DeFi安全:香港投資者須知
了解去中心化金融的獨特風險——智能合約漏洞、跑路事件、流動性攻擊,以及香港投資者安全參與DeFi的原則。
了解去中心化金融的獨特風險——智能合約漏洞、跑路事件、流動性攻擊,以及香港投資者安全參與DeFi的原則。
去中心化金融(DeFi)是指建立在公共區塊鏈上(主要是以太坊及其二層網絡)、透過不可更改的智能合約而非中心化機構運作的金融服務。DeFi協議支持借貸、交易、收益農耕及流動性提供,無需傳統金融中介機構。對於習慣了HKMA ↗監管金融系統的監管保護的香港投資者,轉向DeFi的無許可、自我保管、代碼治理環境,代表著風險範式的戲劇性轉變。
DeFi風險格局與傳統金融風險根本不同。智能合約錯誤——DeFi協議程式邏輯中的錯誤——可被攻擊者利用,有時在單個交易區塊內清空協議中鎖定的所有資金。與可以修補的傳統軟件不同,許多DeFi合約在部署後被設計為不可更改——在不部署全新合約的情況下,錯誤無法修復。這意味著DeFi投資的安全性最終取決於底層代碼的質量,而非技術投資者無法個人核實的。
全球DeFi損失的規模是巨大的。區塊鏈分析公司Chainalysis報告,2022年DeFi協議因黑客攻擊、漏洞利用及欺詐項目造成超過38億美元的加密貨幣損失。對於香港投資者,缺乏監管保護加劇了財務損失:沒有相當於香港存款保障計劃的保障、沒有爭議解決監察專員,也沒有強制協議運營商補償用戶的監管機制。所有鏈上交易都是最終的——無論損失如何發生,都沒有「撤銷」選項。
跑路事件——DeFi協議開發者清空流動性後消失——佔DeFi損失的很大一部分。機制各有不同:在「硬跑路」中,開發者在智能合約中包含惡意代碼,允許他們隨意鑄造無限代幣或提取所有存入資金。在「軟跑路」中,開發者持有大量代幣分配,透過市場推廣和人為需求拉升價格,然後同時出售其持倉(「傾倉」),使價格崩潰,讓其他投資者持有一文不值的代幣。兩者對投資者的結果相同:全部或幾乎全部損失。
識別跑路事件的紅旗需要在投資前評估項目的基本面。匿名開發團隊——這描述了很大比例的DeFi項目——風險更高,因為創辦人無法被追究法律責任。未審計的智能合約,或由低信譽或自關聯審計公司審計的合約,提供的保障極少。在少數錢包中高度集中的代幣分配(在區塊鏈瀏覽器上可見),表明團隊有能力傾倉並摧毀價格。開發者錢包訪問缺乏時間鎖——合約通常對開發者控制的資金移動有時間延遲——是嚴重的紅旗。具有長期意圖的真實項目實施這些保障以建立投資者信心。
跑路事件的市場推廣模式遵循一個可識別的模板:透過付費影響者的爆炸性社交媒體推廣(通常沒有披露)、製造的緊迫感和FOMO(錯過恐懼)、令人震驚的高收益承諾(100%、1000% APY),以及在短暫拉升價格後讓團隊退出的炒作發布活動。早期投資者可能以後期進入者的損失獲利。遇到符合這一模式的DeFi項目的香港投資者,應默認將其視為欺詐。
DeFi協議互動引入了簡單加密貨幣持有不存在的錢包安全風險。將錢包連接到DeFi網站時,你可能被要求批准代幣花費授權(津貼)、簽署訊息或與智能合約互動。惡意DeFi網站——合法協議的釣魚克隆、新推出的欺詐項目,或被注入惡意代碼的被攻擊合法網站——使用這些批准機制清空錢包。了解每種錢包互動類型及相關風險,對於在沒有災難性損失的情況下參與DeFi至關重要。
代幣授權是最常被利用的DeFi錢包互動。第一次使用DeFi協議時,它通常要求「無限」代幣授權——在任何未來時間從你的錢包花費特定代幣任意數量的許可。無限授權很方便(避免重複授權交易),但允許被批准的合約隨時提取你所有該類型代幣,包括在你停止使用協議後很久。將授權限制為特定交易金額,或在使用後撤銷授權,可限制這一風險。更有限授權的燃氣成本通常只需幾港元,對安全效益而言是合理的。
釣魚DeFi網站——合法協議如Uniswap、Aave、Curve等的惡意克隆——透過搜尋廣告、社交媒體帖子和直接消息傳播。它們看起來與合法網站完全相同,但包含將資金重定向至攻擊者的修改過的智能合約地址。始終從受信任的書籤訪問DeFi協議,切勿透過訊息、Discord或搜尋廣告中的連結訪問。在連接你的錢包前,對照協議的官方域名核實網站URL。使用專門構建的瀏覽器如Brave進行DeFi互動,它包含增強的釣魚保護,並避免基於搜尋廣告的釣魚傳播。
安全DeFi參與不是完全避免DeFi,而是將相當於傳統金融中使用的風險管理原則應用於更高風險的環境。跨協議多元化可限制任何單一漏洞的影響——將所有DeFi風險集中在一個協議中,意味著單個智能合約錯誤可能導致全部損失。將風險限制在具有多年記錄的成熟、經實戰考驗的協議中,是降低智能合約風險的最可靠代理,因為在真實市場條件下長期運作而未被利用的協議,已展示了一定程度的安全性。
DeFi的倉位大小必須反映獨特的全額損失風險特性。與傳統金融資產(一個糟糕的投資可能損失30至50%)不同,DeFi協議漏洞可能在單個區塊中導致100%存入資金損失。對風險意識強的香港投資者而言,適當的DeFi分配是加密貨幣總持倉的一小部分——通常被引用為5至15%——大小使DeFi分配的全部損失雖然痛苦,但不至於在財務上造成災難。將DeFi收益視為承擔智能合約和跑路風險的風險補償回報——而非「免費的錢」——是產生合理分配決策的心理框架。
SFC ↗已就DeFi協議及其監管狀態警示香港投資者。提供投資產品但未獲SFC ↗授權的DeFi協議,可能違反《證券及期貨條例》。在香港參與未授權的DeFi投資產品,既帶來協議的技術風險,如果活動屬於受監管金融服務範疇,還可能帶來潛在的監管風險。對於重大的DeFi參與,就特定DeFi活動的監管狀態諮詢律師或合規專業人士是明智之舉。
