DeFi最大黑客事件的背后：资产安全与用户隐私的平衡 | 链节点AMA

4月19日，dForce 的去中心化借贷协议 Lendf.Me 遭到黑客攻击，价值约两千五百万美金的加密数字资产被黑客盗走；当晚，黑客向Lendf.Me账户归还了12614枚PAX，并附言Better Future；4月20日，黑客再次陆续归还代币，最终悉数归还了全部被盗资产。由于资产已被追回，dForce 团队向警方提交撤案请求。

这是DeFi有史以来最大一次黑客事件。虽然被盗资产失而复得，这期事件本身依旧值得大家思考。用户在选择DeFi产品时，是否默认已完全信任代码，并自愿承担风险？ 披露黑客IP是否违背去中心化的保护隐私的原则？中国技术团队什么时候才能投入更多研发精力，不再过度依赖国外开源代码？DeFi毫无疑问是未来的创新，但如何协议组合风险任重道远。4月30日上午，Tokenlon 业务负责人Lucas、成都链安科技创始人&CEO杨霞、Trail of Bits CEO以及联合创始人Dan Guido做客链节点AMA，就主持人牛头大哥整理的话题与社区用户一同展开了关于DeFi资产安全相关的讨论。

Dan：实际上，如今真正去中心化的DeFi项目很少，我认为这是一件好事

DeFi即去中心化金融 (Decentralized Finance) ，也称为开放式金融，是近两年来区块链生态圈热门的领域之一。杨霞在讨论中提到，DeFi 试图用区块链技术来解决传统、中心化金融存在的天然短板，比如：审查流程繁琐、缺乏透明性、金融体制不平等、和潜在的交易风险等。而在DeFi上也容易产生一些安全漏洞——DeFi应用程序依赖复杂的数学，最严重的问题其实都与算数有有关。例如，许多DeFi应用程序都会不适当地舍入数值。对此，Dan表示建议使用诸如安全属性测试仪Echidna和符号验证程序Manticore之类的工具进行检查。

回到文章开头提到的dForce黑客事件，一个DeFi项目最终靠着中心化的力量追回资产，保护隐私和保护用户如何做到平衡也成为本次讨论的热门话题，关于这一点，Dan提出：

实际上，如今真正去中心化的DeFi项目很少，我认为这是一件好事。 DeFi应用程序使用不成熟的工具构建在未经验证的新技术上，因此他们必须计划应对一路上遇到问题。这种中心化使他们能够响应事件并在应用程序出现故障或被黑客入侵时对其进行纠正。项目所有者有责任正确保护自己对DeFi应用程序的访问权限，并向用户披露他们拥有的访问级别。如果源代码可用，则Slither之类的工具可以验证它们可以执行哪些操作。 创建更强大的去中心化系统的研究将继续进行，DeFi项目应在可用并经过验证的情况下采用这些新技术。这需要时间。

V神曾表示DeFi产品有越来越复杂的趋势，呼吁大家做简单并且稳定运行的东西，Dan在讨论中对于这点表示认同，关于DeFi协议之间的可组合性使其复杂性超越了成熟度的观点，Dan补充道：DeFi应用程序的紧急行为很难建模，当今最好的解决方案是仅将你信任的内容列入白名单，以限制你接触未知的第三方合约。重要的是，项目应采取细微且经过仔细衡量的步骤来构建新技术。

CeFi 和 DeFi ？应当是「合作」，而非「合并」

关于DeFi vs CeFi的辩论似乎从未停止。如上文提到的，目前真正去中心化的DeFi项目其实很少，而去中心化其实是一个循序渐进的过程，目前DeFi的在去中心化进程正处于青黄相接的阶段，但这并不意味着所有的CeFi都在朝着一样的方向转化，两者其实是依赖共存的“合作”状态，关于这一点Lucas表示：

项目在发展的过程中，不同阶段也会有不同的去中心化节奏。比如在产品技术上，早期往往是核心团队进行开发，快速试错寻找 product/market fit；增长期核心团队则会开始邀请社区开发者参与开发，后期核心团队则会逐步退出主导地位，完全交由社区进行迭代。 对于 CeFi 和 DeFi 的关系，我更倾向于说「合作」，而非「合并」，相信 CeFi 和 DeFi 会是行业中越来越互相依赖的组成部分。而且两者都有各自的优势和劣势，能够为市场提供差异化的服务。

朝着去中心化的方向，DeFi的发展仍是任重而道远的。那么在目前的阶段，如何选择靠谱的审计团队，Dan给出了一些参考维度：

1. 他们是否有相关的安全经验？ 2. 他们在你的领域发表过原创研究吗？ 3. 他们会和你分享他们的工具吗？ 4. 你将得到什么样的结果？ 5. 他们能否解决与被调查产品相邻区域的风险？

与一个合格的安全团队进行一次大型审查比两次小型审查更有价值。这样可以获得更具战略性的结果，更好地集成自动化测试和验证工具，并有机会发现只有拥有专业领域知识的团队才能发现的更严重的错误漏洞。

dForce的黑客事件作为这条路上一次插曲再一次将DeFi推上话题热点。实际上自19年年初就有一些DeFi安全事件冒头，包括Nuo、MakerDAO、Synthetix、Edgeware、0x、AirSwap等很多项目都存在合约或Oracle的问题，但好在并没有造成直接的安全损失。问题的存在是困难喝挑战，但也反映出了DeFi的迅猛发展，以至于组合过程中潜在的安全问题被提前激活了——而这也正是DeFi未来发展的机遇和挑战。

希望DeFi从业者能够吸取教训，敬畏创新，脚踏实地，不要冒进，越来越好。

以上就是本次AMA的内容整理。 本期AMA回顾： https://www.chainnode.com/ama/425119

本期媒体支持：Coindesk中文站、Cointelegraph中文站、Crypto Briefing和NewsBTC（排名不分先后）