這一次的駭客攻擊讓人始料未及。被攻擊的物件是 nexus mutual ( nxm )創始人 hugh karp 本人。
nexus mutual 一向被視為 defi 保險賽道頭部專案。由於 defi 保險業務本身就是為了抵禦交易者的安全風險,這次的安全事件讓很多人喊出了「保險並不保險」的聲音。
隨著 defi 專案數量爆發式增長,「駭客」、「極客」、「開發者」、「科學家」們所出現的比率越來越大。
可以清晰地看到,defi 領域的食物鏈或許正在重鑄,但上述稱謂背後的計算機頂尖人才們儼然已站在了這條食物鏈的頂端。
保險「不保險」?
在官方資訊以及眾多社羣的討論聲中,nexus mutual 創始人 hugh karp 被駭客攻擊的全部過程已經被還原。
nexus mutual 被視為 defi 保險賽道頭部專案,也是 2020 下半年出現的許多 defi 頭部知名協議之一。其原生代幣 nxm 曾在 7 月份達到了 21 美金的高點,半個月最高漲幅達到 6 倍。攻擊發生後,nxm 一度下跌 20%。
根據官方介紹,nexus mutual 能夠讓使用者為一些智慧合約購買保險,以針對目前一些主流協議中智慧合約漏洞產生的意外來投保(如 compound、aave 、uniswap)。在該平臺上,使用者可對特定智慧合約進行 30 天或以上的保期投保,每份保險以其原生代幣 nxm 計價。
與傳統的互助保險類似,nexus mutual 由 nxm 持有人所有。nxm 是該系統的核心資產,代表的是社羣成員權益,包括了透過質押(staking)進行風險評估、參與社羣治理等。
這是一家創立於 2017 年的老品牌,是一家在英國設立的擔保有限公司基於相互保險組織結構運作。值得注意的是,nexus mutual 的創始人 hugh karp 在保險業擁有超過 15 年的經驗,曾經擔任 uk life operations 的 cfo。
然而,即便是經驗豐富的他,仍然被「暗算」了。
根據官方披露細節, 攻擊者透過獲得 hugh karp 個人計算機的遠端控制後,對計算機上使用的 metamask 外掛進行修改, 並誤導其簽署一筆交易——這筆交易最終將鉅額代幣轉移到攻擊者的賬戶中。
隨後,37 萬 nxm 代幣被轉移到不明賬戶中,價值約 833 萬美金。
「黑的過程其實比較常見,就是 trick(欺騙) karp 去簽了一個看似正常的交易,但是實際的交易是把幣發給了自己」,primitive ventures 創始合夥人、coindesk 顧問委員會委員萬卉dovey 公開對這次事件作出分析。
「因為 karp 手上肯定沒有大量的 wnxm ,而是有大量的 nxm,所以必須要在內盤內完成『釣魚』的工作。然後釣魚完成後,nxm 本身的價格只要跌到了 mcr 100% 的時候,駭客必然知道無法靠 bonding curve 出貨,所以非常老練的直接把拿到的 nxm wrap 掉,去外部砸盤」。
(注:wnxm 指 wrapped nxm,即 nxm 本幣的 erc20 版本。兩者關係在於:只有 nxm 的持有人可以 1-1 對映把 nxm 轉換成為 wnxm。)
來自社羣的「比特幣 la 教授」更加簡單的描述了駭客目前的行為:「駭客盜走的 37 萬個幣,已經砸了 20多萬個了吧,他將 nxm 換成 wnxm 砸盤,他全部換掉了,又充到其他 cex、dex,各種賣。」
這是一場駭客精心策劃過的騙局,萬卉在對於這次事件總結道:「黑掉 nexus mutual 的駭客不僅拿到了 huge karp 的電腦的遠端控制,為了收割 karp 手上nxm,還去做了 nexus mutual 的 kyc,(這是)已經精心準備了很久,可見有 kyc 也沒啥用」。
痛定思痛,萬卉也再次為 defi 領域玩家提了個醒:
該事件在社羣發酵後,很多投資人也發出了和她一樣的感嘆:「整個 defi 食物鏈的頂端,真的是駭客與科學家們」。
就連創始人 karp 本人在發推特喊話駭客時,都將該行為評價了一句「很棒的把戲,絕對是高階的操作」 。
食物鏈重鑄,再現技術「雙刃劍」
「駭客絕不會因為你是誰而繞道」,certik 安全驗證團隊做出了評價。
自 defi 的「農耕時代」來臨後,行業內的格局悄然改變。而「科學家」、「極客」、「駭客」一類高度熟練的計算機專家們,再一次走上了舞臺前面。技術人才正在成為 defi 領域更具影響的新「財富」和新「資源」。
或許已經有越來越多的人注意到了這一點。有觀點認為, yfi 創始人 ac (andre cronje)之前的一系列「併購」動作,其中一個重要目的就是在於聚攏人才。
從 ac 所做的併購中可以看到,他在比較的精準的專案併購中,合併了諸多已經成型的優質專案,並試圖整合全球頂級開發者。其所開發的 keep3r 就提供了一個聚合 defi 開發者的新平臺。整合全球頂級開發者,以形成一個分散式的開發者資源聚集地 —— 這是 ac 及其團隊所想要佈局的。
「yfi 之所以熱度這麼高,是因為 ac 吸引了太多的頂級人才去他的平臺開發,這裡面一個提案都能拿出來當一個優秀的專案做」,一位社羣開發者對 ac 的這種思路給出了高度評價。
「從某種程度上講,這是一次全球頂級開發者的大合併,透過聚合人才來實現聚合專案、聚合資金。這種模式先進很多。」
但在這種新的模式之下,不斷出現的安全事件又再次讓市場看到了技術的兩面性。從「開發者人才」到「駭客」,或許僅取決於一念之間。
實際上,相比於 karp 所受到的「誘導式」詐騙,defi 領域更多的安全問題仍在於專案漏洞本身。
數字貨幣分析公司 ciphertrace 釋出的《2020 加密貨幣犯罪與反洗錢報告》中顯示,defi 駭客在 2020 年的盜竊總量中佔了 21%,而在 2019 年,defi 駭客的數量幾乎可以忽略不計。如果不考慮 kucoin 交易所被盜事件相關資料,defi 駭客將佔據總金額的 50% 以上。同時,部分駭客同樣也在利用 defi,選擇透過去中心化交易所來清洗被盜資金。
對於不斷湧現的技術類「犯罪」,萬卉曾將 defi 的駭客攻擊事件視為「很典型優勝劣汰的過程」,在這種過程中,最後只有最好的合約、最健壯的合約才能夠被市場所使用。
「 defi 作為一種中立的金融工具,被用來對抗中心化金融的各種弊端來捍衛私有財產,同樣,自然就有對應的邪惡勢力用來做他們認為『合理』的操作」。
無論如何,defi 應用在逐漸深度參與到整個市場之中。defi 也在以一個創新的姿態帶來了新的活力,也滿足了市場的諸多需求。然而,新技術的早期發展階段都將面對著一些新的挑戰。
比較樂觀的是,面對技術安全這一傳統金融乃至整個區塊鏈行業所面臨的巨大風險,defi 雖難以避免,但 defi 也在積極應戰。
