COB:神魚：個人和機構玩家如何在 DeFi 領域安全增值 科學避雷

Cobo Labs 是亞太最大的加密貨幣托管平臺，最受機構歡迎的金融資管服務商Cobo 的加密貨幣研究實驗室。

我們專注于創新項目，前沿加密數字技術領域，全球市場合規動向，市場基本面及波動因子；旨在幫助市場參與者和加密貨幣愛好者，降低進入市場的認知門檻。

核心內容原創者包括：

神魚 (毛世行) Cobo 聯合創始人兼 CEO，F2Pool 聯合創始人

蔣長浩 Cobo 聯合創始人，前 Facebook 高級科學家

Lily Zhuo Cobo COO，前知名 400 億美元基金總法律合規顧問

Alex Zuo (左常柏)，Cobo 資管 VP，前 TokenInsight 聯合創始人，業內最大 FOF 牽頭人

我們也希望對加密數字貨幣領域有研究精神和科學方法論的終身迭代學習者可以加入我們的行列，向行業輸出思考洞察與研究觀點！

神魚：X2Y2 NFT掛單挖礦已升級多簽和時間鎖:2月21日消息，Cobo聯合創始人神魚在社交媒體表示，X2Y2 NFT掛單挖礦目前已升級多簽+時間鎖。據此前消息，神魚在推特上提示“X2Y2 NFT掛單挖礦存在風險”。[2022/2/21 10:04:50]

此篇是 Cobo Labs 的第  1  篇文章。

神魚-時間管理大師的經年領悟

在 8 月的最后一周，已經鮮少現身的神魚，為溝通 DeFi 基金的市場需求，現身于 Cobo 內部業務溝通會。

神魚回答了來自于從業者的犀利問答，下文，Cobo Labs 精簡了關于 DeFi、NFT等當下創新機會的風險和自我思考總結。

結尾，神魚還分享了自我私生活，可供大家品味觀賞！

關于 Cobo 的靈魂三問

Cobo 的 DeFi 風控體系如何？類似上次 PolyNetwork 的被盜事件，DeFi 類資金如何保證安全？Cobo 基金資產是不是神魚自己操作，怎樣做好風險把控？

神魚：因Value DeFi遭攻擊存套利空間，某用戶花3000美金套利超1000萬人民幣:魚池創始人神魚表示，Value有BSC和ETH兩條鏈，ETH上的早期叫yfv上了火幣，BSC上的Value被黑了，價格暴跌，所以有套利空間。有個老哥的套利操作：

3000美金在BSC上買了37萬Gvvalue-B跨到ETH解壓出40多萬個Value提到火幣賣了 1000萬+人民幣。老哥的地址0x2b2B231d3a02F5A52b43018F5f07050Ce15b76FB。目前跨鏈橋里面沒有資產了。

今日此前消息，DeFi協議Value DeFi再遭黑客攻擊。[2021/5/8 21:37:10]

神魚：

首先，Cobo 沒有參與這個項目，是我個人資金投入，但是我們第一時間捕獲到了相關信息，并且協助溝通了相關渠道，例如幣安、Tether 等處理這次的黑客事件，還是比較順利，從收集情報、團隊內部一起溝通，最終也獲取到了有效信息 ，比較幸運，也感謝很多安全團隊的協作。

本次黑客盜幣事件其實是對 DeFi 行業的反思，由于涉案金額巨大，我們事后也在思考在 DeFi 領域的投資方式，特別是挖礦，投入的是本金，面臨是的不確定的安全風險。

神魚：Filecoin lotus節點的一些返回值不是很符合常規邏輯:神魚及Cobo官方今日給出Filecoin“雙花攻擊”細節：Filecoin lotus節點提供了多個API用于鏈上交易的獲取，例如ChainGetBlockMessages可以獲取指定區塊內的所有交易內容，StateGetReceipt可以獲取指定交易ID對應的執行結果，此次被攻擊的交易所就是采用這兩個API來進行鏈上轉賬行為的解析，并基于此為用戶入賬。不過他們沒有注意到，StateGetReceipt接口有個比較不符合常規邏輯思維的設計，就是在獲取指定交易ID的執行結果時，如果這筆交易已經被RBF（replace by fee），則會返回最終RBF成功的那筆交易的執行結果，并且在返回值里沒有任何的提示表明這筆是RBF后的交易的執行結果。

假設攻擊者首先發送了TX1，對應的交易ID為TXID1，隨后攻擊者對TX1進行了RBF，生成TX2，對應的交易ID為TXID2，最終TX2上鏈成功。此時通過StateGetReceipt對TXID1和TXID2分別查詢，都能得到執行正確的結果！

Cobo Custody技術團隊在對接Filecoin的過程中已經發現了上述問題，因此沒有采用ChainGetBlotckMessages和StateGetReceipt來獲取鏈上的轉賬行為，而是采用ChainGetParentMessages和ChainGetParentReceipts來獲取已經成功上鏈的交易，從而從根本上避免了被雙花充值的風險，因此未受此次雙花充值攻擊的影響。

此外，在使用ChainGetParentMessages和ChainGetParentReceipt的過程中，Cobo Custody技術團隊發現lotus節點的一些返回值也不是很符合常規邏輯思維，例如對于空塊的處理是有一些問題的。Cobo Custody技術團隊對此作了妥善的安全處理，在此也提示其他中心化托管機構需要仔細檢查相關的對接代碼，避免其他的雙花充值攻擊行為。[2021/3/19 19:00:06]

對于如何來保證安全：

金色相對論 | 神魚：2020年區塊鏈行業大概率會出現標志性拐點:在今日的金色相對論中，F2Pool創始人神魚發言指出：2019關鍵詞：創業維艱。2019年對行業來講，得到了主流國家、大型金融機構的認可，合規進程也在逐步落地。對個人和團隊來說這個過程中付出許多也遇到了不少困難。

2020關鍵詞：2.0。對于我個人和整個行業來說，2020都是很重要的一年，不僅是因為今年有四年一遇的比特幣減半，這個行業會被越來越多的主流機構和社會大眾所認識和接受，邁入一個嶄新的階段，大概率會出現標志性拐點。行業從業人員和公司方向都會出現重大變化，過去的超額收益也會逐步消失。[2020/1/22]

1. 監控報警提醒

Cobo 結合了自己一年多的實踐，在投入大資金前，也會一起討論項目的指標，尤其是被攻擊的風險，一旦發生可疑操作，例如時間鎖、多簽發生變化，風控監控會第一時間通知。

2. 加密機加速本金撤離，保障資金安全

在區塊鏈安全上，Cobo 使用多人協作，內部有系統來完成，通過多人多權限來保證資產安全，比如發現報警信號，可能會對本金產生損失，會觸發 Cobo 的在線加密機自動處理，加密機持有一把低權限的 Key，監控系統發現了可疑，通過加密機把本金先撤出來，并且實現 7*24 小時工作，采用特殊方法以及嚴格的風控能夠比黑客跑的更快 。

聲音 | 神魚：警惕閑魚和暗網上轉讓的dat文件:F2Pool 魚池聯合創始人神魚在微博上發出一張出售wallet.dat文件的微信截圖。圖中文字顯示：出bitcoin core錢包wallet.dat文件，8個錢包累計615個BTC。由于wallet.dat有加密，需要破解密碼才能得到比特幣，因算力不夠，破解思路不對，因而私聊出售。神魚先是微博評論認為此是騙局，是騙子把自己生成的wallet.dat某地址公鑰改成圖上2009年的，dat里面沒有私鑰的類似watchonly錢包，然后高價出售。隨后辟謠稱，補充說明下截圖來源的微信聯系我，他是花了真比特幣買了這個dat的霍比特人，不是騙子，大家警惕閑魚和暗網上轉讓的。[2019/6/14]

3. 決策委員會

Cobo 有決策委員會，會在項目做完經濟模型審計后，做內部安全審計并會對常見問題做出預判，我們也會在自營媒體以及私域「德妃耕田」，溝通和預警項目的信息，也會提醒讓項目方升級和完善相關模塊，通過實踐也幫助 DeFi 挖礦大戶抵御了一些攻擊，這樣不斷的實踐讓我們在 DeFi 領域更好的做一些風控，保證所參與項目的安全性。

報警問題：對于不訴諸于法律的原因

是因為事件發生后，第一時間和公鏈團隊溝通，以及能夠支持的渠道，特別是在安全團隊的溯源，看能不能找到黑客關聯人，能不能鎖定一些人，如果采用法律，速度和響應不會像我們自發組織的這么的快，而且 DeFi 對于傳統是非常復雜的，并且這類黑客肯定會第一時間使用洗錢工具，如果事后談判失敗，能有更好的方式，該走法律也會有法律方式。

極端行情下怎么應對市場

現在是牛市，已經漲了那么多，此時進場買 DeFi 基金，會不會風險比較大，如何應對類似 519 等極端行情？

DeFi 給我們提供了新的增值方式，提供了公允的市場利息，DeFi 收益來源是通過鎖定本金價值，在 DeFi 協議里獲取代幣，絕大部分的收益，我們會對礦幣進行套期保值，并且會比較快的速度賣掉，在我們自動化工具里，每 10 分鐘量級賣掉，如果是像 519 這種，盡量降低杠桿，或者能自動化處理，能夠防止這樣的事情發生，DeFi 的風險除了合約之外的風險，整體收益還是比較 OK 的。

被神魚沖塌的礦，小散我怎么辦

沖哪個礦？當前的挖礦機制里面哪個設計更合理一些，以及如何防止被巨鯨沖塌，被神魚老板沖塌的礦實在是太多了！

神魚：

目前常規礦收益略無風險，當前收益率處于回暖狀態，老礦和新公鏈整體市場的 TVL 也在提高，當前好礦也很多。

挖礦核心問題，首先是安全，其次是經濟模型是否合理，是否有本金磨損以及大資金進入是否會沖塌這個礦，我們投委會調研做出研報，投委會成員進行檢測和試跑，看看經濟模型是否長久，找到賽道的模型和價格預期，以及資金體量能到什么程度的時候會出現正反饋和負反饋；

特別是對于大戶的進入，會不會讓這個礦收益率降低，我們需要計算多少錢投入可以獲得最優質收益，當然也需要根據市場動態調整，賽道、模型、估值區間等計算大概可以承載的范圍，像拐點來臨的話要止盈止損，這是個高度動態的過程，決斷根據參數來變化，找到資金分配收益最優解的解決方法。

DeFi 賽道方向您怎么看

下一步 DeFi 發展的方向？

DeFi 在過去 1 年的發展中，已經有了非常重要的底層基礎設施像算法穩定幣、底層借貸、豐富的衍生品，其實頭部效應已經顯現，目前性能問題是要解決的主要問題，目前 DeFi 鎖倉在 1000 多億美金，但是公鏈只能支撐幾百萬用戶，伴隨著行業的發展、數量級的突破，目前的性能支撐不了這些用戶，可能的方向是采用多層公鏈，半年到 1 年之間，二層網絡會形成頭部效應，也會聚集大量的核心應用；由于 DeFi 協議分散在各個公鏈上，同時跨鏈協議是一個繞不開的話題，二層網絡解決后，流動性解決方案，跨鏈協議是個方向；

另外，DeFi 的外延，例如 NFT、GameFi 很多和 DeFi 相結合的協議，這塊短期內會有爆發的機會，大概 3-6 個月，游戲和元宇宙和 DeFi 結合，會有成長的機會。

最后，最近美國監管機構對 DeFi 的討論，也是 DeFi 行業的機會，例如鏈上數據的分析，監管政策所帶來的剛需，更注重隱私的協議以及保證匿名性的技術迭代和發展。 

目前最熱的NFT

你們目前對 NFT 有哪些涉獵，投資 NFT 底層邏輯是什么？

基本邏輯目前比較簡單，行業處于非常早期階段，大家對于元宇宙，核心觸發點是區塊鏈原生的重新制定藝術和審美的標準，本次的圖片熱潮奠定加密朋克，它不單單是頭像，更代表了社會認同和社交價值。

對于投資者來說。可以把 70% 資產放在大幣種，20% 在新型領域（指經過一段時間發展的，已經驗證的），5-10% 放在看起來有未來但比較早期的資產，兼顧保守和激進的方向，如果哪塊有爆發期，整體收益都會不錯。 

同時，NFT 是消費品，不是投機，目前入場的人是帶有非常多閑置資金，當前市場非常小，頭像類的市值很低，稍微有一點資金進來后，泡沫波動都是流動性溢出帶來的，而不是長期有這么好的流動性，所以大家根據自己的情況參與。

福袋：神魚的私生活

問問魚總是怎么調節工作和休息，行情太火爆都沒時間好好睡覺了

NFT 大部分是都是海外項目，都是凌晨，1-2 小時一次，看很多朋友都已經分布式睡眠，睡一下看一眼，大家比較適應，但是牛市確實很辛苦，對于傳統挖礦，都是大學生看礦場，現在都是挖 DeFi，核心資產還是需要自己去看，經濟模型和安全報告，硬件錢包，DeFi 和 NFT 項目還是要參與一下，過去一年比過去 4 年都多，每周差不多 100 個小時.

除了賺錢，大佬還有什么愛好？

養魚，養海魚，珊瑚養不活了 （此處魚是真實世界水產生物）。

Tags：EFIDEFDEFICOBPi Network DeFiWDEFI價格AllWin DeFiKing of Cobra

屎幣