与此同时，在所有的合约风险类型中，疏忽的合约漏洞如果算是无法避免的“概率性天灾”，那恶意设计的骗局则是彻底无法避免的“人祸”，尤其是在没有自带合约审计的前提下，一旦用户不加考察地将资产转入，就无异于给“黑客“送钱。

有人揭露了最近的一个典型流动性挖矿圈套，该项目在用户第一次授权时是给了stakingcontract，但它还进一步在第二次授权时要求用户授权给他们转账权（transferFrom函数授权）。

“要是没看合约的，估计大部分韭菜就无脑授权了。这种情况下你把钱从合约里面拿走都没用，需要手动取消授权，真的是杀猪盘中的杀猪盘，估计很多韭菜还死的不明不白”，包括文章开头提到的流动性挖矿项目chick，后续就被发现团队向合约中打的第一笔资金是通过Tornadocash匿名币进行转账，也极大可能是从一开始做的一个局。

而在目前的火热“挖矿”氛围下，这种类似的骗局只多不少，因而看似狂飙猛进的DeFi，更像是将百亿美元金山放在露天不设防环境下的“火中取栗”游戏。

作为托管着近百亿美元资产的一堆互相嵌套的协议代码，DeFi已经有足够底气去逐步承担起变革的可能，在绝大多数的“区块链”眼中，它也在一步步成为拥有无限可能的“希望之地”。

但它需要走的更加稳健，“希望之地”变成“万恶之源”的，仅一线之隔。

03去中心化保险方兴未艾，能否为DeFi保驾护航？

在DeFi世界中，智能合约本身就意味着一切，而合约代码中的任何一项漏洞都有可能直接造成致命的后果。不同于传统世界中较为清晰的理赔逻辑与权责划定，智能合约本身的保险尝试则才刚刚起步。

以去中心化保险NexusMutual（NXM）为例，作为建立在以太坊网络上的互助保险项目，NXM是目前区块链生态中最先也是几乎唯一一个相对较为成熟“智能合约保险”产品，目前总锁仓价值在所有DeFi项目中排名14（7800万美元），也是唯一上榜的去中心化保险项目。

作为以智能合约为保险标的的保险产品，NXM保险责任明确为“代码的非预期使用（unintendedusesofcode）”。在具体的使用流程中，用户通过需要先通过KYC成为会员后方可以支付对应的DAI、Ether或NXM购买该保险产品（如果用DAI、Ether支付，系统后台会自动将它们兑换成NXM代币支付）。

其中90%的NXM用于购买保险后销毁，剩下10%，当指定的智能合约遭到黑客攻击时，投保的会员可以进行索赔从而挽回损失，如果不索赔，则会返还给用户。

“bZx事件”也是NXM理赔通过的典型案例，初步自证了NXM这类去中心化保险在防范用户表智能合约风险方面的有益尝试。

不过目前DeFi领域的去中心化保险，相较于已经颇为成熟的传统保险业态，还处在一种探索的早期阶段——索赔事件发生后需要进行索赔治理，但在去中心保险中，结合代币治理模型，索赔请求恰好与拥有决定是否进行理赔权力的持币人站在利益对面。 (责任编辑：admin)