作者|Taylor Monahan
編者注:本文作者在文中呼籲 DeFi 專案審慎地檢查專案的安全模型並開誠佈公、充分地告知使用者其中的安全風險。考慮到這篇文章的實際成文時間(早於 2 月 ETHDenver 活動),作者對 DeFi 領域已經陷入狂熱的警告可謂具有先見之明。bZx 攻擊事件在 ETHDenver 活動期間發生,後來 Curve 專案似乎也出了些問題。攻擊事件結束了,但 DeFi 的故事還沒有結束,也不該結束。為了讓 DeFi 走向成熟,也該好好感受一下作者在本文中的大聲疾呼。本文源於 2020 年 2 月我在 ETHDenver 發表的一場演講。
不知你是否看過《乖仔也瘋狂(Risky Business)》,這是一部由湯姆·克魯斯主演的成長電影。戲中的他在父母離家後捲入了一系列的麻煩,他必須自己動手解決問題,然而這隻會造成更多的麻煩。這段旅程之所以可愛,是因為長著一張娃娃臉的阿湯哥太天真了,一刻也沒有閒著。如果他年紀再大一點或更幼稚一點,那他的選擇就太沒責任心了,任何人都無法寬恕。密碼貨幣行業跟這部電影多有相似之處。我們逃避了許多本該直面的事情,也拒絕從既往的錯誤中汲取教訓,甚至拒絕承認智慧合約也不是完全信得過。等到真的把事情搞砸,又拿理想主義和不夠成熟來給搪塞他人。但是,天真並不能降低風險,而且隨著時間的推移,這套說辭也不會再被接受。如果我們真想得到人們的尊重,而非顏面無存,就不該再這樣裝傻賣萌,掩蓋行業的實際風險。
- ”遺忘歷史之人終將重蹈覆轍。“ -前事不忘,後事之師,但如果不吸取教訓,看過就忘,那一定會重蹈覆轍。現狀就是這樣,只要研究一下智慧合約攻擊,就會發現這只是同一種攻擊在一遍一遍又一遍地重演……
如何才能真正降低風險?
- 1. 自我意識 2. 警惕 3. 感激 4.偏執 -總而言之,我們需要一種文化來減少和降低風險:自我意識:我們應該意識到我們自己和我們的行為對周圍的人以及更廣闊的世界所產生的影響。警惕:我們應該保持警惕,在風險導致負面結果之前就覺察到它們,無論是對我們自己還是周圍人的風險。我們也應該積極尋求資訊,以減少 ”未知的未知“。敬畏:我們應該敬畏這些系統的複雜性,並敬畏我們所擁有的力量,以及我們能對周圍真實存在的人產生的影響。偏執:我們應當保持一種深層次的恐懼、偏執和懷疑。否則長久以來只能寄希望於裝可愛了。
- 何為風險?-
何為風險?
風險就是壞事發生的可能性,即事情不按預期發展的概率。當你期待著一件事情的發生時 —— 期待著大賺一筆、期待著拯救世界、或做出一款令人稱奇的產品 —— 然後實際發生的事情卻剛好相反。風險無處不在,而我們推理風險的能力卻非常糟糕。我讀過太多關於網際網路進化的內容。早期的網際網路建設者真是一群過於樂觀的理想主義者,雖然我們今天仍生活在他們創造的成果中,但他們從未想象過 Google 和 Facebook 能有如此之大的影響力和控制權。
-https://nymag.com/intelligencer/2018/04/an-apology-for-the-internet-from-the-people-who-built-it.html-Lanier:最初的廣告演變成了大規模的不間斷行為干預過程,每個人都處於裝置的監視之下,並在精心設計的刺激下潛移默化。這一可怕的事情早已被科幻作家所預見,Philip K. Dick 或《1984》就直接描繪了這樣的場景。儘管存在這麼多警告,我們依然步入了這樣的世界,在數字網路的統治之下創造了大規模的行為矯正機制。而這樣做是因為我們希望同時成為棒棒的社會主義者和棒棒的自由主義者。我們需要對可能發生的一切有所覺察,如此才能嘗試減輕我們面臨的風險,甚至是深層次的道德風險。我們並不想自己想象的那樣,在連線每一個人並創造一個新的去中心化的世界。事實上,我們正在創造一個超級高效的隱私侵犯系統,而全世界每一個人都難逃魔爪。
- 所有風險 -風險的種類五花八門。有些乃金融市場所獨有,而有些風險則專門針對密碼學貨幣和智慧合約。DeFi 最有趣也最可怕的一點是,它將上述兩種本身就具備風險的事物結合在了一起。我們將它們放在一起,掰開揉碎,然後又出於某種僥倖心理,希望一切都沒有問題。真想要不出問題,就別偷懶啊你們。每當這些系統相互連線,彼此依賴,或者互相疊加時,你就處在巨大的風險中。我們喜歡將 DeFi 想象成 “DeFi 樂高(Lego)”,但如果它的基礎不牢固,它實際上就是 “DeFi 疊疊樂(Jenga)” 了,而我們也會摔得鼻青臉腫。每當有人未遵守協議時,你也會處於風險之中。DeFi 確實消除了一些交易對手方的風險,但你仍然無法避免由流動性、滑點、以及老土的以訛傳訛帶來的風險。如果一個處理著數百萬美金使用者存款的 DeFi 系統可以升級,那你簡直秒秒鐘都是幾十萬上下啊。如果你還沒有關注 Chris Blec 的 Twitter,趕快去關注!他正在做一項研究,試圖確認這些可升級的智慧合約是如何保證安全性的。僅僅依靠一枚私鑰麼?(這是在拷問 bZx,因為他們在 2018 年已經承諾使用了多籤加治理的解決方案。)是什麼在保護智慧合約的程式碼不被更改或控制?又是什麼在守衛著這些錢?大部分(我們就不說全部了)這些 DeFi 智慧合約都是可升級的。而且 ······ 請注意!人們還會被釣魚 —— 即便那些控制著複雜的智慧合約系統的人也不例外。風險的範圍如此之廣,以至於我們難以承受,更別提管理這些風險了。太多的事情威脅著個人、系統、乃至這些相互交織的系統。這些風險對於 DeFi 的生態系統而言意味著什麼?它能有多糟呢?
2020 年 2 月 15 日:Fulcrum / bZx
好吧,在我此次演講的同時(2020 年 2 月 15 日,美國標準時間上午 9:50)發生了一件糟糕的事情,人們還在嘗試確認這是不是對智慧合約的攻擊或者對漏洞的利用。據估算,攻擊者透過某些複雜的手段獲利大約 35 萬美金。然後,更多的細節浮出水面,而事情也變得越發複雜。兩天後,類似的攻擊再次發生,而這次攻擊者獲利 65 萬美金。譯者注:作者在這裡指的是 2 月 15 日發生在 bZx 協議上閃電貸攻擊事件。然而,在我看來,這次事件究竟源於駭客攻擊、利用、漏洞還是市場操縱都無關緊要。總之,發生了一些意料之外的事情。而每當金融市場發生意料之外的事情時,很少是好事。要是這種事情發生時還有一方賺到了 35 萬美元,那通常意味著有另一方損失了 35 萬美元。發生這些攻擊的原因是某些 #DeFi 系統以各種方式相互連線、依賴和構建。而當作惡者在所有這些不同的平臺上合併頭寸時,TA 賺到了一大筆錢。但是,某些人賺的盆滿缽滿的背後,是另一些人在大虧特虧。來自 Aave 的 Stani 在 Telegram 中轉發了這條行家的訊息,詳細說明了可疑的漏洞是什麼。儘管分析聽起來頭頭是道,但結局仍然讓我感到困擾:
- “然而,如果上述分析無誤,那麼這聽起來一點也不像一次攻擊。它並非合約中的漏洞 —— 而是一套複雜的套利 / 市場操縱計劃,橫跨了 4 個最知名的 DeFi 網站,而非一次攻擊。” Stani 分享的資訊,儘管不是他寫的。-譯者注:bZx 閃電攻擊事件始末可看由 PeckShield 提供的分析。打住打住,這太荒謬了!“我們的智慧合約沒有被黑!我們不是用不安全的方式寫了糟糕的程式碼,只是我們的程式碼被用來做了不安全的事!” 這像人話嗎?這就是為什麼我說我們需要更加勤奮和偏執,而不要拿法律術語來當擋箭牌,更別想著用花哨的詞語來掩蓋現實。試圖從技術上或法律上來推卸責任並不會改變已經發生的事實,也不會對受害者有所補償。相反,專注於創造安全可靠的產品以防止意外的發生,並保護使用者的資產不受損失,才是重點。[註釋:後來發現攻擊是透過 操縱/利用 系統來輔助發動的,但真正的突破點還是在程式碼本身的錯誤上。]不管怎樣!在發生攻擊的那個清晨,Phil Daian 像往常一樣發表了一些富有先見之明的想法。如果你還不認識 Phil,容我介紹一下,他在這類事情上做了大量的研究。他在 Devcon 4 上的演講就是關於智慧合約安全的。他指出了以下幾點:
- ”安全性不僅僅體現在程式碼能否按照設計執行,還包括產品的設計應當為使用者提供哪些屬性。以太坊社羣在前一方面表現出色,而後一方面則因為 #DeFi 的利潤豐厚而做得一塌糊塗。僅僅因為你的程式碼正常執行並不能代表你的系統安全無虞。“ 來源:Phil 在某個安全 Telegram 群組內的言論 -這是我們所有人都應當首先考慮的事情,我沒有其它需要補充的內容。儘管我們能從這輪攻擊中收穫良多,但考慮到 bZx 團隊早在 2019 年 9 月就被預先警告過這類攻擊方式了,教訓實在是過於慘痛:
- ”太長不看:由於在沒有驗證回報率的前提下依賴了一個鏈上的去中心化價格預言機,DDEX 和 bZx 很容易受到原子化價格操縱的影響。這將導致 DDEX 在 ETH/DAI 市場中損失流動的 ETH,以及 bZx 損失所有的流動性資金。幸運的是,實際上尚未有資金蒙受損失。“ —— samczsun -Sam Sun —— 一位安全研究員、白帽、也是一名出色的智慧合約駭客 —— 寫了一篇關於 DDEX 和 bZx(又名 Fulcrum) 的文章,在文中他研究瞭如果操縱它們所依賴的喂價方式會有什麼後果。(需要說明的是:他負責任地向合適的團隊披露了漏洞,並在修復過程中協助他們,就和他在幫助0x、Curve、ENS、Kyber、Cheeze Wizards、Livepeer、Authereum、以及其他團隊時一樣。🙇)他特別研究了是否可以透過操縱價格資料來促使智慧合約做出破壞性的響應。由於這些平臺都依賴於來自 Uniswap 和 Kyber 的價格資料,因此如果一名攻擊者能導致價格短暫飆升,就能從 DDEX/bZx 的智慧合約那裡獲得遠超其應得水平的貸款。而這一意料之外的行為在讓某些人大發橫財的同時,也洗劫了另一些人的財富。Sam 進一步為所有智慧合約的開發者們提供了一些很棒的建議:
- “在未經嚴格驗證的情況下,切勿使用鏈上的去中心化預言機。” “要警惕地使用對第三方專案的依賴” —— samczsun -我們 MyCrypto 每天都要處理這類依賴關係。JavaScript 生態系統嚴重依賴於 npm,而在 npm 中每包含一個新的依賴又會增加 50 個依賴。我們不可能審計所有的內容,因此,各種從源頭上針對密碼學產品的攻擊層出不窮。你的產品中沒有使用某個 package.json,並不意味著你不依賴於其它 package.json ······ 這些攻擊已經驗證了這一點。下面是我在這篇文章中最喜歡的一句話:
- “同樣地,在引入對第三方專案的依賴之前,你不僅應該考慮該專案是否被審計過,還應考慮其規範和威脅模型是否與你自己的專案相一致。如果你時間充裕,最好深入研究一下他們的合約。” -僅僅因為我們認為或假設某個合約是安全的,並不意味著沒有風險,因為該合約還可能被操縱。而你的合約如果結合了該合約,也可能被操縱。任何操縱都可能危害到你的系統及使用者。上述案例看起來似乎是有人操縱了四個相互結合的不同的 DeFi 平臺,從而完成了一次史詩般的攻擊。
- “在不考慮 i == j 的情況下,只要輸入一種資產用於兌換同一種資產,就能吸乾池中的這種雌蟬。任何人都可以做到。” —— samczsun -好了,現在回到你最初安排的演講中來······現在有一個名為 Curve 的相對較新的 DeFi 合約,還未經過完全的審計就被部署在了主網上。你猜猜發生了什麼?沒錯。Sam Sun(再一次!)發現了一個潛在的漏洞。他負責任地將該漏洞告訴了 Curve 團隊,然後每個人都像無頭蒼蠅一樣驚慌失措,試圖在人們還未損失資金之前從合約中把錢提出來。謝天謝地,他們做到了。這使得合約的建立者和他的朋友們得以保住資金。我知道大家都想創造令人驚奇的產品,我也知道當下的環境讓人熱血沸騰。但請面對現實。在主網上部署一個智慧合約,讓它增長到一百萬美金,還期望它不會被摧毀,這是傲慢、幼稚和無知的表現。一點都不可愛,且隨著市場的增長會變得越來越危險。雖然很容易指責專案團隊做了不安全的選擇,但也有人譴責社羣和 Curve 使用者,以及這個圈子的氛圍:沒有窮根問底、迫使團隊保持透明。
層層疊加的風險
- 將 USD 換成 ETH 時各種不同的風險 -來看看當你使用這些產品時,風險是如何層層疊加的。假設我只是一個普通人,瞭解到可以在 “DeFi” 上賺取 5%,或許 8%,甚至可能高達 10% 的利息率!然後我的資產可以 2 倍、20倍、或者 100 倍地加槓桿?!這也太神奇了吧!於是我掏出我的美元去購買 ETH。將 USD 兌換成 ETH 這一過程充斥著各種風險。持有密碼學貨幣有風險。金融市場也有風險。你還可能會被釣魚或者掉進 Twitter 上的贈幣騙局。
- 將 ETH 換成 USDC 時各種不同的風險 -由於 ETH 的價格波動太大,而我仍然想進入 DeFi 市場來賺取一些被動收入,因此我決定換取一些 USDC。而將 ETH 兌換成 USDC 的這一過程又一次帶來了額外的風險。USDC 作為一種中心化的穩定幣,需要遵守相關的法規,因此其代幣合約包含了一個黑名單,使得其維護者可以凍結某些地址的代幣 —— 在他們自認應該(或被迫)這樣做的時候。
- 將 USDC 換成 cUSDC 時各種不同的風險 -假裝上圖寫的是透過 Compound 將 USDC 換成 cUSDC 吧。現在我想將我的 USDC 存入 Compound 以賺取利息。合約返還給我的是 cUSDC 代幣。而這一過程再一次引入了一系列全新的風險。你可能會丟失私鑰。智慧合約可能被操縱或被直接黑掉。一旦我的 USDC 存進了 Compound,我就只能相信我可以取回我的 USDC,並且相信該代幣合約和 Compound 合約是安全的。
- 將 cUSDC 打進 ETHRSIAPY TokenSet 時各種不同的風險 -然後我又瞭解到了 TokenSets!!!太酷啦,它會自動在 cToken 和 ETH 之間換手,我既能拿到利息,又能在 ETH 漲價中獲利!我取出我的 cUSDC ,並打進 ETHRSIAPY 的集合中。哇哦!#DeFi!但是,這一過程又雙叒引入了新的風險!它的智慧合約同樣可能被攻擊。有些人可能會搶跑(front run)你的再平衡交易,導致你蒙受損失。哪怕不考慮稅收,你依然可能賺不到錢,因為市場的走勢不同於你的預期。最大的問題在於:任何時候都沒有人清楚地告知我這些坑。除非我閱讀了那些小字,經常關注著 DeFi 圈的推特,否則如果我會輸得精光,還會一頭霧水。
-從 USD 到 TokenSets 這一系列騷操作面臨的各種不同風險的濃縮圖。-如果我們把視線拉遠,重新審視整個流程,就能發現其中全是風險。目前大家正熱火朝天建設的 DeFi 事業,就是這樣一種有風險的商業模式。使用者將美金轉換成 TokenSets 應用中倉位的一系列操作,無形中整合了多種風險。這也是 DeFi 讓我後怕的原因。智慧合約、技術、密碼學、市場、金融等等方面的風險互相交錯重疊。我們應該害怕才對。
顯然我剛剛舉了一個 USDC 的例子,因為他們中心化的 “我可以把你加入黑名單!” 的做法十分好笑。但另一頭房間裡的大象(譯者注:指大家視而不見的事物)是 Maker 和 Dai 。對此我不再多加評論,因為大家都知道這是怎麼回事。
如果有人告訴你以太坊完全沒問題或者 DeFi 的風險很低,你最好掉頭就跑。這種程度的自滿和傲慢都沒有好下場。無論是忽視還是否認其中潛在的風險,都說明了他們對自己操作所引起的後果缺乏認知。如果有人構建了一套 DeFi 系統然後向你灌輸這套理論,請你在掉頭逃跑之前(或之後)大聲呼救。請務必告訴大家,務必站在房頂上放聲大叫。在這個快速迭代的生態中,人們非常有必要知道知悉最新的動態,而這種盲目的態度正是任何一個智慧合約開發者都不應抱有的。這種心態是目前最嚴重的預警訊號,甚至要比合約沒有被審計更值得人們警惕。因為合約可以被審計,但團隊盲目自信的態度難以改變。把錢交給一群自大到認為自己構建了一套完美系統的人十分危險,因為他們極有可能會嚴重漠視使用者資金的安全。逃跑吧,別回頭。
-“我敢肯定 Tay 討厭 #DeFi”-我聽到有人傳言我討厭 DeFi 。在此我澄清:我不討厭 DeFi。事實上,DeFi 讓我感到興奮而不是厭惡。但同時它也讓我感到恐懼。我覺得我們在做的事情具有無可限量的潛力。密碼學貨幣的一大願景就是讓人們能用上不受中心化實體控制的貨幣,另一個遠景則是讓 “沒有銀行賬戶的人享受到銀行服務”。這不僅僅意味著不受侵犯的私人財產,更意味著個人資產能更好地發揮效用。當資金能夠高效流轉,人類社會乃至整個世界都將因此變得更好。儘管我不厭其煩地講了風險以及目前荒謬的現狀,我仍然希望 DeFi 可以成功,相信在做各位也都這麼想。但成功的前提是我們能警惕其中的風險,從而緩解風險、降低風險。這也能大大降低我們事業失敗的可能性。如果我們僅抱著理想主義上路,拒絕聽從他人的提醒,我們就無法從根本上解決這個問題。需要有人來指出我們理論以及合約中的漏洞,從而提升整個生態的健壯性以及成功的可能性。我之所以在整個講座中都圍繞這一點,是因為我認為撥亂反正非常有價值。我希望我們能走到正確的道路上。
所以,如何撥亂反正?👯♂️
-1. 意識到風險 2. 降低風險 3. 緩解風險-我們首先需要意識到風險。接著,我們應該降低風險。風險的根源在系統的受攻擊面。系統越簡單,出錯的概率也越低,同時不應當依賴外部環境或者系統。下一步則是緩解風險。如果系統出現了問題(這是不可避免的),我們要如何應對,緩解問題的嚴重程度?比起損失 1 個億,有沒有辦法將損失降到 10 萬?我見過太多在安全事故發生時糟糕的處理措施。人們往往專注於降低風險,以為革除風險是唯一值得做的工作,卻忘記了提前準備應對最壞的局面。我們時常會忽略一些細緻的工作,例如怎樣去監測系統故障?怎樣去確定已經發生了事故?如何迅速做出反應?如何將損失降到最小?
在這裡我要提一個非常不錯的專案—— DeFi Score 。Jordan Lyall 和他的團隊已經做了相當多這方面的研究工作,發現了各 DeFi 平臺的風險漏洞,並且研發了一套評分系統來幫助人們瞭解 DeFi 平臺的是否安全,有多大的風險。此類工具最關鍵的一點是儘可能便於使用者理解。在這個領域,還很難做到。畢竟知識和概念日新月異,而關注這一問題的頭腦又太少了。我們應該多看,多分享,多討論這些評分,保證它們的準確性,為需要的人們提供有價值的資訊。這些分數應該幫人們更好地瞭解 DeFi 平臺。如果我們無法明確指出風險並對其進行徹底的討論,使用者就無法知曉其中風險從而做出審慎的決定。人們在把所有錢扔進 DeFi 之前,需要先了解平臺的風險,而不是任由這些風險潛藏在光鮮亮麗的外表之下。當我考慮把 DeFi 產品直接接入 MyCrypto 時,我總會不由地想起曾經對使用者做出的承諾。使用者信任我們,我們是否該暗示這些 DeFi 產品的收益多高多高?如果我們的目標僅僅是吸引更多使用者,那答案毫無疑問是肯定的。但如果我們真的為使用者著想,那把這些只上線了幾個月的智慧合約產品跟銀行相比屬實操蛋。我們要對該說什麼、不說什麼抱有清醒的認知,因為市場總有一天會回暖,而等你回過頭來發現自己的受眾除了熊市裡被割了一茬的老韭菜以外,還有抱著一大堆錢入場的小白時,再警告他們風險就已經晚了。
-向 The DAO 存入的以太幣-我覺得大家沒有意識到我們目前所處的歷史位置。上面這張圖顯示了一個多月的時間內傳送到 The DAO 合約的以太幣數量。這是非常典型的指數曲線。
- 2017 年代幣融資募集的資金(美元)-這張圖則是 2017 年代幣融資的資料,也是瘋狂的指數增長,人們完全瘋了。投入到 The DAO 的資金數量其實已經預警了翻車,但是隨著市場由熊轉牛,人們根本意識不到這是有問題的。和今天 DeFi 的一樣,The DAO 由一群有密碼學貨幣經驗的老玩家構建,但隨著下一年牛市的到來,業界從總共就 3 個代幣融資躍進到一天 3 個代幣融資,新韭菜不斷入場。
- 鎖定在 DeFi 中的資產總額(USD) -這張圖是目前 DeFi 的情況,如出一轍的曲棍球線。大概 6 個月之前,我曾說過借貸市場絕不會變得狂熱。今天,我可以 100% 肯定我錯了。目前市場中的 DeFi 平臺已經狂熱化,並且在未來會變得更瘋狂。我們會看到新人入場,向 DeFi 大量充錢。不過即使發生了什麼駭客事件,這個曲線也不會變成自由落體。也許會有一定的回撤或者顛簸,但拉遠來看,它將始終按照指數曲線的趨勢走下去。不管你是在 Twitter 上發言,給自己的產品寫宣傳稿,還是猶豫要不要把未經審計的智慧合約直接放在主網上,我希望你好好想想人們在 The DAO 以及代幣融資狂熱時的盲目態度。我們應該儘可能幫跑步進場的 DeFi 新玩家,而不是算計他們還有多少錢可以輸。不僅使用者需要被教育,開發者也是,我們的生態需要更高階別的服務以及安全性。好好想想生態中發生過的那些事故吧,千萬別重蹈覆轍。
到頭來,你需要對自己、團隊、僱員、同儕、社羣以及整個生態負起責任。如果你不負責任地瞎搞,後果可是要大家共同承受。在這點上,每個人都應該保持高度神經緊張,這本就該是讓你感到害怕的東西。恐懼能促使大家做出負責的決定。
但老實說,我們能做些什麼?
我們需要做的第一件事就是公開討論。我們要提出尖銳的問題。我們需要參與誠懇的論述。我們需要讓堅守信念的事業得到正反饋。我們需要公開質詢,而不是在 Telegram 群裡或者私信裡面意思意思。我們需要保持懷疑。我們需要在業內鼓勵懷疑的態度。我最初接觸BTC的時候,我們的信念就是:沒人值得信任。人性本惡,因此我們要保持懷疑和警惕。即使信任,也要驗證(Trust,but verify)。像責任心、透明性這樣的寶貴財富已經悄悄流失了。最後,我非常希望能有更多的公開論壇。把事情推到 Telegram 小組裡面討論非常糟糕。大家沒法用谷歌找到相關的討論,人們也不能從 Telegram 裡發掘有價值的洞見。即使你參與了某次對話,也無法持續跟蹤討論。同時訊息無法成為後續值得參考的歷史經驗。The DAO 事件最大的一個好處在於我們可以回過頭來,看看當時我們如何思考。我們能從人們在 The DAO 事件之前、之中、之後的態度中學到很多東西。這是有價值的。(譯者注:是不是有點像我們老在微信群裡討論?)
第二,我們需要把好安全關、開展教育工作的同時鼓勵分享。我這裡說的安全可是指方方面面:更安全的智慧合約。更好的研究以及工具。全面的審計和形式化驗證。可升級性以及金鑰管理。(不僅是使用者的金鑰管理,也包括智慧合約中的管理員模組)但萬一搞砸了,請務必公開透明,向社羣開誠佈公。告訴大家究竟發生了什麼,你是怎麼意識到壞事發生,怎麼搞砸的,做了哪些假設等等。讓別人能從你的失敗中吸取教訓。你既然已經失敗了,此時唯一彌補的便是分享經驗,幫助他人不要重蹈覆轍。
最後,我們需要更多的關心和理解。在密碼貨鏈報裡,人們很容易變得激進好鬥,但是理直氣壯跟盛氣凌人是兩碼事。任何時候都不應該用 “行吧,老頑固” 來回復別人,尤其是當他們剛剛虧了錢。這是挑撥和中傷,讓我們大家看起來都像混蛋一樣。類似的還有,“如果他們沒法寫下 12 個單詞(譯者注:指代表私鑰的助記詞),那就不該玩密碼學貨幣!”以及,“如果他們不瞭解風險,就壓根不該用 DeFi”一類的嘲諷。絕對不該繼續使用這類話術。是你沒有告知他們風險,是你一直在推特上吹噓自己的產品,是你一直告訴大家產品沒有漏洞,就像是從天下掉餡餅一樣美好。當他們按照你說的做時發生了意外,你怎麼還敢腆著臉對他們落井下石。這種行為簡直令人髮指。我們應該對其他人,對那些損失了資金的使用者抱有關心和同情。即使的確是他們犯了錯,也不該落井下石。因為他們虧錢,對整個系統來說有弊無益。這些傷心的使用者不會再回來了。沒有人會虧光了錢然後興奮地大叫,“密碼學貨幣太棒了!再梭一次!我愛密碼學貨幣!”
- “ #FOMO > 一切”-這裡我是認真的。請不要低估 #FOMO 的力量。別低估貪婪的力量。它會驅使理智的人做不理智的事,傷害大家的事業。因此,請保持警惕。
廣告插入
在過去的六週內,以太幣的價格漲了大約 115% 。beta.mycrypto.com, mycrypto.com 以及我們的知識庫網站的訪問量分別上漲了 68%, 75%, 以及大約 130% 。很瘋狂,對吧?這意味著什麼呢?
首先,這意味著大家沒有好好瀏覽 beta.mycrypto.com 。
第二,這意味著使用者在尋求幫助。我們觀察到知識庫網頁的流量要比實際產品的流量增加得多。最多人瀏覽的文章是 “如何購買以太幣。”這意味著有新人入場,我們需要輸出更多的資源來幫助他們。無論是新手教程還是更深的內容,請毫無保留地分享你的知識。
如果你的產品在 2018 年 1 月之後釋出,你可能完全沉浸在這個領域的奇妙之中了。我的建議是你該好好學習前人犯過的錯誤,閱讀並吸收儘可能多的材料和資訊。對了,還應該提早僱傭技術支援人員,因為一旦出事可就來不及現找了。
對於剛剛入場的新人們:你們應該既感到害怕又保持多疑,不過也別因為這個講座而畏首畏尾。實驗有價值,只不過該用安全的手段實施。目前以太坊上已經有好幾個測試網。你可以限制合約的數量,先內測再公測。你可以預先制定應急方案。享受開發的樂趣,但要是把大家的錢虧掉就不那麼好玩了。
最後,業內老兵們,你們在 The DAO 事件以及代幣融資狂熱之前就深耕於此,我希望你們能分享自己的智慧、知識以及經驗,把這些年來的收穫毫無保留地告訴大家。這些知識需要被分享,特別是給那些新人。當你感覺場內過於狂熱或者有什麼事情不妙,最好的辦法就是大聲發表自己的意見。你能讓生態變得更安全。你可以控制不理智的狂熱。你可以幫 DeFi 不變成 The DAO 2.0 、代幣融資狂熱 2.0 。
到頭來,最糟糕的使用者體驗莫過於錢沒了。所以別整那麼多花裡胡哨的按鈕,而把 “出事了我們可不管你” 的免責宣告用 2px 字型(譯者注:即極小的字型,一般大家使用的字型都在 15 px 左右)藏在沒人看得到的頁面,裝作一副在意使用者以及使用者資金的樣子。就是這麼多,感謝!愛你們,再見!💖
