defi 的熱潮點燃了 2020 年的市場情緒,但伴隨著應用的發展,新的風險也悄然滋生。
據 odaily 星球日報不完全統計,從二月借貸及交易協議 bzx 被盜,到年末明星保險專案 cover protocol 崩盤,2020 年 defi 領域內已發生了四十餘起起攻擊事件,損失金額高達 1.774 億美元(其中約 4939 萬美元已追回,完整可見下方表單)。從剛剛上線的全新應用,到成名已久的頭部協議,駭客們已然“鯊瘋了眼”,恍惚之間,defi 似乎變成了“科學家們”的提款機,甚至被戴上了 hackfi 這一調侃式的暱稱。
為了儘可能清晰地覆盤 2020 年 defi 領域的安全狀況,我們將根據各大 defi 應用在遭遇攻擊後釋出的事件報告,同時結合派盾(peckshield)、慢霧(slowmist)等業內頭部安全公司給出的調查分析,對 defi 領域2020年發生的所有安全事件進行一次系統梳理。
根據事件發生的不同起因,本文將所有攻擊分為了「技術因素事件」、「金融因素事件」、「人性因素事件」以及「其他事件」四大類。
需要注意的是,defi 應用跨越了科技及金融兩大維度,因此一起安全事故的起因往往是多因素、多維度的複合,下文中,即便某起事件被劃分為 a 類,也不代表該事件的發生不存在其他 b 類因素,在一些具體案例內我們會指明標註。
一、技術因素事件
“幣圈一天,人間一年;defi 一天,幣圈一年。”
外部市場的瞬息萬變以及 defi 應用本身的創新性和複雜性決定了,即便是思維最縝密的開發者也很難在產品快速迭代的同時做到十全十美,因此在合約編寫或產品設計中往往難免出現或大或小的漏洞及不完善之處。縱觀一年以來發生的針對 defi 應用的各種攻擊,可歸於此類別的事件數量最多。
往細了說,這一大類可以再分為三個細分類別:協議本身存在漏洞或是設計存在不完善之處;協議在互動過程中存在相容問題;底層網路存在特殊性或發生故障。
第一類:協議本身存在漏洞或是設計存在不完善之處
首先是第一類 —— defi 協議本身存在漏洞或是設計存在不完善之處,這一細分類別的邏輯最為清晰,理解起來也最容易,我們將直接透過幾個典型案例加以說明。
- 典型案例一:pickle finance(11 月 22 日)
11 月 22 日,旨在透過流動性挖礦方案來幫助穩定幣實現價格強錨定的 defi 應用 pickle finance 遭駭客攻擊。駭客在呼叫 controller 合約中的 swapexactjarforjar 函式是偽造了 _fromjar 和 _tojar 的合約地址,透過轉入假幣換取了合約中的真 dai,成功竊取了約 2000 萬美元的 dai(完整攻擊流程可檢視慢霧科技的調查分析)。從失竊金額上來看,pickle finance 被黑無疑是本年度最嚴重的 defi 安全事件之一(僅次於 harvest.finance 和 lendf.me,後者失竊資金已追回)。
事件的結局有些出人意料,遭遇重創的 pickle finance 最終迎來了他們的救世主 —— defi 領域最活躍的男人、yearn(yfi)創始人 andre cronje。11 月 24 日,andre 宣佈 yearn 將合併 pickle finance 的開發資源,同時 pickle finance 還將推出全新的智力代幣 dill,並將向受本次駭客事件影響的使用者分發補償代幣 corn。corn 的申領已於 11 月 29 日正式啟動。
回顧 pickle finance 事件的整個攻擊流程,其關鍵在於 swapexactjarforjar 未能識別駭客部署的兩個偽 jar,合約漏洞最終釀成了悲劇。
- 典型案例二:cover protocol(12 月 28 日)
明星保險專案 cover protocol 這一年過的可以說是跌宕起伏,從 safe 時代的創始人決裂,到 cover 初期成功抱上 yearn 的大腿,再到 12 月末的驚魂一夜,電影劇本都不敢這麼寫。
12 月 28 日,cover protocol 遭遇駭客攻擊,這也是 2020 年發生的最後一起 defi 安全事件(完整攻擊流程可檢視 peckshield 的調查分析)。當晚,攻擊者利用 cover protocol 的業務邏輯錯誤天量增發 cover 代幣並砸盤套現,cover 的價格也從 800 美元左右開始一路暴跌,幾近歸零。
圖片來自:peckshield
有意思的是,本次駭客事件中的主要攻擊地址指向了另一個 defi 專案 grap finance,該專案隨後也已將其套現獲取的 4350 枚 eth 還給了 cover protocol 團隊,並銷燬了剩餘的增發 cover。儘管客觀上來講,grap finance 的行為確實像是白帽駭客為了保護 cover protocol 而採取了極端措施,但其行為仍然引起了不少的爭議,一些聲音質疑 grap finance 其實是因為身份洩漏不得不選擇歸還“贓款”。
事件發生後,cover protocol 官方宣佈計劃根據漏洞發生之前的資料快照結果分發新的 cover 代幣,並將向流動性提供者分發共 4441 枚 eth 作為激勵。幣安方面隨後也宣佈將啟用「safu 基金」為快照時間後在幣安買入 cover 的持倉受損使用者進行補貼。
- 典型案例三:makerdao(3 月 12 日)
作為穩定幣賽道乃至整個 defi 領域的頭部協議之一,makerdao 也未能倖免。
「312」黑天鵝期間,由於 eth 價格暴跌,makerdao 內大量借貸的抵押率跌破清算門檻,引發了清算拍賣程式執行。然而,因同時以太坊網路 gas 費用出現短時激增,清算機器人(keeperbot)提交的交易請求由於 gas 設定過低而受阻,某一清算人(keeper)在沒有其他競爭者的情況下,以 0 dai 的出價贏得了拍賣。
事件發生後,分析公司 whiterabbit 釋出報告稱,12、13 日 makerdao 因清算機制失靈而零價拍出的 eth 抵押品價值高達 832 萬美元,且系統內出現了 567 萬 dai 的無擔保壞賬。此後,為了彌補系統擔保不足問題,makerdao 啟動了首次 mkr 拍賣以填補漏洞,後續又對協議機制進行了一系列改進以防止類似事件再次發生。不過,makerdao 9 月完成的一次社羣投票拒絕了對受到該事件影響的使用者做出賠償,以 peter johnson 為首的受損使用者隨後將一項指控 makerdao 虛假陳述 dai 相關風險的訴訟提交仲裁。
梳理 makerdao 清算事件發生的始末,儘管嚴格來說 makerdao 在協議層面並沒有出現硬性漏洞,但造成損失的主要原因仍是系統在設計上對極端情況準備不足,未能考慮到極端行情下 gas 費用暴漲的問題,從而導致其清算機制無法正常執行。
第二類——協議在互動過程中存在相容問題
其次是第二類 —— 協議在互動過程中存在相容問題,本細分類別與第一個細分類別之間的界線其實較為模糊,從根本上來說都是協議存在不完善之處,但在細節上還是有著一定的差異,具體請看以下兩個典型案例。
- 典型案例一:uniswap & lendf.me(4 月 18 日,4 月 19 日)
之所以將這兩起安全事件放在一起,一是因為兩起攻擊發生的時間較為接近,二是因為造成兩起攻擊的原因基本相同。
4 月 18 日,駭客利用 uniswap 和 erc777 標準的相容性問題缺陷實施了重入攻擊,獲利約 22 萬美元。僅僅一天後,又一知名 defi 平臺 lendf.me(即 dforce)也被駭客以類似的手段實施了攻擊,0x538359 開頭的攻擊地址這一次共計從 lendf.me 獲利約 2523 萬美元,這也成為了 2020 年失竊數額第二大的一起 defi 駭客事件(完整攻擊流程可檢視 peckshield 的調查分析)。
圖片來自:peckshield
幸運的是,交易聚合平臺 1inch 發現(lendf.me 事件)駭客在交易時無意中洩露了有關其個人資訊的重要後設資料,隨後將相關資訊提交給了新加坡警方。重重壓力下,駭客最終選擇了妥協,全額歸還了本次駭客事件的贓款。
peckshield 分析指出,erc777 出現的目的是對 erc20 標準進行改進,其願景是成為 erc20 標準的有效繼承者。不過由於 defi 專案的可組合特性,一個合約在不同產品之間相互呼叫時,其業務邏輯複雜度也會大大增加,這就給注入程式碼攻擊提供了可能性。
- 典型案例二:balancer(6 月 29 日)
6 月 29 日,amm 型 dex blalancer 遭駭客攻擊,由於 balancer 上的通縮型代幣和其智慧合約在某些特定場景不相容,使得攻擊者可以建立價格偏差的 sta/stonk 流通池並從中獲利。
駭客透過四個步驟實施了本次攻擊,具體流程如下:
- 先是透過閃電貸從 dydx 平臺借出了 104331 個 weth;
- 反覆執行 swapexactmountin() 呼叫,直至 balancer 擁有的大部分 sta 代幣被消耗殆盡,最終 balancer 僅僅剩餘 0.000000000000000001 個 sta;
- 利用 sta 代幣和 balancer 智慧合約存在的不相容性即記賬和餘額的不匹配性實施攻擊,將資金池中的其他資產耗盡,最終共計獲利價值 523616.52 美元的數字資產;
- 償還從 dydx 借出的閃電貸,並捲走攻擊所得。
事情發生後,blalancer 很快作出反應,先是宣佈將把通縮型代幣新增至其 ui 黑名單,隨後又宣佈將對蒙受損失的使用者進行全額賠償。
不同應用之間的可組合性築造了 defi 的高樓,同時也帶來了新的相容性風險。在日新月異的defi 領域,不同協議之間的組合未來勢必會變得更加繁複,類似的駭客攻擊大概率還會再次發生。
第三類——底層網路存在特殊性或發生故障
以太坊網路孕育瞭如今的 defi 世界,使用者也早已習慣了以太坊的底層狀況,當轉而使用基於其他公鏈的 defi 應用時,使用者一般都會想當然地以過往經驗來進行風險評估,但事實往往卻很殘酷。此外,以太坊網路本身也不是絕對安穩,具體情況請看如下兩個例子:
- 典型案例一:emd(9 月 9 日)
首先申明一點,所有的 defi 跑路事件都是不良專案方主觀做惡所導致的結果,這一點無論在哪條底層網路上都是一樣。就 emd 而言,客觀來講也應該歸類於第三大類「人性因素事件」,但鑑於該事件本身以及 eos 底層網路的特殊性,我們還是選擇了將其歸類於此。
9 月 9 日早間,慢霧、peckshield 相繼釋出風險提示,基於 eos 的 defi 專案 emd(翡翠)疑似跑路,專案合約 emeraldmine1 向賬號 sji111111111 轉移了 78 萬 usdt、49 萬 eos 及 5.6 萬 dfs。萬幸,由於 tokenpocket 錢包表示 emd 專案方曾使用過該錢包,留下了 ip 地址以及移動裝置等資訊,在法律制裁面前,最終專案方不得不同意歸還資產。
值得注意的是,造成本次事件的一大關鍵點在於,eos 網路本身的特殊性導致非多籤的 eos 合約賬號可轉移合約內資金。主網部署記錄顯示,emd 在釋出後確實曾對合約進行升級。專案方在跑路後甚至還透過轉賬附加資訊叫囂稱:“eos 就是可以這麼為所欲為。”
在 eos 生態深耕多年的 meet.one 負責人高鋒也表示,不同於以太坊,eos 上的智慧合約在釋出後可以修改,且即使是多籤也有權重高低之分,bloks.io 等瀏覽器可以檢視智慧合約,但很多專案合約並沒有開源。因此理論上,defi 專案在 eos 上比其他公鏈的風險也高些。
慢霧就此提醒稱,投資者在參與 eos defi 專案時應注意專案方許可權是否為多籤,是否存在修改許可權等不安全因素。
- 典型案例二:infura(11 月 11 日)
11 月 11 日,以太坊 api 服務商 infura 的服務暫時中斷,幣安、upbit、bithumb 等多個交易平臺被迫暫停了 eth 以及 erc20 代幣充提服務,參與 defi 是最常用的輕錢包 metamask 也出現餘額顯示異常、資料延遲等情況。
嚴格來說,infura 宕機事件的影響並不侷限於 defi 領域,且從結果上看並未造成資金丟失,因此也算不上什麼駭客事件,但該事件導致的網路資料異常確實對使用者正常訪問 defi 應用造成了阻礙。
二、金融因素事件
熟悉 defi 的朋友們可能還記得,入冬以來曾有過一陣安全事件高峰期,harvest finance、value defi、akropolis、cheese bank、ousd 等多個 defi 專案先後遭遇攻擊,覆盤那一段時間內發生的所有駭客事件,其中多起最終都指向了同一種手段——「閃電貸攻擊」。
所謂「閃電貸攻擊」,其實是一個定義偏差,我們認為這一類攻擊手段最準確的名字應該叫做「預言機操控攻擊」,其基本邏輯是,駭客透過一系列手段出入各類抵押、借貸、交易協議,利用鉅額資金扭曲某個單一市場的價格資料,進而擾亂預言機報價結果,最終實施套利。在此類事件中,駭客們往往會選擇使用閃電貸 —— 允許使用者零抵押貸出鉅額資產,但必須在同一個區塊內還款,否則交易會回滾 —— 來獲取攻擊所需的鉅額籌碼,長此以外,閃電貸便背上了“汙名”,但我們需要清晰地認識到,閃電貸僅僅只是個金融工具,駭客成功干擾了預言機資料才是此類事件發生的根本原因。
儘管從具體情形來看,本類安全事件並非與技術因素毫無關係,但與第一大類「技術因素事件」不同,本類事件的起因往往更加偏向於金融維度,具體情況請看以下幾個典型案例。
- 典型案例一:bzx(2 月 15 日,2 月 18 日)
如果評選年內最倒黴的 defi 專案,借貸協議 bzx 絕對可以爭一爭頭名。一方面,它是本年度第一個遭受攻擊的 defi 專案,另一方面,bzx 先後三次遭遇攻擊也是本年度之最。
2 月 15 日,2 月 18 日,bzx 在短短的三天內先後兩次遭遇駭客攻擊。peckshield 對兩起事件的攻擊流程進行了梳理,其中第一起的流程可概括為“閃電貸獲取可用資金,囤積 wbtc 現貨,槓桿拉盤 wbtc 價格,拋售 wbtc 現貨,歸還閃電貸”;第二起的流程可概括為“閃電貸獲取可用資產,拉昇 susd 價格,吸納更多籌碼,抵押 susd 借出更多 eth,歸還閃電貸”(完整攻擊流程可檢視 peckshield 的調查分析一、調查分析二)。兩次攻擊分別對 bzx 造成了 1271 枚 eth、2378 枚的損失,按當時價格計算約為 35 萬美元、64 萬美元。
從攻擊流程上看,儘管兩次攻擊的具體流程完全不同,但整體上的套利思路還是一致的,駭客利用了平臺間共享流動性不足以及取價機制設計不夠完善等客觀條件,透過閃電貸短時間內獲得了鉅額籌碼,針對性地干擾了某一市場內(往往流動性不高)的價格資料,最終再利用操控後的報價成功於 bzx 內套利。
不幸中的萬幸是,保險專案 nexos mutual 此前已支援了對 bzx 的保險服務,這意味著在 nexos mutual 內購買了 bzx 相關保險的使用者可以申領賠償。在事件發生後,nexos mutual 社羣也認同此次攻擊造成的損失符合賠償條件,bzx 事件就此成為了 nexos mutual 的首個實施賠償案。
不過,bzx 的黴運並未就此結束,9 月 14 日,該專案再次因合約漏洞失竊 4700 枚 eth,好在這一次 bzx 僅用了兩天便找回了被盜資產。
- 典型案例二:harvest.finance(10 月 26 日)
10 月 26 日,defi 聚合協議 harvest finance 遭遇駭客攻擊,根據專案官方後續釋出的公告,本次攻擊損失共計 3380 萬美元(駭客已退回 247 萬美元),約佔攻擊發生前協議中鎖倉總價值的 3.2%,這也是整個 2020 年失竊金額數量最大的 defi 安全事件。
簡單梳理本次 harvest finance 事件的駭客攻擊邏輯(完成流程可檢視 odaily 星球日報當時的跟蹤報道),大致可分為如下三步:借貸 —— 正向操作價格 —— 逆向操縱價格。
駭客首先是透過閃電貸借出了大量的 usdt 以及 usdc;隨後在curve 協議 y 池將大量 usdt 兌換成 usdc,導致 usdc 價格升高;由於 harvest 池內 usdc 價格參考 y 池,也跟著上漲;此時再用 usdc 在 harvest 池兌換更多的 fusdc;在 y 針對上述過程逆向操作,將大量 usdc 兌換成 usdt,導致 usdc 價格降低;此時 harvest 池內 usdc 價格也跟著下降;再用 fusdc 可以兌換出比原來更多的 usdc,最終完成套利。
12 月 9 日,harvest finance 正式啟動了對受損使用者的賠償,因本次事件而蒙受損失的使用者可在官方索賠網站上申領 usdc、usdt 以及全新的 grain 代幣(使用者透露 grain 佔絕大部分)。然而,harvest finance 的賠償方法卻再次引發爭議,魚池創始人神魚也在微博上直言專案方“雞賊”,因為 harvest finance 在推出 grain 時已大幅折價(發行價 0.21 美元),使用者幾乎無法得到全額損失補償,且 grain 在上線二級市場後又是一路走低,截至 1 月 3 日凌晨,grain 報價已跌至 0.04 美元。
- 典型案例三:compound(11 月 26 日)
compound 創造性的流動性挖礦掀開了 2020 年 defi 熱潮的第一章,但作為龍頭借貸專案,compound 也未能逃過攻擊者的狙擊。
11 月 26 日下午,compound 內突然出現了近 9000 萬美元的清算資料,導致出現鉅額清算的主要原因是,compound 的預言機資料來源 coinbase pro 的 dai 價格出現了異常波動,一度飆升至 1.34 美元的不合理值。受此影響,compound 內大量借貸的抵押率跌破了清算閾值,除了使用 eth 等非穩定資產貸出 dai 的使用者遭遇影響外,用穩定幣借貸穩定幣(主要為了挖礦)的使用者也未能倖免。
事後看來,這是一起典型的預言機操控攻擊,攻擊者透過操控 compound 預言機所依賴的資訊源實現了短時間的價格操縱,成功誤導了鏈上價格。數字資產服務商 stakecapital 的創始人 julien bouteloup 的鏈上分析證實了這一點,鉅額清算髮生期間,曾有人成功套利逾 355 萬美元,該攻擊過程主要分為如下幾個步驟:使用閃電貸從 uniswap weth-dai 池借出 4600 萬 dai;償還 compound 中的 dai 債務;從清算中獲取約 23.96 億 cdai;將約 22.26 億 cdai 換成 4628 萬 dai;向 uniswap 償還dai的借款和利息;最後剩下 1709 萬 cdai,摺合約 3553325 美元,順利完成套利。
compound 社羣曾提交治理提案 032 號,以討論是否為受本次事件影響的使用者發放 comp 補償,但該提案最終未能透過。compound 創始人 robert leshner(在投票中棄權)則表示,希望社羣可以利用這次清算事件作為進一步強化協議的催化劑,討論激進或溫和清算系統間的權衡方案,並在必要時增加額外的保障措施。
- 典型案例四:value defi(11 月 14 日)
11 月 14 日,曾宣稱可防範閃電貸攻擊的 value defi 慘遭駭客“打臉”,駭客利用閃電貸從 aave 及 uniswap 中借用了 8 萬枚 eth 以及 1.16 億枚 dai,再透過一番騷操作成功從 value defi 內薅走約 540 萬美元(總計 740 萬美元,退還 200 萬美元,完整攻擊流程可檢視 peckshield 的調查分析)。值得一提的是,駭客在攻擊得手後還給專案方留了一句挑釁意味十足的文字:“你真的懂閃電貸嗎?”
事後,一名自稱是護士的使用者試圖聯絡駭客稱,其已把畢生的積蓄(近10萬美元)投入到該專案中,並請求駭客歸還這些錢,儘管多位推特使用者均質疑了該使用者所言是否真實,但駭客還是向該使用者轉賬了價值 5 萬美元的穩定幣;另一名使用者稱自己是一名 19 歲的大學生,為了所謂的高收益回報,損失了家裡 20 萬美元的積蓄,駭客後來也給這名使用者傳送了 4.5 萬枚 dai。
慘遭“打臉”的 value defi 也吸取了教訓,該協議在半個月後宣佈整合了 chainlink 喂價,以降低喂價操控攻擊風險。該協議此後釋出的 vaults v1 版本程式碼也已透過了 peckshield 的審計,未發現重大問題。
- 典型案例五:cheese bank(11 月 7 日)
11 月 7 日發生的 cheese bank 攻擊事件是一次極其典型的預言機操控攻擊。
攻擊發生在當日凌晨 03:22,駭客先是透過閃電貸從 dydx 貸出了 21000 枚 eth 作為本金,再人為影響了 uniswapv2 上 cheese 池子的平衡,抬高 cheese 價值以及相應的 uni_v2 lp 代幣的價值,最終從 cheese bank 內成功薅走了約 330 萬美元(完整攻擊流程可檢視 peckshield 的調查分析)。
本次攻擊的精妙之處在於,在實施攻擊之前,駭客仔細演算過其持有的 lp 代幣數量正好是能把 cheese bank 清空的數額,不得不承認,這是一次從設計到執行都堪稱“完美”的攻擊。
11 月 24 日,cheese bank 官推宣佈已經追蹤到一部分被盜資產和相關人員,目前已經鎖定一名來自中國浙江的犯罪嫌疑人“張先生”,如果不能收回違法所得,cheese bank 將把所有相關證據移交中國警方。然而,截至發文,事件並沒有出現任何實質性的進展,自那以後 cheese bank 再也沒有更新過任何推文。
三、人性因素事件
就像前文提到的 emd 跑路事件,除了技術及金融相關風險外,defi 領域內的人性之惡同樣不容忽視。defi 最火熱時,新專案為了攫取更多流動性,往往會在初期給出驚人的收益回報,浮動年化收益率(apy)上百、上千乃至上萬的專案相繼出現。
高收益刺激著投機者們的神經,為了搶佔頭礦,獲取最高收益,一些使用者在未經充分調研的情況下匆匆存入資金,這也給惡意專案方提供了作惡機會,跑路事件屢見不鮮。
- 典型案例一:sushiswap(9 月 5 日)
sushiswap 顯然當然跑路,這裡要說的發生在 9 月的 chef nomi 套現事件。
9 月 5 日,sushiswap 知名創始人、首任大廚 nomi(當時 sushiswap 尚不是多籤,nomi 個人擁有合約控制權)從協議內突然轉走了約 500 萬枚 sushi 代幣並套現獲利,此舉很快就在社羣內引發了關於 sushiswap 是否構成退出騙局的熱議。
儘管 nomi 本人迴應稱將繼續履行承諾,完成 sushiswap 後續的多籤遷移工作,但該專案乃至整個 defi 社羣顯然對此無法滿意。ftx 創始人兼執行長 sam bankman fried(sbf)連發 16 條推文,怒噴 nomi 是“a piece of shit”。
重重壓力之下,nomi 最終選擇了將合約控制權轉移給 sbf,由後者來牽頭處理該協議後續的多籤遷移工作事宜。9 月 11 日,nomi 再次發聲稱對自己此前的套現行為感到後悔,自己已向 sushiswap 的金庫返還了約 38000 eth 套利所得,這筆資產在當時的價值約為 1400 萬美元。
nomi 個人的套現行為對 sushiswap 社羣造成了巨大傷害,儘管在 sbf 的牽頭下,sushiswap 此後再次走上正軌,且隨著整合至 yearn 生態,大有挑戰 dex 龍頭 uniswap 之時,但截至 1 月 4 日,sushi 代幣價格仍未回到 9 月 5 日 nomi 套現前的價格水平(約 4.5 美元)。
- 典型案例二:yyfi(8 月 1 日)
8 月末,yfi 以及 yfii 的暴漲將整個 defi 市場的情緒推至高峰,一時間多個“姨夫”仿盤專案出現,投機者們也相繼湧入,生怕錯過下一個 yfii。
貪慾最終釀成了悲劇,8 月 1 日,yfii 硬分叉專案 yyfi 跑路。事後回看,yyfi 從一開始似乎就打定了跑路的主意,其騙局彙總起來大概就是以下幾步:建立一個可以蹭上熱點的合約開始預挖自己所發的流動性挖礦代幣;建立各種社交渠道(telegram、discord、微信);利用高收益吸引使用者參與,操控幣價漲幅營造可套利的假象,持續給社羣信心;最後利用預挖代幣砸盤,砸不下來的情況下甚至可以無限增發導致代幣暴跌;套利離場,解散社群徹底消失。
- 典型案例三:justfolio(9 月 10 日)
在眾多跑路專案中,justfolio 可以說是玩出了花樣。9 月 10 日,波場鏈上 defi 專案 justfolio(jft)跑路。值得一提的是,該專案為了誘騙更多資金,曾自稱其智慧合約已透過了成都鏈安的審計,但成都鏈安方面卻向 odaily 星球日報迴應表示“從未審計過這個專案”。
justfolio 雖然消失了,其“創舉”卻被其他不良專案方學了去,9 月跑路的另一個 defi 專案 lv finance 後來也偽造了虛假的審計網站,試圖透過虛假的審計報告來迷惑投資者。
四、其他事件
除上述各類事件外,使用者在參與 defi 時還會面臨其他一些陷阱。依照前文的分類方式,我們很難將這些事件準確歸類,因為陷阱往往存在於協議外部,與相關 defi 應用是否存在漏洞並無關係。
比如假幣肆虐現象,由於以 uniswap 為代表的一眾 dex 上幣無需稽覈,一些詐騙者便瞄準了那些尚未發幣或是剛剛發幣的明星專案進行假幣詐騙,odaily 星球日報此前曾發表過一篇《如何禁用 46 美元的成本在 uniswap 上發幣》。此外,針對關鍵人士的釣魚攻擊也在年末刷了一波屏,12 月 14 日,保險龍頭 nexus mutual 的創始人 hugh karp 在 ledger 上執行一筆簡單的交易時,未能意識到轉賬地址已被替換,最終損失了 37 萬枚 nxm,價值約 833 萬美元,駭客隨後在二級市場拋售砸盤,對 nexus mutual 以及投資者造成了嚴重傷害。
風險啟示
回看過去一年發生的所有 defi 安全事件,隨著功能的日漸擴充套件,協議的複雜程度也在日漸提升,駭客的攻擊手段相較過往已變得更加難以捉摸。未來,defi 將繼續向 layer 2、跨鏈以及其他全新的方向進一步擴充套件,程式只會變得越來越複雜,這也將帶來新的安全挑戰,無論是專案方還是投資者均需做好風控工作。
對於專案方而言,需要在產品上線預先進行充分測試,尤其是要測試極端情況下的協議承壓狀況;此外,專案方有必要尋求專業的第三方審計機構對協議進行全面審查,後續也可以透過一些 bug 賞金計劃來積極調動社羣力量;鑑於一些經典的攻擊手段(比如代幣遭異常增發)相對而言有跡可循,專案方或許還可以針對一些特定的被黑場景提前部署災備方案,以便在意外發生時快速做出反應。
對於投資者而言,在決定參與某款 defi 協議前應首先確認該專案是否已完成審計;此外,投資者需要清晰地認識到收益及風險往往並存,合理調配自己的倉位,同時也需要保持良好的錢包操作習慣;最後,雖然 nexus mutual 和 cover protocol 等保險專案2020年都沒有逃過駭客魔爪,但 defi 保險賽道絕不會就此消失,未來 defi 領域的保險服務一定會日益完善,投資者可以考慮適當投保,以規避潛在的駭客攻擊風險。
值得一提的是,2020年發生的多起 defi 安全事件都有一個共同特點 —— 駭客最終歸還了一定數額的贓款。在那些駭客身份尚不可知的事件中,我們很難推測駭客的確切心理,但在 lendf.me 及 emd 等案例中,駭客妥協的主要原因都是身份洩漏,其個人面臨著來自專案方及受損使用者的起訴“威脅”。相關案例告訴我們,儘管 defi 在互動層面上已實現了去中心化,但一個個受法律保護及約束的人類才是參與 defi 的主體,因此 defi 絕不是什麼無法之地,在資產意外遭遇損失時,報警才是普通人最有效的解決手段。
安全是 defi 乃至整個加密貨幣世界永恆的主題。2020 年,我們眼見了 defi 起高樓,但如果地基或是結構不夠牢固,萬丈巨廈也會有傾倒之險。
本文連結:https://www.8btc.com/article/6583377
轉載請註明文章出處
