# 风险港Ozone白皮书

**Published by:** [Rabby](https://paragraph.com/@rabbywallet/)
**Published on:** 2022-05-08
**URL:** https://paragraph.com/@rabbywallet/ozone

## Content

摘要——风险港是一个去中心化金融（DeFi）的风险管理市场，它利用完全自动化、透明和公正的不变性检测机制，确保流动性提供者和投保人免受智能合约风险、黑客和攻击。风险港V1引入了一个由智能合约裁决的自动风险转移金融衍生品的协议。基于区块链的风险管理协议受到可用承保资金短缺的严重制约。风险港利用保险库解决了承保资金不足的问题。保险库持有的资本可同时用于为许多协议提供保护。除了保险库，我们还开发了一个为风险管理市场量身定做的自动做市商（AMM）。AMM以程序化方式感知风险，并对保护进行相应的定价。AMM还允许保险库进入杠杆头寸，这是为提供资本的用户产生竞争性回报的基本支柱。 Ⅰ. 引言 去中心化金融（DeFi）协议依靠用户的存款来正常运作。没有流动性提供者，我们就不会有Terraswap这样的去中心化交易所。没有贷款人，我们就不会有Mars这样的去中心化的货币市场。每当用户将资金存入一个协议时，都有不可忽视的风险，这些资金可能会丢失。已经有超过10亿美元的资金因为黑客、漏洞和攻击而损失；而这些损失事件的规模、范围和严重程度仍在成倍增加。 这些风险并不是DeFi独有的，传统金融的储户也面临着存款风险。但在传统金融中，有一些制度可以保护储户免受与他们的存款有关的风险。对于美国银行的储户来说，联邦存款保险公司（FDIC）为高达25万美元的存款提供保护。对于超过25万美元的存款，还有其他解决方案。传统金融的贷款人可以进入一个强大的风险转移金融衍生品市场，使他们能够抵消违约风险。然而，类似的结构在DeFi中还不存在。 基于区块链的去中心化保护第一次尝试，是依靠治理来评估索赔。这引入了一个巨大的利益冲突：那些持有治理代币的人往往正是协议中承保人的角色。因此，那些决定索赔有效性的人正在决定是否送出他们自己的钱来弥补损失。换句话说，他们有各种动机来拒绝索赔，无论索赔是否有效。真正的去中心化保护需要适当地调整激励机制。这意味着，评估一项索赔必须由其唯一利益是正确评估索赔的一方来完成，或者完全取消评估方。此外，基于治理的保护要求具有主观性的代理人对每项权利要求的有效性进行人工投票，这是对可扩展性的一个主要障碍。除非基于治理的保护协议找到可以像DeFi那样快速扩展的方法，否则它们最终会被淘汰。 风险港V1证明了具有主观性的代理人可以在索赔评估过程中被完全取消，并由专门为检测违约事件而设计的参数化智能合约作为替代。我们发现，通过检查链上的关键不变量，我们能够以完全客观和规范的方式确定一个协议是否被黑客攻击。这个过程比基于治理的索赔评估要快得多，而且明显消除了当治理代币持有人在协议中也拥有主要的承保资金份额时可能出现的不正当激励。此外，参数化保护可以适应规模化的数量。 II. Terra上的风险管理 A.UST 对UST稳定性的怀疑，使谨慎的投资者无法在Terra生态系统中获得丰厚的回报。提供保护以抵御UST贬值事件将达到双重目的。首先，它将使厌恶风险的投资者，能够在风险港Terra的保护下进入生态系统。其次，它将通过防止对稳定币的信心连带丧失来稳定UST本身的价格。通过积累稳定币和基元（如WBTC和WETH），风险港Terra将成为UST发生贬值时的最后买家。 B.Anchor Anchor上有竞争力的、稳定的回报吸引了大量的存款人。这些储户中的许多人都希望购买保护，但承保资金的供应几乎无法跟上需求。 对Anchor保护的大量需求必须尽快满足。在Terra上提供保护，将为生态系统带来一波新的用户，他们之前因为不确定他们的存款是否安全而被拒之门外。此外，这将通过防止对协议的信心连带丧失，来加强Anchor协议和更广泛的Terra生态系统。 C.Mirror Mirror资产的脱钩保护将允许厌恶风险的交易者使用合成资产建立可信的、受保护的外汇和股票交易所。清算保护可以保护合成资产铸造商免受剧烈波动风险和预言机操纵风险。 III. 风险港协议 A.索赔代币 DeFi协议中的存款通常由索赔代币表示，这些代币在存款发生时被铸造出来，并在提取底层资产时被销毁。例如，Anchor中的UST存款由aUST表示。风险港的自动索赔评估流程通过检查不同协议的关键不变量，检查索赔代币与发行这些代币协议的可赎回性。风险港V1白皮书对这一机制进行了更深入的解释。 B.不变量触发的买断 为了在风险港提出索赔，用户首先将索赔代币转移到协议中。如果索赔被认为是有效的，那么这些索赔代币就会被交换成承保代币。与用现金结算索赔相比，不变量触发的买断有许多优点。首先，它可以防止对违约检测器合约进行有利可图的操纵。即使是完全控制违约检测器的敌人，在底层协议没有被黑客攻击的情况下也无法获利。其次，它确保投保人必须实际能够取得不良资产来提出索赔，这使得机会主义者更难利用协议作为价格投机的工具，投机行为会使那些真正想利用协议进行保护的人花费更多成本。 C. Terra的初始部署 风险港Terra的第一次迭代将从保护Anchor协议开始。用于风险港Anchor池的违约检测器，将是已经部署在以太坊主网上的违约检测器的新应用。Anchor保险库最初不会有杠杆作用，因为它将只覆盖一个协议。支付机制将是一个不变量触发的买断，这意味着用户将用贬值的aUST交换适当数量的UST。 本文的其余部分将详细介绍风险港Ozone的未来计划。 IV. 多池保险库 资本效率对于风险转移市场至关重要。除非有大量的补贴，否则像贷款市场中存在的过度抵押解决方案将无法运作，因为承保商可以简单地自己承担风险并获得更高的回报，而不是为他人承担风险。这意味着，同样的承保资金必须用于同时承保许多不同协议的风险。这种方法的局限性在于，当所有的资金池同时被黑客攻击时，保险库就无法支付其所有的义务。这种局限的严重性取决于保险库对每个提供保护的协议之间蕴含风险的独立性。当风险是独立的，保险库发生违约事件的概率要比单个违约事件的概率低得多；然而，当一个协议的失败连带导致其他协议也失败时，这一点就不成立了。 在不久的将来，风险港将依靠一个保险库架构，将资金集中在一个中央保险库中，使其能够用于承保各种协议。违约检测器合约将被单独存储。每当提出索赔时，保险库将调用适当的违约检测器合约，如果违约检测器返回真值，即底层协议遭受损失事件，则进行赔付。 V. 自动做市商 我们的研究团队开发了一个专门为风险转移金融衍生品市场定制的风险感知自动做市商。它依靠的是现代投资组合理论中风险厌恶者的经典模型。特别的是，它的行为就像一个具有凹效用函数的预期效用最大化的代理人行为，下面给定与它提供出售保护的各种协议相关风险的一些模型。图1 风险厌恶者经典模型图1描述了一个具有凹效用函数u的风险厌恶者的经典模型。风险厌恶者的收入X是一个随机变量，它可以是概率为0.5的低值L，也可以是概率为0.5的高值H。厌恶风险的人愿意支付多少钱来购买保护，使他能一直得到H？这样做的预期收益将是(H-L)/2，这被称为精算公平价格。如果他只支付(H-L)/2，他将获得用红色表示的u(E[X])。在他为保护付费之前，他的期望效用是E[u(X)]，所以严格来说，他支付保险费更好。但是，他可以为保护支付比精算公平价格稍高的费用，并且仍然会有更好的结果。他支付的任何额外的保险费被称为风险溢价。在这种情况下，代理人愿意支付的最大风险溢价由图中的橙色线表示。 现在我们可以开始正式确定我们在第一段中所描述的内容，首先是一个风险模型的样子。令X=(X1,…,Xn)是一个由不一定独立、不一定同分布的随机变量Xi:Ω组成的集合,度量空间Ω范围为[-1,0]。这些随机变量代表了保险库提供保护的各种池子遭遇损失事件的模型。例如，假设保险库对一个协议提供保护，该协议有5%的概率被黑客攻击并丢失所有的存款，有95%的概率资金是安全的。那么与该资金池相对应的随机变量Xi将服从0～B(0.05)伯努利分布。本金损失的比例越大，随机变量的实现概率就越低。在没有池子i的资金损失的情况下，Xi=-1。为了便于记述，我们引入无风险资产X0≡1的概率模型，并将其纳入集合X=(X0,…,Xn)。 令A=(A1,…,An）为一个向量，存储协议的资产和负债。特别是，A1,…,An分别代表在池子1,…,n上购买的保护。为了便于记述，我们引入A0，它代表保险库持有的无风险资产的数量。 每当承保商存款时，A0将增加存款金额。每当从池子里购买保单时，A0将增加保费金额，Ai将增加名义保单规模。每当有索赔时，Ai将按索赔金额减少，A0将按赔付金额减少。 现在我们可以开始讨论我们希望AMM 能够满足的属性。首先，应该是这样的：对某一特定池子提供保护的边际成本在该池子的未到期保护中是增加的。同样，如果i池的黑客攻击与j池的黑客攻击至少有部分时间是重合的，那么i池的边际保护价格应该是随着j池的未到期保护金额增加的。在实践中，这应该意味着所有资金池的边际保护成本应该随着承保资金的增加而减少。最后，保护的边际价格应该总是至少是保护的精算公平价格，这样保险库就不会进行导致到期时资产低于预期的交易。这些属性可以在数学上表示如下: ·（自身边际成本递增）对所有i，如果Ai<A’i，那么·（对不相关的其他池子边际成本递增）对所有i和j, 如果supp(Xj)与supp(Xi)不相关且Aj<A’j，那么·（边际成本不低于精算公平价格）对所有i和任何A，令u:R+→R+是一个单调递增的凹函数。那么做市商是一个具有以下恒定函数的做市商：这可以用矢量符号等效地表示为定理V.1. 方程（1）中定义的AMM满足属性1-4 证明：见风险港V2白皮书 A.杠杆 杠杆情况和无杠杆情况的唯一区别是，在杠杆情况下保险库在到期时有一定概率是负资产。更具体地说，当AMM处于杠杆状态时， 我们有：换句话说，有一个非0的概率，保险库将不得不支付比它手里更多的保护费。这不是一个问题，只要u函数被适当地扩展到负实线上。许多常见的凹函数在负实数轴上的表现并不理想（如对数）。延伸的具体内容取决于u函数本身。明智的做法是把这些值看作是对某一规模违约的惩罚。 B. 价格随时间衰减 在一个有固定到期日的保险库中，由于部分危险期已经过去，保护的价值应该随着时间的推移而降低。为了适应这一点，我们用X=(X1,…,Xn)代替Xδ=(X1,δ,…,Xn,δ)。其中δ的范围为[0, 1]，代表已经过去的时间在保险库总寿命中的比例。每个Xi,δ代表已经过去δ时间的随机变量Xi。这个风险模型系列，定义了相应的恒定函数AMM系列：由于部分危险期已经过去，我们可以假设Xδ中风险的大小是随着δ递减的。因此，保护的价格应该随着δ递减。在期权市场上，这种随时间变化的价格衰减用θ表示。 VI. 风险引擎 如果像Compound和Aave一样两个不同的借贷协议存在于同一个网络上，那么Compound上的级联通货紧缩螺旋会导致Aave上的级联通货紧缩螺旋的可能性有多大？这些类型的问题对于管理在许多协议上提供保护的杠杆式保险库来说是极其重要的。作为风险港研究工作的一部分，我们已经投入了大量的时间来建立跨DeFi协议群的通用风险模型。已有研究对单个协议所涉及的风险编写了有价值的报告；然而，对于这些单个协议的风险如何相互关联，却没有什么研究。我们的方法是利用结构建模和依赖图，将系统依赖性和跨协议级联故障的信息纳入我们的风险模型。 随着我们在跨协议依赖性方面的研究，我们对可能导致DeFi协议损失事件的风险类型进行了有用的划分。我们定义了三大类风险：合约风险、治理风险和结构风险。 合约风险指的是错误的智能合约、不适当的许可功能，以及在进行智能合约安全审查中可能发现的所有类型的风险。 治理风险指的是与合约所有者相关的风险。合约所有者可以是一个单独的钱包，一个多身份的保险库，甚至是一个成熟的DAO。最常见的治理风险类型是卷款潜逃和私钥被盗。 结构风险指的是代码按预期运行的损失事件，它可能在没有恶意行为者控制合约本身的情况下发生。常见的例子包括预言机故障、闪存贷款攻击、通货紧缩螺旋和无常损失。 将结构模型与风险空间一起划分为这三类，使我们能够对许多类型的风险进行计算建模，并允许我们对跨协议的相关风险进行建模。 VII. 治理和代币经济学 风险港代币将在风险港Terra V1推出后发行。治理代币持有人将为协议做出关键的宏观决策，但不会参与微观层面的定价和杠杆决策，这些将由市场自己决定。这些宏观决策包括但不限于： 1）调整风险参数 2）将新协议列入白名单 3）创建新的保险库 4）调整保险库的风险容忍度 5）征收和调整协议费用 VIII. 免责声明 本文件仅用于一般信息目的。它不构成投资建议以及购买或出售任何投资的建议或推荐，也不应被用于评估做出任何投资决定的优劣。不应将其作为会计、法律或税务建议以及投资建议的依据。本文反映了作者当前的意见，不代表风险港或其附属机构，也不一定反映风险港、其附属机构或与之相关的个人的意见。本文所反映的意见可能会有变化而未被更新。

## Publication Information

- [Rabby](https://paragraph.com/@rabbywallet/): Publication homepage
- [All Posts](https://paragraph.com/@rabbywallet/): More posts from this publication
- [RSS Feed](https://api.paragraph.com/blogs/rss/@rabbywallet): Subscribe to updates
- [Twitter](https://twitter.com/liuminlm6): Follow on Twitter