巴比特独家 | DeFi平台遭洗劫,雪崩时没有一片雪花是无辜的
近两日,DeFi项目Uniswap 和 Lendf.Me 接连遭受重入攻击。尤其是Lendf.Me 被洗劫一空,累计损失约 2500万美元。关于攻击详情,自有安全团队解答。笔者想和诸位探讨的是,攻击发生之后,加密社区的舆论风向与应对态度。孰对孰错,请各位看官自行评判。
“盗亦有道”?黑客归还部分代币
今日, dForce官方发布公告称:1. 与顶尖安全团队合作,对 Lendf.Me 进行更为全面的安全评估;2. 与合作伙伴积极探讨可行的解决方案;3. 与主流交易平台、OTC 交易商、公安机构积极配合展开相关调查,竭尽全力追索被盗款项,追踪黑客动态。
不知道出于什么原因,黑客似乎主动联系了dForce,表达沟通意愿,并开始归还一些币。更进一步的情况 dForce 创始人杨民道将于北京时间 2020 年 4 月 20 日 23:59 分前,向社区作出说明解释。
重蹈覆辙:用户不满lendf.me未及时自查
让用户不能理解的是,前车之鉴犹在耳畔,lendf.me为什么没有及时自查。从时间线上来看,第一次针对Uniswap的攻击发生在4月18日8点58分,3个小时后,Tokenlon观察到异常并建立紧急处理小组。4 月 19 日 9点28,Lendf.me 又反馈称遭遇与Uniswap 类似的攻击。安全公司慢雾从攻击手法上判断,很可能是同一拨人所为。
“我想不通,这些Defi项目方,好像也跟我一样毫无警惕……看到别人被黑客攻击,不自查一下风险的么。” 一位笔名为“白特幂”的受害者发文质问道。“得瑟小缪”也指出过错在lendf.me自身。他提出3点不满:“1.直接folk compound v1的代码过来又不审计?负责安全的人是不是应该引咎辞职?2.把erc777的imBTC接入erc20的协议中,谁负责的商务?谁负责的技术对接?这么明显的错误,为啥不处理?3.不反省自己的责任说自己是受害者?先谈如何补偿用户OK?这是拿行业在开玩笑么?”
抱团取暖:加密社区纷纷表示鼓励
事件发生后,加密社区一片祥和温暖,纷纷对DeFi的遭遇表达同情和鼓励。
数字文艺复兴基金会董事总经理曹寅:“我们不应为 Lendf 或者 Maker 的事故而对 DeFi 失去信心,阿波罗 13 号的失败之后,NASA 并没有取消阿波罗计划,美国人也没有因此停下对太空探索的步伐,深刻反思之后,NASA 又发射进行了多次成功的阿波罗任务,之后还建造发射了更伟大的国际空间站。”
原力协议COO许超:“看到这个消息非常心痛。希望dForce团队可以度过难关。这是中国最优秀的DeFi团队之一。DeFi还在早期阶段,代码安全和金融产品风控安全非常重要,DeFi的可组合性又使得系统安全风险成倍的增长。”
星火矿池市场负责人邱晓栋:“历史的趋势不可阻挡,我们都在探索未来的可能性,并在这一进程中发光发热,每一次重击都会让我们更坚强。”
以太坊黄皮书翻译者杨镇:“这是伟大事业发展历程中几乎难以避免的事故。”
加密社区是个挺割裂的存在,有投机套利的赌徒、追逐风口的逐利者,也有技术高超的极客、理想主义的探路者。DeFi社区无疑属于后者,因此他们常呈现出一种惺惺相惜、抱团取暖的姿态。有开发者感慨道“这两天在风暴中心见证探索者们被暴雨淋漓。”
进退两难:雪崩时没有一片雪花是无辜的
现在DeFi社区呈现出一个氛围,不喜欢批评的声音,有人批评就会被认为是黑,但所有项目的成功都理应面对质疑和批评。另一方面,行业的抱团取暖也带来两面性。笔者曾经在采访一个DeFi项目时,碰巧从它的平台上截取到了另一DEX穿仓的数据。两个项目负责人将笔者拉到同一个群里,希望不要对此进行报道,因为这个漏洞已悄悄修补好,并未造成任何损失。 但安全事件频发之时,温柔鼓励为政治正确,包庇开脱成惯常动作,指责批评反而要谨小慎微的时候,社区就需要多一些反思了。
无论我们把DeFi的意义描绘的多么深远,比拟阿波罗登月也好,作为取代马车的汽车也罢。它对于用户来说,本质始终是金融。效率的提升是其次,至少要保证别让用户丢钱。金融服务的首要前提是风控和安全,即使DeFi也是一样。而在代码世界里,任何一个小疏忽造成的损失都是致命的。
当前,DeFi对大多数人而言门槛仍然很高,因此DeFi用户实际上是一批具有较高技术和金融素养的理想主义者。一位受害者表示:“我躲过了爆仓,躲过了Fcoin,躲过了各种资金盘,却没躲过Defi这个黑客提款机。”如果这样一群人都在遭受损失,DeFi的安全性从何谈起呢?“如果不能保证开源系统的资金安全,你甚至没有能力证明自己不是一剂毒药。DeFi在证明自己真的是一场变革之前,至少需要摆脱暴雷阴影。”RenrenBit CMO梓岑表示。
IOSG Venture 创始人 Jocy Lin也表示:“这个行业令人惊喜的地方在于多元化的组成和包容属性,在DeFi圈子里的对峙博弈也是一样。DAO事件之后的黑客攻击事件仍然频发,却一直没有引起行业重视。这些攻击虽然让行业各种协议如临大敌甚至面临生死,但仍然是很有意义的。它让人们认识到协议的安全审计、用户的投资认知,以及社区的多元化共存至关重要。雪崩时,没有一片雪花是无辜的,是时候重新反思DeFi里价值最大的部分在哪里了。大部分过得好的公司道阻且长,MKR很糟糕,Compound也是。从小众到大众市场的跃升,需要在资本市场助力之后,思考如何降低用户的使用门槛、提升体验,以及更高的安全性。”
灵魂拷问:DeFi项目有办法自证吗?
这起攻击事件发生后,DeFi恐怕会遭遇重创。从年初到现在,DeFi发生的几起安全事件,都是黑客在利用DeFi系统性风控漏洞实施的攻击。此次也是同理,ERC777本身没有问题,但是和其他合约组合起来后产生了非预期的结果。 这仿佛成为了一个证实相当困难,但证伪却异常容易的命题。哪个开发者敢拍着胸脯保证,自己的协议没有漏洞,和别人的协议组合之后依然安全呢?
除了安全性,DeFi可能还面对一个“道德”难题,币信研究院院长熊越表示:想象我们在大航海时代里造一艘船去寻找新大陆,这是一件勇气可嘉、意义非凡的事情,但也有可能遇到风浪葬身海底。但在这种情况下,冒险的发起人是和大家风险共担的,并且全船的人都清楚自己面对着什么。这就是冒险家的精神(entrepreneurship)。
但DeFi项目的创始人并不一定要去风险共担,他可以融一笔资开启项目,不把自己的钱放在DeFi项目里。赚了当然自己名利双收,如果被黑客攻击,巨额损失的是投资人和用户。 更重要的是,我并没看到哪个DeFi项目在提醒用户:‘把钱存过来赚百分之几的利息,你可能会损失全部的本金。’ 相反,它们都说自己有各种安全机制,通过了各种审计,很多用户因此稀里糊涂地亏掉数十万美金级别的钱。
在区块链行业,无论是CeFi还是DeFi,都有各自的风险。中心化借贷面临的是强监管风险,去中心化借贷面临的是系统安全稳定运行的风险。这两个风险都在加大。如果监管缺位,这种攻击防不胜防,是无解之题。
通证通研究院创始人宋双杰表示:“任何一个行业,当正规军进来的时候,非正规军都将面临清理,所以中心化借贷之困在于如何获得牌照。去中心化借贷在于行业无监管,一片蛮荒,权责利不清。一些造成违法的行为甚至都称不上违法,因为没有相关的法律,导致大量借贷合约被攻击,这几天爆出的uniswap和dforce事件就是明证。如果监管缺位,这种事情是防不胜防的,除非使用极简化的合约,采用极简单的功能,像比特币那样,把附加的其他的功能都抽离,才可能保证极大的安全。要不是,功能越复杂,被攻击的可能性越高。但如果不革新,不增加功能,那去中心化借贷又没有存在的必要,这是无解之题。”
Bitcoin Price Consolidates Below Resistance, Are Dips Still Supported?
Bitcoin Price Consolidates Below Resistance, Are Dips Still Supported?
XRP, Solana, Cardano, Shiba Inu Making Up for Lost Time as Big Whale Transaction Spikes Pop Up
XRP, Solana, Cardano, Shiba Inu Making Up for Lost Time as Big Whale Transaction Spikes Pop Up
Justin Sun suspected to have purchased $160m in Ethereum
Justin Sun suspected to have purchased $160m in Ethereum