4月28號20:00,BlockMania AMA直播第59期繼續進行,BlockMania致力於將區塊鏈行業最深度的認知和思考帶給行業與公眾,歡迎其他社羣跟我們合作,一起打造思想的聯結器和放大器。
本期主題為「被盜事件頻發,DeFi平臺的安全建設何去何從?」,分享嘉賓為慢霧科技合夥人兼產品負責人啟富,他給大家回顧了dForce被盜事件的始末,並對DeFi平臺頻頻被盜原因進行了解析。
關於慢霧科技
慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業,透過「威脅發現到威脅防禦一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的專案,已有商業客戶800多家。慢霧科技的安全解決方案包括:安全審計、威脅情報(BTI)、漏洞賞金、防禦部署、安全顧問等服務並配套有加密貨幣反洗錢(AML)、假充值漏洞掃描等SAAS型安全產品,得到業界的廣泛關注與認可。
以下為本次AMA的全程回顧
首先請給我們簡單回顧下dForce事件的始末吧。
在4月19日dForce攻擊事件發生後,慢霧安全團隊一直保持著高度關注,不斷地追蹤被盜資產動向、統計損失總額、分析駭客攻擊過程,此次事件的主要時間線為:
4月19日8點58分
駭客開始對Lendf.Me合約發起攻擊。
4月19日10點59分
慢霧安全團隊釋出Lendf.Me被攻擊預警。
4月19日12點25分
Lendf.Me攻擊者持續將獲利的PAX進行轉出,總額近58.7萬枚PAX。
4月19日15點03分
慢霧安全團隊釋出損失金額統計預警,累計的損失約2500萬美金。
4月19日16點19分
慢霧安全團隊經過內外部詳細的技術分析和驗證後,全球首發文章《DeFi平臺Lendf.Me被黑細節分析及防禦建議》(點選回顧) ,披露了此次駭客攻擊事件的技術細節,並提供了相應的防禦建議。
4月19日22點52分
慢霧安全團隊從鏈上資料監測到,Lendf.Me攻擊者剛向Lendf.Me平臺admin賬戶轉賬126,014枚PAX,並附言「Betterfuture」。隨後Lendf.Me平臺admin賬戶透過memo回覆攻擊者並帶上聯絡郵箱。
4月21日下午
駭客在重重壓力下,與dForce主動溝通,並開始歸還部分資產。繼續溝通後,所有資產被成功找回。
我們瞭解到慢霧科技在dForce追回被盜資產的過程中也做了很多工作,請問慢霧具體都提供了哪些支援?
第一步,快速定位威脅情況和攻擊細節,這樣可以快速給出最正確的漏洞原因。
比如這次事件中,本質問題是Lendf.Me的核心程式碼中存在重入攻擊漏洞,而這個漏洞又需要結合基於ERC777代幣的組合才能發生。知道漏洞本質及攻擊手法後,在鏈上是很容易知道攻擊者具體盜走多少資產。
第二步,思考如何追回。
在4月19日下午,dForce、星火與imToken安全團隊線上下集結,並與慢霧安全團隊遠端連線成立「臨時安全團隊」,開始進行資產追回。因為資訊量巨大且雜亂,集中討論可以快速的資訊對稱,加快速度。
4月20日,基於駭客在攻擊前後留下的痕跡,「臨時安全團隊」成功確定了準確的駭客畫像,並開始與國內外各方資源進行交叉對比,獲得突破性線索,離駭客越來越近。
4月21日下午,在黃金48小時內,駭客在重重壓力下,與dForce主動溝通,並開始歸還部分資產。
繼續溝通後,所有資產被成功找回,這是攻擊發生後的第三天。
這個過程不僅是「臨時安全團隊」發揮了關鍵作用,還得到了非常多加密社羣朋友直接與間接的幫助。
DeFi平臺安全事故頻發,您覺得背後的原因都有哪些呢?
DeFi去中心化的特點帶來了三大特性:互操作性,可程式設計性以及可組合性。
因為互操作性和可組合性的特點,我們得以像搭樂高積木似的組合各種貨幣合約,這為我們帶來了豐富的金融產品以及無限的可能性,但另一點是其作為一個複雜系統,DeFi的風險會被無限放大
換句話說,在中心化的金融系統中我們可以透過規定標準和限制介面許可權來控制可能會出現的風險場景,然而在DeFi中,任意兩個符合標準和協議的合約都可以被組合在一起,甚至可能組合更多的合約。
這帶來了非常多的可能出現的風險場景,也就是說每一種組合都可能帶來某種未知的風險。而最大的風險是,很多時候標準中的一個「特性」會變成一種「缺陷」。
此外,DeFi專案團隊的技術水平、安全意識參差不齊,導致有些DeFi平臺未經內部或外部的安全審計就匆忙上線,結果遭遇駭客攻擊。
DeFi專案應該如何進行安全建設來保障資產安全?
這是一個比較通用的問題,首先我們需要明確一點,安全建設有很強的木桶效應,攻擊風險往往存在於安全最薄弱的那個環節,安全建設需要有一個合適的體系。
對DeFi專案來說,最主要的是其智慧合約程式碼的安全,包括業務邏輯安全、第三方依賴(如預言機)風險、外部呼叫安全等等,如何保障智慧合約程式碼的安全呢?
首先是技術團隊對智慧合約語言(如solidity)要很熟悉,瞭解裡面的各種坑。
其次是要熟悉自己智慧合約裡用到的EIP規範以及對接的外部合約,瞭解其中可能存在的各種風險。
最後在專案上線前,可以聯絡專業的第三方安全公司(如慢霧)對專案進行安全審計,確保專案中不存在已知的漏洞,並得到因地制宜的安全加固建議。
頻頻被盜也讓市場上有了一些「DeFi無用論」的聲音,您認為被盜事件是DeFi的喪鐘還是成長中的陣痛?
首先看這張圖
(來源慢霧區Hacked https://hacked.slowmist.io )
大家會看到中心化、去中心化平臺都有非常慘重的歷史被黑案例,但其實不必因此而打擊自信心。
DeFi一定有自己的定位,但DeFi也別想著一統天下,同樣的話也適合CeFi,未來應該會看到更多DeFi+CeFi的混合體出現。而且,DeFi其實並不一定需要完全去中心化,這是我的個人看法。
我認為很多東西沒有絕對的安全,都有許多薄弱點。
但是駭客不都是壞的,我們更希望是往安全的方向去進化,但我們在對抗時,必須有足夠的攻擊思維。
比特幣早期還出現過很嚴重的增發漏洞呢。
談談您個人對於DeFi未來的看法。
DeFi的很多事情還在摸索階段,一件事情剛開始的時候總是會遭遇很多意料之外的事情,這是無法避免的,且完全沒有必要因噎廢食,我對DeFi很有信心。
DeFi未來的路還很長,目前需要做的事是充分汲取過往DeFi駭客事件的教訓,在合約中設定好風控機制,並在產品上線前做好充分的安全審計,才能避免發生更多的DeFi攻擊事件。
Q&A
Q1:我想問下,剛剛提到DeFi的互操作性和組合性,DeFi產品之間的組合,是否可以被標準化,來降低組合風險?
目前國內外技術社羣關於DeFi的標準化討論的很多,目前也有一些團隊做了一些實踐,但DeFi平臺採用(或接入)這些標準的還不多。
標準的提出並廣泛推薦、使用,需要不少時間,期間也會有很多碰撞、最佳化,但是這個方向是沒問題的。
相信未來這塊會越來越成熟。
Q2:駭客這次據說是在一個去中心化交易所上暴露了IP 一個DEX披露使用者IP是否有悖去中心化的初衷呢?
在真實有效的法律檔案的要求下,向執法單位披露攻擊者或疑犯的相關資訊,是受法律約束和肯定的。
大家不要把執法單位想得很暴力很恐怖,執法單位做事本身就在各國成熟法律框架下。
DeFi不是法外之地,執法機構的存在本就合理,社羣力量為主+執法機構必要時介入為輔助,我們覺得是很合理的存在。
可以看出這次Lendf.Me事件,執法單位是個很好的輔助,結果是好的,挽回了損失。
