DeFi平臺遭洗劫,雪崩時沒有一片雪花是無辜的

買賣虛擬貨幣

作者:海倫

近兩日,DeFi專案Uniswap 和 Lendf.Me 接連遭受重入攻擊。尤其是Lendf.Me 被洗劫一空,累計損失約 2500萬美元。關於攻擊詳情,自有安全團隊解答。筆者想和諸位探討的是,攻擊發生之後,加密社羣的輿論風向與應對態度。孰對孰錯,請各位看官自行評判。

“盜亦有道”?駭客歸還部分代幣

今日, dForce官方釋出公告稱:1. 與頂尖安全團隊合作,對 Lendf.Me 進行更為全面的安全評估;2. 與合作伙伴積極探討可行的解決方案;3. 與主流交易平臺、OTC 交易商、公安機構積極配合展開相關調查,竭盡全力追索被盜款項,追蹤駭客動態。

不知道出於什麼原因,駭客似乎主動聯絡了dForce,表達溝通意願,並開始歸還一些幣。更進一步的情況dForce 創始人楊民道將於北京時間 2020 年 4 月 20 日 23:59 分前,向社羣作出說明解釋。

重蹈覆轍:使用者不滿lendf.me未及時自查

讓使用者不能理解的是,前車之鑑猶在耳畔,lendf.me為什麼沒有及時自查。從時間線上來看,第一次針對Uniswap的攻擊發生在4月18日8點58分,3個小時後,Tokenlon觀察到異常並建立緊急處理小組。4 月 19 日 9點28,Lendf.me 又反饋稱遭遇與Uniswap 類似的攻擊。安全公司慢霧從攻擊手法上判斷,很可能是同一撥人所為。

“我想不通,這些Defi專案方,好像也跟我一樣毫無警惕……看到別人被駭客攻擊,不自查一下風險的麼。”一位筆名為「白特冪」的受害者發文質問道。「得瑟小繆」也指出過錯在lendf.me自身。他提出3點不滿:“1.直接folk compound v1的程式碼過來又不審計?負責安全的人是不是應該引咎辭職?2.把erc777的imBTC接入erc20的協議中,誰負責的商務?誰負責的技術對接?這麼明顯的錯誤,為啥不處理?3.不反省自己的責任說自己是受害者?先談如何補償使用者OK?這是拿行業在開玩笑麼?”

抱團取暖:加密社羣紛紛表示鼓勵

事件發生後,加密社羣一片祥和溫暖,紛紛對DeFi的遭遇表達同情和鼓勵。

數字文藝復興基金會董事總經理曹寅:“我們不應為 Lendf 或者 Maker 的事故而對 DeFi 失去信心,阿波羅 13 號的失敗之後,NASA 並沒有取消阿波羅計劃,美國人也沒有因此停下對太空探索的步伐,深刻反思之後,NASA 又發射進行了多次成功的阿波羅任務,之後還建造發射了更偉大的國際空間站。”

原力協議COO許超:“看到這個訊息非常心痛。希望dForce團隊可以度過難關。這是中國最優秀的DeFi團隊之一。DeFi還在早期階段,程式碼安全和金融產品風控安全非常重要,DeFi的可組合性又使得系統安全風險成倍的增長。”

星火礦池市場負責人邱曉棟:“歷史的趨勢不可阻擋,我們都在探索未來的可能性,並在這一程序中發光發熱,每一次重擊都會讓我們更堅強。”

以太坊黃皮書翻譯者楊鎮:“這是偉大事業發展歷程中幾乎難以避免的事故。”

加密社羣是個挺割裂的存在,有投機套利的賭徒、追逐風口的逐利者,也有技術高超的極客、理想主義的探路者。DeFi社羣無疑屬於後者,因此他們常呈現出一種惺惺相惜、抱團取暖的姿態。有開發者感慨道“這兩天在風暴中心見證探索者們被暴雨淋漓。”

進退兩難:雪崩時沒有一片雪花是無辜的

現在DeFi社羣呈現出一個氛圍,不喜歡批評的聲音,有人批評就會被認為是黑,但所有專案的成功都理應面對質疑和批評。另一方面,行業的抱團取暖也帶來兩面性。筆者曾經在採訪一個DeFi專案時,碰巧從它的平臺上擷取到了另一DEX穿倉的資料。兩個專案負責人將筆者拉到同一個群裡,希望不要對此進行報道,因為這個漏洞已悄悄修補好,並未造成任何損失。但安全事件頻發之時,溫柔鼓勵為政治正確,包庇開脫成慣常動作,指責批評反而要謹小慎微的時候,社羣就需要多一些反思了。

無論我們把DeFi的意義描繪的多麼深遠,比擬阿波羅登月也好,作為取代馬車的汽車也罷。它對於使用者來說,本質始終是金融。效率的提升是其次,至少要保證別讓使用者丟錢。金融服務的首要前提是風控和安全,即使DeFi也是一樣。而在程式碼世界裡,任何一個小疏忽造成的損失都是致命的。

當前,DeFi對大多數人而言門檻仍然很高,因此DeFi使用者實際上是一批具有較高技術和金融素養的理想主義者。一位受害者表示:“我躲過了爆倉,躲過了Fcoin,躲過了各種資金盤,卻沒躲過Defi這個駭客提款機。”如果這樣一群人都在遭受損失,DeFi的安全性從何談起呢?“如果不能保證開源系統的資金安全,你甚至沒有能力證明自己不是一劑毒藥。DeFi在證明自己真的是一場變革之前,至少需要擺脫暴雷陰影。”RenrenBit CMO梓岑表示。

IOSG Venture 創始人 Jocy Lin也表示:“這個行業令人驚喜的地方在於多元化的組成和包容屬性,在DeFi圈子裡的對峙博弈也是一樣。DAO事件之後的駭客攻擊事件仍然頻發,卻一直沒有引起行業重視。這些攻擊雖然讓行業各種協議如臨大敵甚至面臨生死,但仍然是很有意義的。它讓人們認識到協議的安全審計、使用者的投資認知,以及社羣的多元化共存至關重要。雪崩時,沒有一片雪花是無辜的,是時候重新反思DeFi裡價值最大的部分在哪裡了。大部分過得好的公司道阻且長,MKR很糟糕,Compound也是。從小眾到大眾市場的躍升,需要在資本市場助力之後,思考如何降低使用者的使用門檻、提升體驗,以及更高的安全性。”

靈魂拷問:DeFi專案有辦法自證嗎?

這起攻擊事件發生後,DeFi恐怕會遭遇重創。從年初到現在,DeFi發生的幾起安全事件,都是駭客在利用DeFi系統性風控漏洞實施的攻擊。此次也是同理,ERC777本身沒有問題,但是和其他合約組合起來後產生了非預期的結果。這彷彿成為了一個證實相當困難,但證偽卻異常容易的命題。哪個開發者敢拍著胸脯保證,自己的協議沒有漏洞,和別人的協議組合之後依然安全呢?

除了安全性,DeFi可能還面對一個“道德”難題,幣信研究院院長熊越表示:想象我們在大航海時代裡造一艘船去尋找新大陸,這是一件勇氣可嘉、意義非凡的事情,但也有可能遇到風浪葬身海底。但在這種情況下,冒險的發起人是和大家風險共擔的,並且全船的人都清楚自己面對著什麼。這就是冒險家的精神(entrepreneurship)。

但DeFi專案的創始人並不一定要去風險共擔,他可以融一筆資開啟專案,不把自己的錢放在DeFi專案裡。賺了當然自己名利雙收,如果被駭客攻擊,鉅額損失的是投資人和使用者。更重要的是,我並沒看到哪個DeFi專案在提醒使用者:‘把錢存過來賺百分之幾的利息,你可能會損失全部的本金。’相反,它們都說自己有各種安全機制,透過了各種審計,很多使用者因此稀裡糊塗地虧掉數十萬美金級別的錢。

在區塊鏈行業,無論是CeFi還是DeFi,都有各自的風險。中心化借貸面臨的是強監管風險,去中心化借貸面臨的是系統安全穩定執行的風險。這兩個風險都在加大。如果監管缺位,這種攻擊防不勝防,是無解之題。

通證通研究院創始人宋雙傑表示:“任何一個行業,當正規軍進來的時候,非正規軍都將面臨清理,所以中心化借貸之困在於如何獲得牌照。去中心化借貸在於行業無監管,一片蠻荒,權責利不清。

一些造成違法的行為甚至都稱不上違法,因為沒有相關的法律,導致大量借貸合約被攻擊,這幾天爆出的uniswap和dforce事件就是明證。如果監管缺位,這種事情是防不勝防的,除非使用極簡化的合約,採用極簡單的功能,像比特幣那樣,把附加的其他的功能都抽離,才可能保證極大的安全。要不是,功能越複雜,被攻擊的可能性越高。但如果不革新,不增加功能,那去中心化借貸又沒有存在的必要,這是無解之題。”

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;