bocaibocai.ethDAI的8%超额“无风险利率”怎么来的?
就在今天,MakerDAO正式将旗下借贷协议Spark Protocol的DAI存款利率调整为8%,这可是高于现在美债收益率的稳定币“无风险利率”,不禁让人怀疑这高收益的背后难道是庞氏模型? 菠菜来聊聊这8%的“无风险”收益从何而来?这背后是不是庞氏模型?这个收益是否可持续?MakerDAO为什么要这样做?局限于个人认知,如有错误欢迎指出,不构成任何投资意见。 8%的“无风险”收益从何而来? RWA一直是最近行业热烈讨论的话题,而MakerDAO因为引入大量RWA资产成为了大家非常关注的一个RWA概念项目,关于MakerDAO为什么要引入RWA资产的逻辑可以看这篇文章。 https://mirror.xyz/bocaibocai.eth/i2W73H6Uvk97e-cZzZJMoVXjBRNNgu8QiaCwpW8vKz8 简单来说,MakerDAO引入RWA资产的目的是借助外部信用的能力使其背后支持的资产多元化,并且借助美国国债带来的长期额外收益可以帮助 DAI 稳定自身汇率,增加发行量的弹性,并且在资产负债表中掺入美国国债的成份可以降低 DAI 对 USDC 的依赖程度,减少...
bocaibocai.eth"货币视角下的MakerDAO: 理解RWA美债资产引入的深层含义"
作为 DeFi(去中心化金融)界的领头羊,MakerDAO 一直对美国国债心心念念。自从2020年MakerDAO将RWA(现实世界资产)正式纳入战略发展方向之后,MakerDAO前前后后已经买下近12亿美国国债,为什么去中心化世界的DeFi协议要引入现实世界的资产?这背后有何用意?引入美债后创造DAI(MakerDAO推出的代币)和美联储创造货币性质一样吗? 要回应这些问题,我们需要从货币的本质说起。 本文将会从货币的视角开始,从货币的本质到央行-商业银行的二元结构带入到 MakerDAO 的资产负债表结构中,带大家探讨和理解 MakerDAO 引入美债资产背后的意义。 作者:DrSamo(Twitter: @BirkSamo)、菠菜菠菜!(Twitter: @wzxznl) 来源:歪脖三观目录什么是货币?货币的本质是什么?国家法律支持的一种抽象价值单位 一个社会成员相互交易时跟踪和记录信用或债务余额的记账体系 债权人将特定债券关系转移到第三方的标准化表征(Token)货币是如何被创造的?货币的种类-高能货币和信用货币 中央银行-商业银行的二元结构 货币创造的过程Makerda...
bocaibocai.eth一文读懂AAVE—”去中心化银行“
信贷是经济机器的运行中最重要的组成部分之一,贷款人希望钱能生出利息,借款人想购买当前无法负担的某种东西,贷款人以及借款人双方基于信任产生借贷关系。信贷也是传统金融中银行的主要收入来源,人们将手中的资金存入银行来获取利息回报,银行再把人们存进来的钱借给需要资金的借款人,以收取更高的利息从而赚取这两者之间的利息差,大规模的信贷都是由银行这个中心化机构来完成的,但在区块链技术的飞速发展下人类的信贷模式迎来了一场全新的变革。去中心化的”银行“—AAVE诞生了。银行模式最早可以追溯到公元前2000年巴比伦,那时的寺庙就已有经营保管金银、发放贷款、收取利息的活动,在公元前500年的希腊,公元前400年的雅典和公元前200年的罗马帝国,都可以找到原始银行的雏形,人类持续了几千年的传统信贷模式,在去中心化“银行”AAVE诞生后,人类居然可以做到不需要一个中心化的机构也可以实现大规模的信贷并保障借贷双方的资金安全以及供需之间的平衡。 *本文章仅为个人分析,不构成任何投资意见,如出现不正确的内容欢迎各位指出 作者:菠菜菠菜目录一.AAVE—Defi借贷王者(一)什么是AAVE? (二)AAVE如何颠...
没事瞎研究 推特@wzxznl
bocaibocai.ethDAI的8%超额“无风险利率”怎么来的?
就在今天,MakerDAO正式将旗下借贷协议Spark Protocol的DAI存款利率调整为8%,这可是高于现在美债收益率的稳定币“无风险利率”,不禁让人怀疑这高收益的背后难道是庞氏模型? 菠菜来聊聊这8%的“无风险”收益从何而来?这背后是不是庞氏模型?这个收益是否可持续?MakerDAO为什么要这样做?局限于个人认知,如有错误欢迎指出,不构成任何投资意见。 8%的“无风险”收益从何而来? RWA一直是最近行业热烈讨论的话题,而MakerDAO因为引入大量RWA资产成为了大家非常关注的一个RWA概念项目,关于MakerDAO为什么要引入RWA资产的逻辑可以看这篇文章。 https://mirror.xyz/bocaibocai.eth/i2W73H6Uvk97e-cZzZJMoVXjBRNNgu8QiaCwpW8vKz8 简单来说,MakerDAO引入RWA资产的目的是借助外部信用的能力使其背后支持的资产多元化,并且借助美国国债带来的长期额外收益可以帮助 DAI 稳定自身汇率,增加发行量的弹性,并且在资产负债表中掺入美国国债的成份可以降低 DAI 对 USDC 的依赖程度,减少...
bocaibocai.eth"货币视角下的MakerDAO: 理解RWA美债资产引入的深层含义"
作为 DeFi(去中心化金融)界的领头羊,MakerDAO 一直对美国国债心心念念。自从2020年MakerDAO将RWA(现实世界资产)正式纳入战略发展方向之后,MakerDAO前前后后已经买下近12亿美国国债,为什么去中心化世界的DeFi协议要引入现实世界的资产?这背后有何用意?引入美债后创造DAI(MakerDAO推出的代币)和美联储创造货币性质一样吗? 要回应这些问题,我们需要从货币的本质说起。 本文将会从货币的视角开始,从货币的本质到央行-商业银行的二元结构带入到 MakerDAO 的资产负债表结构中,带大家探讨和理解 MakerDAO 引入美债资产背后的意义。 作者:DrSamo(Twitter: @BirkSamo)、菠菜菠菜!(Twitter: @wzxznl) 来源:歪脖三观目录什么是货币?货币的本质是什么?国家法律支持的一种抽象价值单位 一个社会成员相互交易时跟踪和记录信用或债务余额的记账体系 债权人将特定债券关系转移到第三方的标准化表征(Token)货币是如何被创造的?货币的种类-高能货币和信用货币 中央银行-商业银行的二元结构 货币创造的过程Makerda...
bocaibocai.eth一文读懂AAVE—”去中心化银行“
信贷是经济机器的运行中最重要的组成部分之一,贷款人希望钱能生出利息,借款人想购买当前无法负担的某种东西,贷款人以及借款人双方基于信任产生借贷关系。信贷也是传统金融中银行的主要收入来源,人们将手中的资金存入银行来获取利息回报,银行再把人们存进来的钱借给需要资金的借款人,以收取更高的利息从而赚取这两者之间的利息差,大规模的信贷都是由银行这个中心化机构来完成的,但在区块链技术的飞速发展下人类的信贷模式迎来了一场全新的变革。去中心化的”银行“—AAVE诞生了。银行模式最早可以追溯到公元前2000年巴比伦,那时的寺庙就已有经营保管金银、发放贷款、收取利息的活动,在公元前500年的希腊,公元前400年的雅典和公元前200年的罗马帝国,都可以找到原始银行的雏形,人类持续了几千年的传统信贷模式,在去中心化“银行”AAVE诞生后,人类居然可以做到不需要一个中心化的机构也可以实现大规模的信贷并保障借贷双方的资金安全以及供需之间的平衡。 *本文章仅为个人分析,不构成任何投资意见,如出现不正确的内容欢迎各位指出 作者:菠菜菠菜目录一.AAVE—Defi借贷王者(一)什么是AAVE? (二)AAVE如何颠...
没事瞎研究 推特@wzxznl
Share Dialog
Share Dialog
Subscribe to bocaibocai.eth
Subscribe to bocaibocai.eth
<100 subscribers
<100 subscribers
明明只是签了个名,我的钱怎么没了呢??“签名钓鱼”目前正成为了Web3的黑客们最喜欢的钓鱼方式,最近看余弦大佬和各大钱包和安全公司都在不断宣传科普钓鱼签名的知识,但是每天还是有好多人被钓鱼。
菠菜认为其中一个原因就是大部分人对钱包交互的底层逻辑并不了解,并且对于不懂技术的人来说学习门槛过高,所以菠菜决定出一个图解版科普签名钓鱼的底层逻辑,并且尝试用最大白话的形式让不懂技术的人也能看明白。
首先我们要知道我们使用钱包一共只有两种操作:“签名”和“交互”。最简单直接的理解就是:签名是发生在区块链之外的(链下),不需要花Gas费的;交互是发生在区块链上面的(链上),是需要花Gas费的。
一般签名的使用场景是为了验证你是你,比如登入钱包,就像你如果要去Uniswap换Token的话,你需要先链接你的钱包,那么这个时候你就需要签一个名告诉网站“我是这个钱包的拥有者”,然后你就可以使用Uniswap了,这个步骤对区块链不会有任何数据或者状态上的变化,所以不需要花钱。
而交互的话就是当你要真正在Uniswap上换Token的时候,你需要先花一笔钱告诉USDT的智能合约:“我要用100USDT换一个菠菜币,我批准Uniswap可以挪动我的100USDT”,这个步骤就叫做授权(approve),然后你还要再花一笔钱告诉Uniswap的智能合约:“我现在要用100USDT换一个菠菜币了,你现在可以进行操作了”,然后你就完成了用100USDT换一个菠菜币的操作。
简单理解签名和交互的区别之后,我们就来介绍一下钓鱼的原理,菠菜会列举三个不同的方式:授权钓鱼、Permit签名钓鱼和Permit2签名钓鱼,这三个是非常常见的钓鱼方式。
咱们先讲授权钓鱼,这是以前Web3最经典的钓鱼手法之一,顾名思义就是利用授权(approve)这个机制,之前Uniswap的例子告诉我们,授权就是告诉智能合约“我批准你挪动我多少xxx的Token”,那么黑客就可以做一个假的钓鱼网站,有着精美的前端伪装成一个NFT项目,网站中间是一个漂亮的大按钮“领取你的空投”,实际上你点了之后钱包弹出来的界面实际上是让你授权你的Token给黑客的地址,那么这时候如果你点了确认,那么就恭喜黑客成功完成一个KPI了。
但是授权钓鱼有一个问题:因为要花Gas费,现在很多人在涉及到花钱的操作上会有所警惕,在陌生网站点击之后稍微一看就会发现不对劲,还是比较好防范的。
那么接下来就来到了今天的主角:Permit和Permit2签名钓鱼啦,是Web3资产安全领域的重灾区,为什么这么难防呢?因为每次你要使用一个Dapp之前一定要签名登入你的钱包,在许多人脑子里可能已经形成了一种惯性思维:”这个操作是安全的”,再加上不需要花钱和大多数人不知道每个签名背后意味着什么。
我们先来看Permit机制,Permit是针对ERC-20标准下授权的一个扩展功能,像我们平常用的USDT就是ERC-20,简单来说就是你可以签名批准其他人来挪动你的Token,我们知道授权(Approve)是你花钱告诉智能合约:“你可以挪动我xxx数量的Token”,那么Permit就是你在一张“条子”上签了个名给某一个人,这个纸上写着:“我允许某某某可以挪动我xxx数量的Token”,然后这个人拿着这个“条子”给智能合约并花一笔Gas费告诉智能合约:“他允许我挪动他xxx数量的Token”,然后你的钱就可以被其他人挪走了,在这个过程中你只是签了一个名,而背后却意味着你允许其他人去调用授权(Approve)并转走你的Token,黑客可以做一个钓鱼网站,把登入钱包的按钮替换成Permit钓鱼,那么就可以轻轻松松把你的资产钓走啦。
那么Permit2又是什么呢?Permit2其实并不是ERC-20的一个功能,而是Uniswap为了方便用户推出的一个功能,之前的例子讲了你要在Uniswap上用USDT换菠菜币你需要先授权(Approve)一次,然后再进行兑换,这需要花两笔Gas费,所以Uniswap就想了个办法:“你一次性把额度全部授权给我好了,每次兑换你签个名我就给你处理了”,这个功能帮助Uniswap用户使用的时候只需要支付一次Gas费即可,并且这个步骤是签名,所以Gas费其实不是你付的,而是Permit2合约代付了,但是会从你最终兑换的Token里扣除掉。
但是中Permit2钓鱼的条件是你曾经使用过Uniswap,并且你还授权了无限额度给Permit2智能合约,由于目前Uniswap默认的操作就是无限额度授权,所以其实满足该条件的用户数量还是蛮大的,同样黑客只要骗你把名签了就可以把你的Token转走(仅限给过授权的)。
总结一下,授权钓鱼的本质是你花一笔钱告诉智能合约:“我批准你挪用我的Token给黑客”,签名钓鱼的本质是你签了一张允许别人去挪动你资产的“条子”给到黑客,黑客花钱告诉智能合约:“我要挪用他的Token转给我”。Permit和Permit2是目前钓鱼签名的重灾区,Permit是ERC-20的一个授权扩展功能,Permit2是Uniswap推出的一个新功能。
那么理解了原理,怎么防范呢?
1.首先最最重要的就是培养你的安全意识,每一次钱包的操作都要去检查一下你在做的操作到底是什么?
2.大资金和玩链上的钱包分离,一旦被钓鱼了可以把损失降到最低
3.学会识别Permit和Permit2的签名格式,只要你看到以下签名格式,那你就要警惕起来了:
Interactive:交互网址
Owner:授权方地址
Spender:被授权方地址
Value:授权数量
Nonce:随机数
Deadline:过期时间
明明只是签了个名,我的钱怎么没了呢??“签名钓鱼”目前正成为了Web3的黑客们最喜欢的钓鱼方式,最近看余弦大佬和各大钱包和安全公司都在不断宣传科普钓鱼签名的知识,但是每天还是有好多人被钓鱼。
菠菜认为其中一个原因就是大部分人对钱包交互的底层逻辑并不了解,并且对于不懂技术的人来说学习门槛过高,所以菠菜决定出一个图解版科普签名钓鱼的底层逻辑,并且尝试用最大白话的形式让不懂技术的人也能看明白。
首先我们要知道我们使用钱包一共只有两种操作:“签名”和“交互”。最简单直接的理解就是:签名是发生在区块链之外的(链下),不需要花Gas费的;交互是发生在区块链上面的(链上),是需要花Gas费的。
一般签名的使用场景是为了验证你是你,比如登入钱包,就像你如果要去Uniswap换Token的话,你需要先链接你的钱包,那么这个时候你就需要签一个名告诉网站“我是这个钱包的拥有者”,然后你就可以使用Uniswap了,这个步骤对区块链不会有任何数据或者状态上的变化,所以不需要花钱。
而交互的话就是当你要真正在Uniswap上换Token的时候,你需要先花一笔钱告诉USDT的智能合约:“我要用100USDT换一个菠菜币,我批准Uniswap可以挪动我的100USDT”,这个步骤就叫做授权(approve),然后你还要再花一笔钱告诉Uniswap的智能合约:“我现在要用100USDT换一个菠菜币了,你现在可以进行操作了”,然后你就完成了用100USDT换一个菠菜币的操作。
简单理解签名和交互的区别之后,我们就来介绍一下钓鱼的原理,菠菜会列举三个不同的方式:授权钓鱼、Permit签名钓鱼和Permit2签名钓鱼,这三个是非常常见的钓鱼方式。
咱们先讲授权钓鱼,这是以前Web3最经典的钓鱼手法之一,顾名思义就是利用授权(approve)这个机制,之前Uniswap的例子告诉我们,授权就是告诉智能合约“我批准你挪动我多少xxx的Token”,那么黑客就可以做一个假的钓鱼网站,有着精美的前端伪装成一个NFT项目,网站中间是一个漂亮的大按钮“领取你的空投”,实际上你点了之后钱包弹出来的界面实际上是让你授权你的Token给黑客的地址,那么这时候如果你点了确认,那么就恭喜黑客成功完成一个KPI了。
但是授权钓鱼有一个问题:因为要花Gas费,现在很多人在涉及到花钱的操作上会有所警惕,在陌生网站点击之后稍微一看就会发现不对劲,还是比较好防范的。
那么接下来就来到了今天的主角:Permit和Permit2签名钓鱼啦,是Web3资产安全领域的重灾区,为什么这么难防呢?因为每次你要使用一个Dapp之前一定要签名登入你的钱包,在许多人脑子里可能已经形成了一种惯性思维:”这个操作是安全的”,再加上不需要花钱和大多数人不知道每个签名背后意味着什么。
我们先来看Permit机制,Permit是针对ERC-20标准下授权的一个扩展功能,像我们平常用的USDT就是ERC-20,简单来说就是你可以签名批准其他人来挪动你的Token,我们知道授权(Approve)是你花钱告诉智能合约:“你可以挪动我xxx数量的Token”,那么Permit就是你在一张“条子”上签了个名给某一个人,这个纸上写着:“我允许某某某可以挪动我xxx数量的Token”,然后这个人拿着这个“条子”给智能合约并花一笔Gas费告诉智能合约:“他允许我挪动他xxx数量的Token”,然后你的钱就可以被其他人挪走了,在这个过程中你只是签了一个名,而背后却意味着你允许其他人去调用授权(Approve)并转走你的Token,黑客可以做一个钓鱼网站,把登入钱包的按钮替换成Permit钓鱼,那么就可以轻轻松松把你的资产钓走啦。
那么Permit2又是什么呢?Permit2其实并不是ERC-20的一个功能,而是Uniswap为了方便用户推出的一个功能,之前的例子讲了你要在Uniswap上用USDT换菠菜币你需要先授权(Approve)一次,然后再进行兑换,这需要花两笔Gas费,所以Uniswap就想了个办法:“你一次性把额度全部授权给我好了,每次兑换你签个名我就给你处理了”,这个功能帮助Uniswap用户使用的时候只需要支付一次Gas费即可,并且这个步骤是签名,所以Gas费其实不是你付的,而是Permit2合约代付了,但是会从你最终兑换的Token里扣除掉。
但是中Permit2钓鱼的条件是你曾经使用过Uniswap,并且你还授权了无限额度给Permit2智能合约,由于目前Uniswap默认的操作就是无限额度授权,所以其实满足该条件的用户数量还是蛮大的,同样黑客只要骗你把名签了就可以把你的Token转走(仅限给过授权的)。
总结一下,授权钓鱼的本质是你花一笔钱告诉智能合约:“我批准你挪用我的Token给黑客”,签名钓鱼的本质是你签了一张允许别人去挪动你资产的“条子”给到黑客,黑客花钱告诉智能合约:“我要挪用他的Token转给我”。Permit和Permit2是目前钓鱼签名的重灾区,Permit是ERC-20的一个授权扩展功能,Permit2是Uniswap推出的一个新功能。
那么理解了原理,怎么防范呢?
1.首先最最重要的就是培养你的安全意识,每一次钱包的操作都要去检查一下你在做的操作到底是什么?
2.大资金和玩链上的钱包分离,一旦被钓鱼了可以把损失降到最低
3.学会识别Permit和Permit2的签名格式,只要你看到以下签名格式,那你就要警惕起来了:
Interactive:交互网址
Owner:授权方地址
Spender:被授权方地址
Value:授权数量
Nonce:随机数
Deadline:过期时间
No activity yet