观点

Risky Business:DeFi,以太坊还要继续成长

Ajian   |     |   258 次阅读

编者注:本文作者在文中呼吁 DeFi 项目审慎地检查项目的安全模型并开诚布公、充分地告知用户其中的安全风险。考虑到这篇文章的实际成文时间(早于 2 月 ETHDenver 活动),作者对 DeFi 领域已经陷入狂热的警告可谓具有先见之明。bZx 攻击事件在 ETHDenver 活动期间发生,后来 Curve 项目似乎也出了些问题。攻击事件结束了,但 DeFi 的故事还没有结束,也不该结束。为了让 DeFi 走向成熟,也该好好感受一下作者在本文中的大声疾呼。

本文源于 2020 年 2 月我在 ETHDenver 发表的一场演讲

1.png

不知你是否看过《乖仔也疯狂(Risky Business)》,这是一部由汤姆·克鲁斯主演的成长电影。戏中的他在父母离家后卷入了一系列的麻烦,他必须自己动手解决问题,然而这只会造成更多的麻烦。这段旅程之所以可爱,是因为长着一张娃娃脸的阿汤哥太天真了,一刻也没有闲着。如果他年纪再大一点或更幼稚一点,那他的选择就太没责任心了,任何人都无法宽恕。

密码货币行业跟这部电影多有相似之处。我们逃避了许多本该直面的事情,也拒绝从既往的错误中汲取教训,甚至拒绝承认智能合约也不是完全信得过。等到真的把事情搞砸,又拿理想主义和不够成熟来给搪塞他人。

但是,天真并不能降低风险,而且随着时间的推移,这套说辞也不会再被接受。如果我们真想得到人们的尊重,而非颜面无存,就不该再这样装傻卖萌,掩盖行业的实际风险。

2.png

- ”遗忘历史之人终将重蹈覆辙。“ -

前事不忘,后事之师,但如果不吸取教训,看过就忘,那一定会重蹈覆辙。现状就是这样,只要研究一下智能合约攻击,就会发现这只是同一种攻击在一遍一遍又一遍地重演……

如何才能真正降低风险?

3.png

- 1. 自我意识 2. 警惕 3. 感激 4.偏执 -

总而言之,我们需要一种文化来减少和降低风险:

  • 自我意识:我们应该意识到我们自己和我们的行为对周围的人以及更广阔的世界所产生的影响。
  • 警惕:我们应该保持警惕,在风险导致负面结果之前就觉察到它们,无论是对我们自己还是周围人的风险。我们也应该积极寻求信息,以减少 ”未知的未知“。
  • 敬畏:我们应该敬畏这些系统的复杂性,并敬畏我们所拥有的力量,以及我们能对周围真实存在的人产生的影响。
  • 偏执:我们应当保持一种深层次的恐惧、偏执和怀疑。否则长久以来只能寄希望于装可爱了。

4.png

- 何为风险?-

何为风险?

风险就是坏事发生的可能性,即事情不按预期发展的概率。当你期待着一件事情的发生时 —— 期待着大赚一笔、期待着拯救世界、或做出一款令人称奇的产品 —— 然后实际发生的事情却刚好相反。

风险无处不在,而我们推理风险的能力却非常糟糕。

我读过 关于 互联网 进化 内容。早期的互联网建设者真是一群过于乐观的理想主义者,虽然我们今天仍生活在他们创造的成果中,但他们从未想象过 Google 和 Facebook 能有如此之大的影响力和控制权。

5.png

- https://nymag.com/intelligencer/2018/04/an-apology-for-the-internet-from-the-people-who-built-it.html -

Lanier:最初的广告演变成了大规模的不间断行为干预过程,每个人都处于设备的监视之下,并在精心设计的刺激下潜移默化。这一可怕的事情早已被科幻作家所预见,Philip K. Dick 或《1984》就直接描绘了这样的场景。尽管存在这么多警告,我们依然步入了这样的世界,在数字网络的统治之下创造了大规模的行为矫正机制。而这样做是因为我们希望同时成为棒棒的社会主义者和棒棒的自由主义者。

我们需要对可能发生的一切有所觉察,如此才能尝试减轻我们面临的风险,甚至是深层次的道德风险。我们并不想自己想象的那样,在连接每一个人并创造一个新的去中心化的世界。事实上,我们正在创造一个超级高效的隐私侵犯系统,而全世界每一个人都难逃魔爪。

6.png

- 所有风险 -

风险的种类五花八门。有些乃金融市场所独有,而有些风险则专门针对密码学货币和智能合约。

DeFi 最有趣也最可怕的一点是,它将上述两种本身就具备风险的事物结合在了一起。我们将它们放在一起,掰开揉碎,然后又出于某种侥幸心理,希望一切都没有问题。

真想要不出问题,就别偷懒啊你们。

每当这些系统相互连接,彼此依赖,或者互相叠加时,你就处在巨大的风险中。我们喜欢将 DeFi 想象成 “DeFi 乐高(Lego)”,但如果它的基础不牢固,它实际上就是 “DeFi 叠叠乐(Jenga)” 了,而我们也会摔得鼻青脸肿。

每当有人未遵守协议时,你也会处于风险之中。DeFi 确实消除了一些 交易对手方的风险,但你仍然无法避免由流动性、滑点、以及老土的以讹传讹带来的风险。

如果一个处理着数百万美金用户存款的 DeFi 系统可以升级,那你简直秒秒钟都是几十万上下啊。如果你还没有关注 Chris Blec 的 Twitter,赶快去关注!他正在做一项研究,试图确认这些可升级的智能合约是如何保证安全性的。仅仅依靠一枚私钥么?(这是在拷问 bZx,因为他们在 2018 年已经承诺使用了多签加治理的解决方案。)是什么在保护智能合约的代码不被更改或控制?又是什么在守卫着这些钱?大部分(我们就不说全部了)这些 DeFi 智能合约都是可升级的。而且 ······ 请注意!人们还会被钓鱼 —— 即便那些控制着复杂的智能合约系统的人也不例外。

风险的范围如此之广,以至于我们难以承受,更别提管理这些风险了。太多的事情威胁着个人、系统、乃至这些相互交织的系统。

这些风险对于 DeFi 的生态系统而言意味着什么?它能有多糟呢?

2020 年 2 月 15 日:Fulcrum / bZx

7.png

好吧,在我此次演讲的同时(2020 年 2 月 15 日,美国标准时间上午 9:50)发生了一件糟糕的事情,人们还在尝试确认这是不是对智能合约的攻击或者对漏洞的利用。据估算,攻击者通过某些复杂的手段获利大约 35 万美金。然后,更多的细节浮出水面,而事情也变得越发复杂。两天后,类似的攻击再次发生,而这次攻击者获利 65 万美金。

译者注:作者在这里指的是 2 月 15 日发生在 bZx 协议上闪电贷攻击事件。

然而,在我看来,这次事件究竟源于黑客攻击、利用、漏洞还是市场操纵都无关紧要。总之,发生了一些意料之外的事情。而每当金融市场发生意料之外的事情时,很少是好事。要是这种事情发生时还有一方赚到了 35 万美元,那通常意味着有另一方损失了 35 万美元。

发生这些攻击的原因是某些 #DeFi 系统以各种方式相互连接、依赖和构建。而当作恶者在所有这些不同的平台上合并头寸时,TA 赚到了一大笔钱。但是,某些人赚的盆满钵满的背后,是另一些人在大亏特亏。

来自 Aave 的 Stani 在 Telegram 中转发了这条行家的消息,详细说明了可疑的漏洞是什么。尽管分析听起来头头是道,但结局仍然让我感到困扰:

8.png

- “然而,如果上述分析无误,那么这听起来一点也不像一次攻击。它并非合约中的漏洞 —— 而是一套复杂的套利 / 市场操纵计划,横跨了 4 个最知名的 DeFi 网站,而非一次攻击。” Stani 分享的信息,尽管不是他写的。-

译者注:bZx 闪电攻击事件始末可看由 PeckShield 提供的分析

打住打住,这太荒谬了!“我们的智能合约没有被黑!我们不是用不安全的方式写了糟糕的代码,只是我们的代码被用来做了不安全的事!” 这像人话吗?

这就是为什么我说我们需要更加勤奋和偏执,而不要拿法律术语来当挡箭牌,更别想着用花哨的词语来掩盖现实。试图从技术上或法律上来推卸责任并不会改变已经发生的事实,也不会对受害者有所补偿。相反,专注于创造安全可靠的产品以防止意外的发生,并保护用户的资产不受损失,才是重点。

[注释:后来发现攻击是通过 操纵/利用 系统来辅助发动的,但真正的突破点还是在代码本身的错误上。]

不管怎样!在发生攻击的那个清晨,Phil Daian 像往常一样发表了一些富有先见之明的想法。如果你还不认识 Phil,容我介绍一下,他在这类事情上做了大量的研究。他在 Devcon 4 上的演讲就是关于智能合约安全的。他指出了以下几点:

9.png

- ”安全性不仅仅体现在代码能否按照设计运行,还包括产品的设计应当为用户提供哪些属性。以太坊社区在前一方面表现出色,而后一方面则因为 #DeFi 的利润丰厚而做得一塌糊涂。仅仅因为你的代码正常运行并不能代表你的系统安全无虞。“ 来源:Phil 在某个安全 Telegram 群组内的言论 -

这是我们所有人都应当首先考虑的事情,我没有其它需要补充的内容。

尽管我们能从这轮攻击中收获良多,但考虑到 bZx 团队早在 2019 年 9 月就被预先警告过这类攻击方式了,教训实在是过于惨痛:

910.png

- ”太长不看:由于在没有验证回报率的前提下依赖了一个链上的去中心化价格预言机,DDEX 和 bZx 很容易受到原子化价格操纵的影响。这将导致 DDEX 在 ETH/DAI 市场中损失流动的 ETH,以及 bZx 损失所有的流动性资金。幸运的是,实际上尚未有资金蒙受损失。“ —— samczsun -

Sam Sun —— 一位安全研究员、白帽、也是一名出色的智能合约黑客 —— 写了一篇关于 DDEX 和 bZx(又名 Fulcrum) 的文章,在文中他研究了如果操纵它们所依赖的喂价方式会有什么后果。(需要说明的是:他负责任地向合适的团队披露了漏洞,并在修复过程中协助他们,就和他在帮助 0xCurveENSKyberCheeze WizardsLivepeerAuthereum、以及其他团队时一样。🙇

他特别研究了是否可以通过操纵价格数据来促使智能合约做出破坏性的响应。由于这些平台都依赖于来自 Uniswap 和 Kyber 的价格数据,因此如果一名攻击者能导致价格短暂飙升,就能从 DDEX/bZx 的智能合约那里获得远超其应得水平的贷款。而这一意料之外的行为在让某些人大发横财的同时,也洗劫了另一些人的财富。

Sam 进一步为所有智能合约的开发者们提供了一些很棒的建议:

911.png

- “在未经严格验证的情况下,切勿使用链上的去中心化预言机。” “要警惕地使用对第三方项目的依赖” —— samczsun -

我们 MyCrypto 每天都要处理这类依赖关系。JavaScript 生态系统严重依赖于 npm,而在 npm 中每包含一个新的依赖又会增加 50 个依赖。我们不可能审计所有的内容,因此,各种从源头上针对密码学产品的攻击层出不穷。你的产品中没有使用某个 package.json,并不意味着你不依赖于其它 package.json ······ 这些攻击已经验证了这一点。

下面是我在这篇文章中最喜欢的一句话:

912.png

- “同样地,在引入对第三方项目的依赖之前,你不仅应该考虑该项目是否被审计过,还应考虑其规范和威胁模型是否与你自己的项目相一致。如果你时间充裕,最好深入研究一下他们的合约。” -

仅仅因为我们认为或假设某个合约是安全的,并不意味着没有风险,因为该合约还可能被操纵。而你的合约如果结合了该合约,也可能被操纵。任何操纵都可能危害到你的系统及用户。上述案例看起来似乎是有人操纵了四个相互结合的不同的 DeFi 平台,从而完成了一次史诗般的攻击。

913.png

- “在不考虑 i == j 的情况下,只要输入一种资产用于兑换同一种资产,就能吸干池中的这种雌蝉。任何人都可以做到。 ” —— samczsun -

好了,现在回到你最初安排的演讲中来······

现在有一个名为 Curve 的相对较新的 DeFi 合约,还未经过完全的审计就被部署在了主网上。你猜猜发生了什么?

没错。Sam Sun(再一次!)发现了一个潜在的漏洞。他负责任地将该漏洞告诉了 Curve 团队,然后每个人都像无头苍蝇一样惊慌失措,试图在人们还未损失资金之前从合约中把钱提出来。谢天谢地,他们做到了。这使得合约的创建者和他的朋友们得以保住资金。

我知道大家都想创造令人惊奇的产品,我也知道当下的环境让人热血沸腾。但请面对现实。在主网上部署一个智能合约,让它增长到一百万美金,还期望它不会被摧毁,这是傲慢、幼稚和无知的表现。一点都不可爱,且随着市场的增长会变得越来越危险。

虽然很容易指责项目团队做了不安全的选择,但也有人谴责社区和 Curve 用户,以及这个圈子的氛围:没有穷根问底、迫使团队保持透明。

层层叠加的风险

914.png

- 将 USD 换成 ETH 时各种不同的风险 -

来看看当你使用这些产品时,风险是如何层层叠加的。

假设我只是一个普通人,了解到可以在 “DeFi” 上赚取 5%,或许 8%,甚至可能高达 10% 的利息率!然后我的资产可以 2 倍、20倍、或者 100 倍地加杠杆?!这也太神奇了吧!于是我掏出我的美元去购买 ETH。

将 USD 兑换成 ETH 这一过程充斥着各种风险。持有密码学货币有风险。金融市场也有风险。你还可能会被钓鱼或者掉进 Twitter 上的赠币骗局。

915.png

- 将 ETH 换成 USDC 时各种不同的风险 -

由于 ETH 的价格波动太大,而我仍然想进入 DeFi 市场来赚取一些被动收入,因此我决定换取一些 USDC。而将 ETH 兑换成 USDC 的这一过程又一次带来了额外的风险。

USDC 作为一种中心化的稳定币,需要遵守相关的法规,因此其代币合约包含了一个黑名单,使得其维护者可以冻结某些地址的代币 —— 在他们自认应该(或被迫)这样做的时候。

916.png

- 将 USDC 换成 cUSDC 时各种不同的风险 -

假装上图写的是通过 Compound 将 USDC 换成 cUSDC 吧。

现在我想将我的 USDC 存入 Compound 以赚取利息。合约返还给我的是 cUSDC 代币。

而这一过程再一次引入了一系列全新的风险。你可能会丢失私钥。智能合约可能被操纵或被直接黑掉。一旦我的 USDC 存进了 Compound,我就只能相信我可以取回我的 USDC,并且相信该代币合约和 Compound 合约是安全的。

917.png

- 将 cUSDC 打进 ETHRSIAPY TokenSet 时各种不同的风险 -

然后我又了解到了 TokenSets!!!太酷啦,它会自动在 cToken 和 ETH 之间换手,我既能拿到利息,又能在 ETH 涨价中获利!

我取出我的 cUSDC ,并打进 ETHRSIAPY 的集合中。哇哦!#DeFi!

但是,这一过程又双叒引入了新的风险!它的智能合约同样可能被攻击。有些人可能会抢跑(front run)你的再平衡交易,导致你蒙受损失。哪怕不考虑税收,你依然可能赚不到钱,因为市场的走势不同于你的预期。

最大的问题在于:任何时候都没有人清楚地告知我这些坑。除非我阅读了那些小字,经常关注着 DeFi 圈的推特,否则如果我会输得精光,还会一头雾水

918.png

-从 USD 到 TokenSets 这一系列骚操作面临的各种不同风险的浓缩图。 -

如果我们把视线拉远,重新审视整个流程,就能发现其中全是风险。目前大家正热火朝天建设的 DeFi 事业,就是这样一种有风险的商业模式。

用户将美金转换成 TokenSets 应用中仓位的一系列操作,无形中整合了多种风险。也是 DeFi 让我后怕的原因。智能合约、技术、密码学、市场、金融等等方面的风险互相交错重叠。

我们应该害怕才对。

919.png

显然我刚刚举了一个 USDC 的例子,因为他们中心化的 “我可以把你加入黑名单!” 的做法十分好笑。但另一头房间里的大象(译者注:指大家视而不见的事物)是 Maker 和 Dai 。对此我不再多加评论,因为大家都知道这是怎么回事。

920.png

如果有人告诉你以太坊完全没问题或者 DeFi 的风险很低,你最好掉头就跑。 这种程度的自满和傲慢都没有好下场。

无论是忽视还是否认其中潜在的风险,都说明了他们对自己操作所引起的后果缺乏认知。如果有人构建了一套 DeFi 系统然后向你灌输这套理论,请你在掉头逃跑之前(或之后)大声呼救。请务必告诉大家,务必站在房顶上放声大叫。在这个快速迭代的生态中,人们非常有必要知道知悉最新的动态,而这种盲目的态度正是任何一个智能合约开发者都不应抱有的。

这种心态是目前最严重的预警信号,甚至要比合约没有被审计更值得人们警惕。因为合约可以被审计,但团队盲目自信的态度难以改变。把钱交给一群自大到认为自己构建了一套完美系统的人十分危险,因为他们极有可能会严重漠视用户资金的安全。

逃跑吧,别回头。

921.png

-“我敢肯定 Tay 讨厌 #DeFi”-

我听到有人传言我讨厌 DeFi 。在此我澄清:我不讨厌 DeFi 。事实上,DeFi 让我感到兴奋而不是厌恶。但同时它也让我感到恐惧。

我觉得我们在做的事情具有无可限量的潜力。密码学货币的一大愿景就是让人们能用上不受中心化实体控制的货币,另一个远景则是让 “没有银行账户的人享受到银行服务”。这不 仅仅 意味着不受侵犯的私人财产,更意味着个人资产能更好地发挥效用。当资金能够高效流转,人类社会乃至整个世界都将因此变得更好。

尽管我不厌其烦地讲了风险以及目前荒谬的现状,我仍然希望 DeFi 可以成功,相信在做各位也都这么想。但成功的前提是我们能警惕其中的风险,从而缓解风险、降低风险。这也能大大降低我们事业失败的可能性。

如果我们仅抱着理想主义上路,拒绝听从他人的提醒,我们就无法从根本上解决这个问题。需要有人来指出我们理论以及合约中的漏洞,从而提升整个生态的健壮性以及成功的可能性。

我之所以在整个讲座中都围绕这一点,是因为我认为拨乱反正非常有价值。我希望我们能走到正确的道路上。

所以,如何拨乱反正?👯‍♂️

922.png

-1. 意识到风险 2. 降低风险 3. 缓解风险-

我们首先需要意识到风险。

接着,我们应该降低风险。风险的根源在系统的受攻击面。系统越简单,出错的概率也越低,同时不应当依赖外部环境或者系统。

下一步则是缓解风险。如果系统出现了问题(这是不可避免的),我们要如何应对,缓解问题的严重程度?比起损失 1 个亿,有没有办法将损失降到 10 万?

我见过太多在安全事故发生时糟糕的处理措施。人们往往专注于降低风险,以为革除风险是唯一值得做的工作,却忘记了提前准备应对最坏的局面。我们时常会忽略一些细致的工作,例如怎样去监测系统故障?怎样去确定已经发生了事故?如何迅速做出反应?如何将损失降到最小?

923.png

在这里我要提一个非常不错的项目—— DeFi ScoreJordan Lyall 和他的团队已经做了相当多这方面的研究工作,发现了各 DeFi 平台的风险漏洞,并且研发了一套评分系统来帮助人们了解 DeFi 平台的是否安全,有多大的风险。

此类工具最关键的一点是尽可能便于用户理解。在这个领域,还很难做到。毕竟知识和概念日新月异,而关注这一问题的头脑又太少了。我们应该多看,多分享,多讨论这些评分,保证它们的准确性,为需要的人们提供有价值的信息。

这些分数应该帮人们更好地了解 DeFi 平台。如果我们无法明确指出风险并对其进行彻底的讨论,用户就无法知晓其中风险从而做出审慎的决定。人们在把所有钱扔进 DeFi 之前,需要先了解平台的风险,而不是任由这些风险潜藏在光鲜亮丽的外表之下。

当我考虑把 DeFi 产品直接接入 MyCrypto 时,我总会不由地想起曾经对用户做出的承诺。用户信任我们,我们是否该暗示这些 DeFi 产品的收益多高多高?如果我们的目标仅仅是吸引更多用户,那答案毫无疑问是肯定的。但如果我们真的为用户着想,那把这些只上线了几个月的智能合约产品跟银行相比属实操蛋。

我们要对该说什么、不说什么抱有清醒的认知,因为市场总有一天会回暖,而等你回过头来发现自己的受众除了熊市里被割了一茬的老韭菜以外,还有抱着一大堆钱入场的小白时,再警告他们风险就已经晚了。

924.png

-向 The DAO 存入的以太币-

我觉得大家没有意识到我们目前所处的历史位置。上面这张图显示了一个多月的时间内发送到 The DAO 合约的以太币数量。这是非常典型的指数曲线。

925.png

- 2017 年 ICO 募集的资金(美元)-

这张图则是 2017 年 ICO 的数据,也是疯狂的指数增长,人们完全疯了。投入到 The DAO 的资金数量其实已经预警了翻车,但是随着市场由熊转牛,人们根本意识不到这是有问题的。和今天 DeFi 的一样,The DAO 由一群有密码学货币经验的老玩家构建,但随着下一年牛市的到来,业界从总共就 3 个 ICO 跃进到一天 3 个 ICO,新韭菜不断入场。

926.png

- 锁定在 DeFi 中的资产总额(USD) -

这张图是目前 DeFi 的情况,如出一辙的曲棍球线。

大概 6 个月之前,我曾说过借贷市场绝不会变得狂热。今天,我可以 100% 肯定我错了。目前市场中的 DeFi 平台已经狂热化,并且在未来会变得更疯狂。我们会看到新人入场,向 DeFi 大量充钱。

不过即使发生了什么黑客事件,这个曲线也不会变成自由落体。也许会有一定的回撤或者颠簸,但拉远来看,它将始终按照指数曲线的趋势走下去。

不管你是在 Twitter 上发言,给自己的产品写宣传稿,还是犹豫要不要把未经审计的智能合约直接放在主网上,我希望你好好想想人们在 The DAO 以及 ICO 狂热时的盲目态度。我们应该尽可能帮跑步进场的 DeFi 新玩家,而不是算计他们还有多少钱可以输。不仅用户需要被教育,开发者也是,我们的生态需要更高级别的服务以及安全性。好好想想生态中发生过的那些事故吧,千万别重蹈覆辙。

927.png

到头来,你需要对自己、团队、雇员、同侪、社区以及整个生态负起责任。如果你不负责任地瞎搞,后果可是要大家共同承受。

在这点上,每个人都应该保持高度神经紧张,这本就该是让你感到害怕的东西。恐惧能促使大家做出负责的决定。

但老实说,我们能做些什么?

928.png

我们需要做的第一件事就是公开讨论。

  1. 我们要提出尖锐的问题。
  2. 我们需要参与诚恳的论述。
  3. 我们需要让坚守信念的事业得到正反馈。
  4. 我们需要公开质询,而不是在 Telegram 群里或者私信里面意思意思。
  5. 我们需要保持怀疑。
  6. 我们需要在业内鼓励怀疑的态度。我最初接触比特币的时候,我们的信念就是:没人值得信任。人性本恶,因此我们要保持怀疑和警惕。即使信任,也要验证(Trust,but verify)。像责任心、透明性这样的宝贵财富已经悄悄流失了。
  7. 最后,我非常希望能有更多的公开论坛。把事情推到 Telegram 小组里面讨论非常糟糕。大家没法用谷歌找到相关的讨论,人们也不能从 Telegram 里发掘有价值的洞见。即使你参与了某次对话,也无法持续跟踪讨论。同时消息无法成为后续值得参考的历史经验。The DAO 事件最大的一个好处在于我们可以回过头来,看看当时我们如何思考。我们能从人们在 The DAO 事件之前、之中、之后的态度中学到很多东西。这是有价值的。(译者注:是不是有点像我们老在微信群里讨论?)

929.png

第二,我们需要把好安全关、开展教育工作的同时鼓励分享。我这里说的安全可是指方方面面:

  • 更安全的智能合约。
  • 更好的研究以及工具。
  • 全面的审计和形式化验证。
  • 可升级性以及密钥管理。(不仅是用户的密钥管理,也包括智能合约中的管理员模块)

但万一搞砸了,请务必公开透明,向社区开诚布公。告诉大家究竟发生了什么,你是怎么意识到坏事发生,怎么搞砸的,做了哪些假设等等。让别人能从你的失败中吸取教训。你既然已经失败了,此时唯一弥补的便是分享经验,帮助他人不要重蹈覆辙。

930.png

最后,我们需要更多的关心和理解。在密码货币圈子里,人们很容易变得激进好斗,但是理直气壮跟盛气凌人是两码事。

任何时候都不应该用 “行吧,老顽固” 来回复别人,尤其是当他们刚刚亏了钱。这是挑拨和中伤,让我们大家看起来都像混蛋一样。

类似的还有,“如果他们没法写下 12 个单词(译者注:指代表私钥的助记词),那就不该玩密码学货币!”以及,“如果他们不了解风险,就压根不该用 DeFi”一类的嘲讽。

绝对不该继续使用这类话术。

是你没有告知他们风险,是你一直在推特上吹嘘自己的产品,是你一直告诉大家产品没有漏洞,就像是从天下掉馅饼一样美好。当他们按照你说的做时发生了意外,你怎么还敢腆着脸对他们落井下石。这种行为简直令人发指。

我们应该对其他人,对那些损失了资金的用户抱有关心和同情。即使的确是他们犯了错,也不该落井下石。因为他们亏钱,对整个系统来说有弊无益。这些伤心的用户不会再回来了。没有人会亏光了钱然后兴奋地大叫,“密码学货币太棒了!再梭一次!我爱密码学货币!”

931.png

- “ #FOMO > 一切”-

这里我是认真的。请不要低估 #FOMO 的力量。别低估贪婪的力量。它会驱使理智的人做不理智的事,伤害大家的事业。因此,请保持警惕。

广告插入

932.png

在过去的六周内,以太币的价格涨了大约 115% 。beta.mycrypto.com, mycrypto.com 以及我们的知识库网站的访问量分别上涨了 68%, 75%, 以及大约 130% 。

很疯狂,对吧?这意味着什么呢?

933.png

首先,这意味着大家没有好好浏览 beta.mycrypto.com 。

934.png

第二,这意味着用户在寻求帮助。我们观察到知识库网页的流量要比实际产品的流量增加得多。最多人浏览的文章是 “如何购买以太币。”这意味着有新人入场,我们需要输出更多的资源来帮助他们。无论是新手教程还是更深的内容,请毫无保留地分享你的知识。

935.png

如果你的产品在 2018 年 1 月之后发布,你可能完全沉浸在这个领域的奇妙之中了。我的建议是你该好好学习前人犯过的错误,阅读并吸收尽可能多的材料和信息。对了,还应该提早雇佣技术支持人员,因为一旦出事可就来不及现找了。

936.png

对于刚刚入场的新人们:你们应该既感到害怕又保持多疑,不过也别因为这个讲座而畏首畏尾。

实验有价值,只不过该用安全的手段实施。目前以太坊上已经有好几个测试网。你可以限制合约的数量,先内测再公测。你可以预先制定应急方案。享受开发的乐趣,但要是把大家的钱亏掉就不那么好玩了。

937.png

最后,业内老兵们,你们在 The DAO 事件以及 ICO 狂热之前就深耕于此,我希望你们能分享自己的智慧、知识以及经验,把这些年来的收获毫无保留地告诉大家。

这些知识需要被分享,特别是给那些新人。当你感觉场内过于狂热或者有什么事情不妙,最好的办法就是大声发表自己的意见

你能让生态变得更安全。你可以控制不理智的狂热。你可以帮 DeFi 不变成 The DAO 2.0 、ICO 狂热 2.0 。

938.png

到头来,最糟糕的用户体验莫过于钱没了。所以别整那么多花里胡哨的按钮,而把 “出事了我们可不管你” 的免责声明用 2px 字体(译者注:即极小的字体,一般大家使用的字体都在 15 px 左右)藏在没人看得到的页面,装作一副在意用户以及用户资金的样子。

就是这么多,感谢!爱你们,再见!💖

939.png

(完)


原文链接: https://medium.com/mycrypto/risky-business-defi-and-ethereums-coming-of-age-story-4d99465ad102
作者: Taylor Monahan
翻译&校对: 曾汨,安仔 C1int & 阿剑


你可能还会喜欢:

DeFi 用户应该向开发者提出的质询

 
0 人喜欢