从“乐高玩具”走向“开放金融”，DeFi欠缺一个系统风控方案

defi是Decentralized Finance一词的缩写，也就是“去中心化+金融”，它是一个由多方决策，不依赖于中心化集权的金融系统。去中心化不是目的，而是手段，真实愿景是由基于代码信任，由各个金融乐高组合和演化后，最终形成的开放金融市场。

但就DeFi的现状来说，它充其量是一个“乐高玩具”，既不开放，也不安全。DeFi目前至少存在3个短板：风控、流动性、治理。

1． 风控：由于开发者各自为营，DeFi生态目前缺乏整体风控的设计。最近出现的攻击事件，呈现出的特点是攻击者十分熟悉以太坊 DeFi 生态的产品，以及它们之间的组合影响。比如，利用 synthetix在sUSD 方面的无限制，并清晰洞察到bZx严重依赖于Uniswap 的喂价，从而通过uniswap操纵价格套取利润。

2． 流动性：由于链与链是分离的，即使同一个DeFi应用，也不得不在各自链上重新部署。用户和资产割裂导致流动性匮乏。9成DeFi项目聚集在以太坊上，系统受单一资产波动影响，因而非常脆弱。在3.12惨案的极端行情下，DEX大面积穿仓，以太坊网络拥堵、手续费高昂。致使市场失灵，用户根本买不到DAI，出现大幅溢价。

3． 治理：猝不及防的危机之后，往往要修正规则。比如MakerDao最近面临的清算问题以及bZx被盗后资金是否可以在Compound冻结的问题。由于“Code is law”，就涉及到如何修改，以及如何决定修改的规则。去中心化社群逃不开治理话题，不仅仅是单一DeFi项目，还有承载DeFi的公链，它们的治理模式都会影响到整个生态的安全。

下面我们依次剖析这3件事，并说明MOV的解决方案。

兼具风险预测与风险控制，至少扛住10年风险

风控，主要体现在合约审计、金融套利漏洞发现、市场风险预测以及整体系统风险控制四个方面的风险管理。当一个 DeFi生态有 n 个重要应用时，风险复杂度考量应该是 2 的 n 次方，最近DeFi生态发生的攻击事件已经充分说明了整体系统风控的重要性。DeFi要想对标现代金融体系，就要像它一样稳定，能够抗得住至少十年风险。

以太坊作为最早的探路者，生态瞬时爆发了许多类型的DeFi应用，但在整理风控方面缺乏组织力量，只有等不断爆出攻击后再被动修补。这为后起之秀积累了经验，以便演绎各个组合之间的金融套利，提前开展繁琐而艰辛的排查工程。比如DeFi攻击中经常被利用的预言机，一些应用过于依赖外部预言机的喂价。MOV基于自洽自驱动的链上价值交换生态参数和数据，形成自有的去中心化金融预言机，数据的输入、变换和输出完全链上运转，规则透明，为生态扩大和DeFi应用繁荣提供安全可靠的客观数据服务。

MOV是一种融合去中心化交易协议、借贷、稳定金融系统、金融衍生品市场的综合性组合金融体系，我们称之为 S.O.L.D 金融体系（StableCoin，Oracle，Lending，DeFi）。MOV跟以太坊 DeFi 生态一样开放和自由，在大部分情况下是允许协议间自由调用的，包括非官方的 DeFi 产品和项目。但是，MOV 也是一个对生态风控特别重视的 DeFi 体系。与以太坊不同的是，它会对劣质的DeFi项目做出风险判断和预警。对于恶意的DeFi产品或者高风险的项目，MOV会从整体生态风控的角度适当限制其对基础性DeFi设施（比如MOV稳定币系统）的无缝调用，避免其因自身风险问题导致一连串的连锁灾难，影响到MOV金融基础设施和其他项目方的产品。

风险预测和风险控制是一体两面，风险预测是对潜在危机的预判，以便提前做好准备，风险控制是当危机发生后，系统是否还能扛得住。

风险预测，就是要利用现代金融非常成熟和可实战的理论和方法去预测市场风险。最直观的就是这次极端行情下，大多数DeFi都越过了抵押率开始大范围爆仓，而抵押率的设置就是一个DeFi对市场风险的实时把控，这一点 MOV投入了很大的重视和技术建设。

风险控制，假如发生了爆仓、流动性危机，是否还有手段去做最后的防线？为此，MOV设计了颇具特色的三层清算体系：Level 1为市场套利清算，Level 2为系统整体清算，Level 3为风险债券清算。MOV 内部性稳定机制是建立在风险清算和风险债券的基础之上，既鼓励市场参与清算套利的自发应对风险行为，同时为了降低对用户的损失和抵御黑天鹅事件，MOV 保留系统和官方层面的风险干预行为和储备机制。所以MOV的定位是稳定金融体系，而不单指稳定币。

跨链是解决流动性的根本，本质是资产映射

DeFi的流动性体现在去中心化交易协议、借贷、保证金交易、稳定币等方方面面。一旦流动性出现问题，就会引发挤兑危机、加重市场恐慌抛盘，引发连锁灾难。流动性最好的地方是中心化交易所。但它依赖中心化组织以信誉和资产担保，资产的控制权不在用户手中，流量造假、价格操纵甚至增发代币都是公开的秘密。

去中心化流动性解决方案就是跨链，跨链的本质是资产映射。如果DeFi建立在跨链生态上，一切都会变得不一样，每个应用只需部署一次，就可以为链上的所有用户提供服务，而用户也可以通过资产跨链自由使用所有资产。完备的跨链机制会形成良好的网络效应和互操作，使得多样性资产融合和协作更加去边界和无缝化，是一个复杂异构生态的关键性入口。

Polkadot和Cosmos是最富盛名的跨链项目，二者都属于基于PoS治理的大中继架构。但在解决流动性这件事上，基于智能合约的侧链中继协议对接入概率性终局公链(例如比特币)并不合适，会导致跨链交易确认时间漫长，影响用户体验，该模式也会面临数据可用性维护和多资产扩展成本较高的问题。

网关机制则是一个被实际场景检验过的高效可实用机制，网关起到了建立跨链信任背书、统一跨链通信协议、协调主侧链交易确认的重要作用。在实际场景里，跨链网关会面临中心化运营的弊端，导致跨链协作无法完全去信任，互操作性不高，进而影响流量、应用和开发者生态的扩大，因此打造一种开放式低成本标准化的去中心化跨链网关机制显得意义深远。

MOV协议中的跨链网关Federation，是由生态关键参与方在合理的经济模型和业务攸关驱动下形成的共治共管的联盟性网关网络系统。它有效解决了传统跨链网关的去信任托管协作和主流资产标准化接入问题，为多样性资产跨链协作生态提供高效的互操作机制和流量入口。

MOV提出，一个完备的基于开放式网关的跨链协议大致需要满足以下四点设计要素: (1)网关的去中心化治理，即跨链和资产托管的去信任; (2)跨链事件真实性证明，通过维护轻节点同步区块头机制对跨链交易的存在和确认进行验证; (3)统一跨链协议的数据格式，确保整个跨链路由环节的原子性和安全性; (4)跨链消息有效性证明，通过巡查官等监督机制防止极端作恶情况发生。

慎用复杂治理，以防用经济攫取政治权益

跨链交互中涉及到的一个重要治理问题，如何防止侧链验证人集体作恶？Cosmos 侧链是自治的系统，侧链验证人的选举由侧链决定；Polkadot 侧链验证人的管理由Polkadot主链决定。但无论是自治验证人选举还是统一验证人选举，如果跨链交互中的资产实际价值大于验证人抵押的价值，验证人就会有足够的动力去作恶。

Polkadot和Cosmos都依赖自身的经济模型和原生代币解决跨链协作中的作恶和激励问题。引入新发的治理Token，是在用经济攫取政治权益，最后一定会随着政治走向死亡。尤其是闪电贷这种方式，可以轻易获得大量治理权益，这就不仅仅是金融套利了，更是整个系统性大风险。而且，重模式方案会面临复杂的治理结构，对诚实节点和恶意节点的判定边界往往做不到完全清晰，治理的波动进而会影响跨链协作的效率，并不利于其他主流公链在初期建立起各自的跨链生态。

MOV 生态治理的最大手段就是慎用治理，希望可以在不新发治理Token的方式下依然做好一个十分“治理”的生态，这是一个很大的挑战。OFMF是一种基于跨链资产协作需求的新型联合资产托管模式或协同服务，与各联邦节点成员共同营造安全的分布式跨链资产托管系统。

联邦节点的安全取决于MOV生态激励的经济制衡，它设定了六种角色，在不同发展阶段始终保持成本和收益比的动态平衡。六种角色之间经济行为紧密配合，形成一个完备的生态协作体，让权力可以分开分散并易于扩展，同时能安全高效地完成每次协作。联邦节点分管不同的私钥和私钥份额，运行各自的节点，在门限签名同步网络和多签异步网络里协同签署交易，通过组合门限权力和多签权力，可以进一步防范权力风险，在自动化协作的基础上保留人工审核的最后环节。

由此可见，DeFi要想从“乐高玩具”走向“开放金融”，需要更广泛的市场流动性，而广泛流动性和丰富产品组合将给系统风控带来巨大挑战。这既需要先见之明的风控措施，对风险预测和风险防控做两手准备，也需要通过治理结构，妥善处理意料之外的危机。而复杂治理本身可能给风控带来潜在挑战，也可能在一定程度上对流动性造成阻碍。最终，这是一场权衡的艺术，在安全稳定与自由顺滑之间找到最佳临界点；这也是一个整体考量，DeFi的成功不仅依赖于项目开发者自身的创新力，更取决于底层架构所给予的拓展空间。