主持人：都在说大饼吸血，但是DeFi领域锁仓并没有明显下降，这是为什么呢？

Kevin:

根据最新数据，DeFi的总锁仓量已经达到了170亿美金，从年初的7亿美金到今天的170亿，不断的上涨，即便是Defi挖矿热度下降后，也依然在稳步增长。

DeFi的总TVL的井喷增长源于7月，YFI等项目的兴起，随后在8月，9月各种DeFi挖矿项目中加速上涨。

之所以在挖矿热度下降后，TVL依然稳步增长，我觉得有三点原因：

1. DeFi真正的解决了区块链领域内的需求。目前DeFi项目中，锁仓最多的是三类项目，借贷，交易，理财。这三类产品满足了去中心化金融领域内的三大真实需求，使得大量资金心甘情愿的留在相应的产品内，而不是打一枪换一个地方。

2. DeFi的应用创新层出不穷，潜力巨大。在最近的3个月，不断有新的DeFi协议出现，比如保险，债券，期权等，这使得更多愿意尝鲜的资金进入到这个领域，引入了新的流量。接下来，会有更多传统领域的金融理念和玩法，被”DeFi”化，创造更多的有趣的产品。

3. Defi锁仓的长尾效应。在DeFi的早期，大量用户不懂得使用去中心化钱包和Dex，阻碍了Defi锁仓量的增长，随着更多用户的进步，DeFi有了越来越多的增量，新鲜血液的加入进一步推高了锁仓量。

主持人：Defi领域的下一个机会在哪里？

Kevin:DeFi，目前已经有多个细分领域，包括借贷，交易，理财，保险，债券，合成资产，期权等。比较成熟的是前三类，也已经有了头部项目，比如Compound，AAVE,MakerDAO，Uniswap，Synthetix，YFI等。

随着近期安全事件的增多，保险显然是市场急需的产品，但目前的几个主流的保险项目，存在各种各样的问题，比如Nexus Mutual，赔付需要社区投票，而票掌握在几个大户手中，所以Nexus实际上是半中心化保险，很多保单无法赔付。

另外一种可能的机会就是将传统领域的金融理念引入区块链领域，比如优先劣后的债券，可以有效划分高风险和低风险用户，带来更丰富的应用场景，解决更复杂的问题。

主持人：能否跟我们分享下财富密码一般是如何找到的？

Kevin:你永远无法赚取超过你认知的钱，认知，决定了你的财富多少。在加密货币这个领域，这句话同样适用。而且这个领域有两大特点，技术和理念非常新，更新速度非常快。所以想要在这个领域赚取足够的财富，那么一定要不断的学习，不断的追踪。比如这轮DeFi挖矿，很多人没能在第一时间参与，就是因为缺乏这方面的学习。

其实，我也在不断的学习中。从相关的社群和文章了解到YFI，我就开始仔细研究DeFi的相关知识，也开始投入到相关的挖矿中。那时候在Uniswap上也有诸多的优质潜力币种，需要多加研究，才能区别并且参加。包括之前火爆的波卡系，存储系，也需要储备相关的知识，才能做到投资有理有据。

所以，关注优质社群，紧随行业发展，不断的学习，你就掌握了找到财富密码的办法。

主持人：DeFi领域安全问题频发，您作为专业开发者如何看待安全问题？

Kevin:安全问题可能是DeFi项目需要面临的最大挑战。今年四月份，Lendf.me平台（去中心化财务dForce项目的一部分）遭到黑客攻击并损失了2500万美元。dForce使用从Compound那里复制的代码，缺乏必要的审查，几乎没有安全检查或审计，也没有设计用于智能合约中可能存在漏洞的应急程序。

黑客攻击暴露了dForce团队缺乏完整的智能合约质量管理和研发系统以及风险预警机制。

如何控制安全风险呢？我觉得主要得从内部严控代码质量，外部严格代码审查，以及代码漏洞奖励三个方面来控制。

首先，项目内部原始编码和模拟测试是确保安全的基础。全面编写测试和迁移脚本是确保智能合约的安全和质量的快速有效的手段。提高代码覆盖率，使用Mainnet fork ganache进行模拟测试，进行代码缩减和持续集成测试。通过以上等措施，提高团队代码质量。

其次，选择精通DeFi技术的安全审核公司，帮助进行安全审计，将可以帮助发现在编码阶段可能被忽略的潜在问题。

最后，群众的力量是巨大的，借助社区的力量，发布代码漏洞赏金计划。邀请白帽黑客社区的成员奖励他们发现的安全漏洞。这将有助于发现和解决大量潜在的安全漏洞，从而减少黑客攻击的风险。

主持人：您作为Mercurity.Finance核心开发者，能否给粉丝朋友们介绍一下Mercurity？

Kevin:Mercurity是一个开放的互联互通的DeFi Platform，Mercurity协议是由若干组子协议矩阵组成的，每组子协议独立、可插拔、可组合，且彼此协同。

目前包括下面五个子协议：

Mercurity Swap协议

Mercurity Lend协议

Mercurity Insurance协议

Mercurity Bond协议

Mercurity SyntheticsAsset 协议

Mercurity一方面把DeFi的流动性通过链上智能路由链接起来，共享流动性和金融服务，另一方面，Mercurity把DeFi中的每一个流动池提升为可编程基金，并把每一个流动池社区化，让每一个流动池实现社区自治，让每一个流动池都成为Mercurity生态的有活力的组件。

Mercurity推动社区力量实现创新应用和推展新的市场，充分赋能社区，调动产业力量，将给用户创造独一无二的价值。

Mercurity社区使命：让金融服务垂手可得。

大家对Mercurity Defi矩阵感兴趣的，可以关注我们的media：

https://medium.com/mercurityfinance

主持人：Mercurity如何通过NFT+DAO建立行业护城河？

Kevin:现在的DeFi项目同质性非常严重，很多用户资金完全是逐利而来。我们不讨厌这种行为，但是我们依然在思考如何持续的为用户资产赋能，这里我们使用NFT+DAO的模式来持续为用户赋能。我们认为，NFT的作用是引入新资产，相对于原生区块链资产，Mercurity可以通过引入各种NFT资产，例如美国国债，黄金等，增加Mercurity  DeFi平台的资产类别，一站式解决用户的实际资产需求。

而DAO则是Mercurity的另一个杀手锏，DeFi去中心化金融讲的是更加的公正公开，Code is law，因此我们的项目治理是一个非常体现项目方水准的事情。我们积极鼓励Mee的代币持有者参与社区治理，共同发展Mee社区生态。我们在实际工作中也发现很多用户提出的建议非常的专业且诚恳，类似的各种合作策略，费率策略，我们Mercurity也愿与用户一起共同完善整个Mercurity生态。

主持人：最近的一起Cheese安全事故和Mercurity类似，你们如何防止这些问题？

Kevin:为了讨论这个问题，我们要首先弄明白“科学家”是如何利用闪电贷攻击的Cheese Bank。首先，攻击者首先通过 dYdX 闪电贷贷出  21,000 枚ETH，随后，在 UniswapV2 中将 50 枚WETH 兑换为 107,000 枚CHEESE (Cheese Bank 通证），此时 CHEESE 的单价为 0.00047 ETH/枚，攻击者剩余 20,950 枚ETH；接下来，攻击者在 UniswapV2 中抵押 107,000 枚CHEESE 和 78 枚ETH 来提供交易流动性，同时获得 UniswapV2 上自动生成的 UNI_V2 LP 凭证。UNI_V2 LP 凭证是流动性提供者（LP）在 UniswapV2 上提供流动性并提取相应资产的唯一质押凭证。此时攻击者剩余 20,871 枚ETH；攻击者进一步把所获取的抵押品 UNI_V2 LP 凭证转换为 sUSD_V2 凭证，这一步有利于攻击者以 UNI_V2 LP 凭证作为抵押品在 Cheese Bank 上贷出稳定币；随后，攻击者在 UniswapV2 中将 20,000 枚ETH 兑换为 288,000 枚CHEESE，这一步会影响 UniswapV2 上 CHEESE 池子的平衡，进而抬高 CHEESE 的价格，此时 CHEESE 的单价为 0.069 ETH/枚（相较于此前 0.00047 ETH/枚的价格提高了145倍），攻击者剩余 871 枚ETH（包含交易手续费）。CHEESE 单价的提高能够有效地提升抵押在 Cheese Bank 中 UNI_V2 LP 的价值，帮助攻击者提高在 Cheese Bank 中借贷加密资产的额度。值得注意的是，Cheese Bank 以流动性矿池 UNI_V2-CHEESE-ETH 中 WETH 的数量来衡量所对应的  UNI_V2 LP 凭证的价格，攻击者通过提高 UNI_V2 LP 凭证的价格能有效地贷出更多 USDC 、USDT 、DAI。最后，攻击者在 Uniswap V2 上将 288,000 枚CHEESE 转换为 19,980 枚ETH （包含手续费），为补足所贷的 21,000 枚ETH，他将 58,000 枚 USDC 转换为 132 ETH ，再加上剩余的 871 枚ETH（包含交易手续费）归还给 dYdX 闪电贷，一切就好像没有发生过一样。

总体来讲，攻击者通过重置喂价预言机来操纵 UNI_V2 LP 凭证的价格。

对于Mercurity来讲，为了避免类似的问题，我们将采取多方面措施。

1. 只针对主流币种推出借贷产品，对于小币种，将不会支持。

2. 预言机采用Dex和Cex的加权平均价，会剔除异常价格，使得攻击者难以控制币价。

3. 对大额交易进行报警，及时发现并填补漏洞。

主持人：最近闪电贷也是非常的火热，您如何看待闪电贷？

Kevin:最近一段时间，连续发生了多起因为闪电贷导致的攻击，比如起源协议Origin Protocol稳定币OUSD被爆出遭到闪电贷攻击。Harvest Finance、Akropolis、Value DeFi和Cheese Bank等项目也遭到了闪电贷攻击，其中Value DeFi项目损失了540万美元、Cheese Bank项目损失330万美元、Akropolis项目损失200万美元以及OUSD的700万美元。

闪电贷（flash loans）是 DeFi 生态的一种应用。我们知道 DeFi 有很多优势，但同时也存在结构性缺陷，DeFi 需要超额质押，这意味着资金利用率十分低下。而「闪电贷」允许借款人无需抵押资产即可实现借贷，从而极大提高资金利用率。

闪电贷就是在一笔链上交易中，即一个区块中完成借款和还款，无需抵押。闪电贷的功能是确保用户无需抵押来实现借还款，即如果资金没有返还，那么交易会被还原，即撤消之前执行的所有操作，从而确保协议和资金的安全。

由于一笔链上交易可以包含多种操作，使得开发者可以在借款和还款间加入其它链上操作，使得这样的借贷多了很多想象空间，但同时也埋下了巨大安全隐患。

很多用户恶意利用闪电贷借入、交换、存入并再次借入大量的Token，人为地在DEX里操纵Token价格。这出现了目前常见的闪电贷攻击。

闪电贷攻击自bZx攻击事件之后频繁发生，但是闪电贷攻击并不是DeFi生态中真正的系统性根源风险，究其根源在于Oracle（预言机）攻击，闪电贷攻击往往只是对Oracle的攻击。Oracle是连接链上DeFi应用和链下数据的中间件，由于使用去中心化的Oracle网络，在多个交易所中存在交易量和流动性差异，那就加大了Oracle攻击风险。

其实很多闪电贷攻击并不涉及到任何区块链及智能合约的漏洞安全问题，这让避免闪电贷攻击变得难以捉摸，攻击发生之时也没有太多时间留给项目反应。很多闪电贷套利事件发生的前提条件只是因为在不同的DEX中存在价格差。

那么，想要防止闪电贷，就要对症下药。有以下几个办法可以尝试：

第一，从控制价格差的角度思考，不同交易所之间建立价格同步机制或者采用同一种价格预言机，可以降低套利事件发生的概率；第二，从执行套利事件的智能合约角度思考，对涉及交易数目巨大的交易采取额外的验证步骤或者提高对该种交易的交易费用，会减少套利事件的发生。第三，只支持主流币种，深度较好的币种，加大闪电贷操作价格难度。