簡析BarnBridge：將風險代幣化，然后分解再分解_MART

作者：北辰

DeFi依舊處在西部淘金熱，在不斷突破想象的暴富機遇背后，承擔的風險也毫不遜色。

在Crypto世界，以Uniswap、Compound、YFI為代表的交易、借貸和資產管理協議已經是成熟的金融基礎設施。

金融的本質是價值的跨時間和跨空間交換，顯然它們只是實現了最基礎的金融服務，而金融的深水區要跟風險打交道——依照不同用戶，精準地實現不同程度的風險暴露。

比如傳統金融體系就有結構化產品，往往是固定收益產品與風險資產的組合，這是針對高凈值用戶的私人訂制。

越來越多的人開始長期看好DeFi的成長性，但同時又懼怕它的波動性，所以能精準實現風險暴露的產品不出意外將在2022年爆發。

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

正如我們此前無數次強調過的，真正有生命力的Crypto領域的產品，都是以Crypto的方式重構原有的產品。

安全團隊：Audius項目惡意提案攻擊簡析，攻擊者總共獲利約108W美元:7月24日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，Audius項目遭受惡意提案攻擊。成都鏈安安全團隊簡析如下：攻擊者先部署惡意合約并在Audius: Community Treasury 合約中調用initialize將自己設置為治理合約的監護地址，隨后攻擊者調用ProposalSubmitted 提交惡意85號提案并被通過，該提案允許向攻擊合約轉賬1,856w個AudiusToken，隨后攻擊者將獲得的AudiusToken兌換為ETH，總共獲利約108W美元，目前獲利資金仍然存放于攻擊者地址上（0xa0c7BD318D69424603CBf91e9969870F21B8ab4c）。[2022/7/24 2:34:31]

如果只是直接照搬傳統金融的結構化產品過來，可以有但沒必要。但BarnBridge是一款真正用Crypto的方式重構了結構化產品的DeFi協議。

慢霧簡析Qubit被盜原因：對白名單代幣進行轉賬操作時未對其是否是0地址再次進行檢查:據慢霧區情報，2022 年 01 月 28 日，Qubit 項目的 QBridge 遭受攻擊損失約 8000 萬美金。慢霧安全團隊進行分析后表示，本次攻擊的主要原因在于在充值普通代幣與 native 代幣分開實現的情況下，在對白名單內的代幣進行轉賬操作時未對其是否是 0 地址再次進行檢查，導致本該通過 native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。慢霧安全團隊建議在對充值代幣進行白名單檢查后仍需對充值的是否為 native 代幣進行檢查。[2022/1/28 9:19:19]

從功能上來看，BarnBridge也可以滿足不同風險承受能力的用戶，但在實現機制上則完全不同。

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

流動性、代幣化、可組合性、DAO治理，這一切都有著鮮明的DeFi風格，那么具體是怎么實現的呢？

一、SMARTYield

這是整個BarnBridge最基礎的部分，其實也可以理解為債券市場。

用戶可以根據自己的風險承受能力，把穩定幣存入初級池或者高級池。

對用戶來說是有區別的，初級池是高風險且杠桿可變利率，而高級池是低風險且固定利率。

但這些資金流向卻是一致的——無論是初級池還是高級池的資金，都進入了Compound和Aave等借貸市場。也就是說，初級池和高級池的實際風險是相同的。

之所以利率不一致，是因為借貸市場的收益總是波動的，一部分人獲得固定利率，另一部分人則在行情不佳時補貼前者，或者在行情好的時候收取額外回報。

值得一提的是，用戶存入高級池的倉位，會被生成NFT，被稱為高級債券，能去二級市場交易，或者用作其他的可組合性用途。到期時可贖回本金和收益，NFT被銷毀。

而用戶存入初級池的倉位，可以生成ERC-20代幣，被稱為初級代幣，也可以生成NFT，本質上也是到期債權，不過利率不可測。

總而言之，SMARTYield分為初級池和高級池的方式，在產品整體風險一致的情況下，滿足了不用用戶的需求。

二、SMARTAlpha

剛才介紹的SMARTYield為用戶提供了兩種不同程度的風險暴露，萬一發生極端行情，高級池的用戶資產以幣本位來看的話依舊有固定收益，但以法幣本位來看的話可能縮水很多。

而SMARTAlpha就是在SMARTYield的基礎上，則是讓風險進一步細分，或者說是在隔離風險的基礎上進一步隔離風險。

方式是讓高級池用戶和初級池用戶之間再次進行交易，從而讓用戶來校準整個系統的風險暴露。

原理是高級池的資產看似固定收益，但法幣本位的話可能是無限上行的。

但是通過SMARTAlpha，高級池的低風險愛好者可以把這部分下行風險賣給初級池的高風險愛好者，這樣雖然犧牲了潛在收益，但同時也換取了其本金的下行保護。

對于初級池的高風險愛好者來說，他們就有機會再換取更大的上漲潛力。

三、SMARTExposure

SMARTExposure是用來解決風險集中度的問題。

例如用戶的投資組合是50:50的ETH和BTC，但兩種資產的價格波動一定會讓該投資組合不平衡。

用戶可以通過SMARTExposure，設置好特定比率，根據價格波動自動校準該比率。

對那些想中長期持有一籃子資產但又不想花太多時間精力的用戶而言，SMARTExposure提供了一個非常不錯的功能。

四、總結

從目前的產品來看，BarnBridge最成功的是基礎層SMARTYield，當下的TVL為1460萬美元。

后續也推出了創新產品SMART?Alpha，從574萬美元的TVL上來看表現，這個創新嘗試目前還算成功。

評價一個DeFi項目，尤其是成長中的DeFi項目，比產品更有決定性影響力的其實是團隊。就好比不能根據UniswapV1的產品去預估Uniswap未來的發展。

BarnBridge核心團隊在Crypto領域有長期積累，對DeFi行業有清晰的洞見和廣泛的人脈，包括Synthetix的創始人Kain也熱情宣傳該項目。雖然現在是DAO治理，但團隊的基因不會輕易改變。

BarnBridge目前Twitter有2.75萬關注者，TVL也僅是1460萬美元，治理代幣BOND的總市值不到9000萬美元，在眾多DeFi協議中，市場表現相當普通。

不過BarnBridge在嘗試構建一個風險市場，目前已有的產品已經不錯，并且DeFi的可組合性又帶來了無限可能。

Tags：ABUMARTSPOSMARTADABULL幣Binance Smart Chain GirlDashSportsSmartchem

幣安app官網下載