時間,總會有一筆錢「離家出走」。
先回到 2022 年的 FTX 事件。當時我放在交易所的資產因平台倒閉,無法提領。好在放在錢包裡的資產安然無恙,讓我度過最艱難的那段日子。從那之後,我盡可能把錢放在自己的錢包管理。我會把 ETH 放在 Lido 參與質押,並把美元穩定幣投入相對單純的放貸服務,藉此產生收益。
這次出事的是後者。我使用兩款 DeFi 收益服務:
Harvest Finance 收益聚合器
Euler Finance 借貸平台
雖然他們不算是最知名的 DeFi 應用,但我也不是把錢隨便亂丟。Harvest Finance 曾有台灣開發者參與,我放的是 USDC;Euler Finance 則由 OKX 錢包推薦,近期還有活動獎勵加成,我放的是 USDT。看似穩健,結果現在兩個地方都領不出來 😂
Harvest Finance 的「自動駕駛金庫」(Autopilot)會自動把資金分散到不同借貸平台。就像把錢交給基金經理,使用者只需支付績效費,經理就會替你監控哪裡收益率更高,並馬上把資金挪過去。這解決了 DeFi 的一大麻煩 —— 收益率每秒都在變,而且不定期會有補貼活動,手動調整不可能跟得上機器人,交給「自動導航金庫」管理最省心。此外,金庫介面會披露資金分配與收益來源。平均年化報酬落在 10% 左右,算是中規中矩。
Euler Finance 更是單純,我是透過 OKX 錢包推薦發現它。不僅介面與 OKX 錢包整合,連存入、提領按鈕都設計好。再加上 OKX 最近和 Euler 合作推出補貼活動,收益率也在 10% 左右。平凡無奇讓我不疑有他,沒想到我放在這兩款應用的 USDC、USDT 現在通通領不出來。為什麼?
壞帳、被駭、流動性枯竭
這兩天 DeFi 世界接連發生兩起「大地震」,隨即引發市場海嘯。
首先是知名去中心化交易所 Balancer V2 遭到駭客入侵,損失約 1.3 億美元。接著,DeFi 收益服務 Stream Finance 突然宣布另一筆 9,300 萬美元壞帳,並即刻停止收益穩定幣 xUSD 的贖回功能。原本我以為自己沒踩到這兩個坑,可以鬆一口氣,卻沒意識到 DeFi 風險已經開始蔓延到整個市場。
DeFi 的特色是樂高積木般的「可組合性」。我可以在 A 平台存入穩定幣,拿到「存款憑證」,再拿著這張憑證到 B 平台當成抵押品,借出其他資產。一層包一層後,抵押品的風險就越來越高。一旦其中一層出問題,就會像是當年的次級房貸一樣,引發金融海嘯。
這次的狀況就是這樣。Stream Finance 發行的收益穩定幣 xUSD,號稱只要存入美元就能換得 xUSD 開始領取收益。至於 Stream Finance 去哪裡產生這些收益,多數人無從得知。因此,也很少人真的會把錢交給 Stream Finance。既然沒有互動,那就沒有風險了吧?錯。
以我使用的 Harvest Finance 為例,它的「自動導航金庫」會將我的 USDC 存入借貸市場 Silo 產生收益。而 Silo 又接受 xUSD 作為抵押品,借出我的 USDC。意思是我間接相信,如果借走我 USDC 的那些人不還錢,我可以把他抵押的 xUSD 拿去賣掉變現。然而最大問題是,誰來保證 xUSD 是有價值的?
漏洞就出在這裡。前天 Stream Finance 在社群平台上發佈公告,稱「外部管理者」告知他們有多達 9,300 萬美元的壞帳。所謂「壞帳」就是錢已經不知去向。市場上 xUSD 持有者換不回美元,xUSD 價值一夕崩盤。但最糟的還在後頭。
在 Silo 上,那些憑 xUSD 借錢的人知道如今抵押品一文不值,當然不會主動還款。壞帳就一路傳導到最後那群把錢存進去 Silo 賺利息的人 —— 也就是我。諷刺的是,這群人離「震央」最遠、最不追求高收益,甚至是可能根本沒聽過 Stream Finance 的無辜(無知)使用者。
原本我以為自己只是 Harvest Finance 的使用者,但其實我同時暴露在三層風險之下:
Harvest Finance 程式碼
Silo Finance 抵押品
Stream Finance 財務狀況
Harvest 把錢拿去 Silo 產生收益,我就成為 Silo 的間接使用者。當 Silo 接受 xUSD 作為借款抵押品,那我就等於相信 Stream Finance 不會出狀況。這樣操作下來收益並不高,風險倒是滿高的。
Balancer 的狀況也類似。先不談被駭原因,只要借貸平台接受 Balancer V2 代幣作為抵押品,使用者就會被駭客事件「傳染」。抵押品變壁紙,最後承擔風險的是末端那群「存幣領利息」的放貸者。當大家爭相把池子裡剩餘的資金領出來,卻又沒人要還錢,最後就是流動性枯竭。放貸的人想領錢,卻沒錢可領。
百萬學費
經過這起事件,能學到什麼?我歸納為三點。
可組合性的一體兩面
DeFi 風險會自然外溢。離得越遠,風險未必越低。
我不是 Stream Finance 的使用者,甚至在出事前沒聽過這款服務,但因為 DeFi 資產層層堆疊,我的錢在不知情的狀況下,被放在了最終要承擔壞帳的那端。我以為自己距離震央超遠,然而金融系統先天就是一體的,如果產品、法規沒有風險隔離,一旦出事,就會擴散到天涯海角。
抵押品是借貸的核心
以前參與 DeFi 借貸,我看的只有 APY 高低、平台名聲好壞以及有多少資金停泊。例如 Aave 和 Morpho 都是名聲不錯,且有許多資金停泊的借貸平台。但光看這些仍然會踩雷。
像 Morpho 或是這次我踩坑的 Silo、Euler 都沒有全平台統一的抵押品規範,而是交由每個子借貸市場的管理者自行決定要接受哪種抵押品。優點是風險隔離,但缺點是不知情的用戶容易踩雷。挑選借貸市場,APY 或許決定收益多寡,但抵押品才決定本金有無。
經驗都是錢買來的
上週我受邀到金管會分享 DeFi,當時沒想到,一週之後我就花了大錢自費進修這堂課。
弄丟錢當然很煩躁,損失金額還是幾年的工作收入。但換個角度想,這可能也是自己能夠站在台上分享的原因。這幾年我因為各種原因向市場交了數百萬學費,但沒有因此退出,而是想利用這些經驗,把學費賺回來。
既然都要交學費,而學校也還沒開始教這些東西,市場就是最好的老師。只是有時候我真希望跟老師說:「下次學費可以便宜一點嗎?」