这一次的黑客攻击让人始料未及。被攻击的对象是 Nexus Mutual ( NXM )创始人 Hugh Karp 本人。
Nexus Mutual 一向被视为 DeFi 保险赛道头部项目。由于 DeFi 保险业务本身就是为了抵御交易者的安全风险,这次的安全事件让很多人喊出了「保险并不保险」的声音。
随着 DeFi 项目数量爆发式增长,「黑客」、「极客」、「开发者」、「科学家」们所出现的比率越来越大。
可以清晰地看到,DeFi 领域的食物链或许正在重铸,但上述称谓背后的计算机顶尖人才们俨然已站在了这条食物链的顶端。
保险「不保险」?
在官方信息以及众多社区的讨论声中,Nexus Mutual 创始人 Hugh Karp 被黑客攻击的全部过程已经被还原。
Nexus Mutual 被视为 DeFi 保险赛道头部项目,也是 2020 下半年出现的许多 DeFi 头部知名协议之一。其原生代币 NXM 曾在 7 月份达到了 21 美金的高点,半个月最高涨幅达到 6 倍。攻击发生后,NXM 一度下跌 20%。
根据官方介绍,Nexus Mutual 能够让用户为一些智能合约购买保险,以针对目前一些主流协议中智能合约漏洞产生的意外来投保(如 Compound、Aave 、Uniswap)。在该平台上,用户可对特定智能合约进行 30 天或以上的保期投保,每份保险以其原生代币 NXM 计价。
与传统的互助保险类似,Nexus Mutual 由 NXM 持有人所有。NXM 是该系统的核心资产,代表的是社区成员权益,包括了通过质押(Staking)进行风险评估、参与社区治理等。
这是一家创立于 2017 年的老品牌,是一家在英国设立的担保有限公司基于相互保险组织结构运作。值得注意的是,Nexus Mutual 的创始人 Hugh Karp 在保险业拥有超过 15 年的经验,曾经担任 UK Life Operations 的 CFO。
然而,即便是经验丰富的他,仍然被「暗算」了。
根据官方披露细节, 攻击者通过获得 Hugh Karp 个人计算机的远程控制后,对计算机上使用的 Metamask 插件进行修改, 并误导其签署一笔交易——这笔交易最终将巨额代币转移到攻击者的账户中。
随后,37 万 NXM 代币被转移到不明账户中,价值约 833 万美金。
「黑的过程其实比较常见,就是 Trick(欺骗) Karp 去签了一个看似正常的交易,但是实际的交易是把币发给了自己」,Primitive Ventures 创始合伙人、Coindesk 顾问委员会委员万卉Dovey 公开对这次事件作出分析。
「因为 Karp 手上肯定没有大量的 wNXM ,而是有大量的 NXM,所以必须要在内盘内完成『钓鱼』的工作。然后钓鱼完成后,NXM 本身的价格只要跌到了 MCR 100% 的时候,黑客必然知道无法靠 Bonding curve 出货,所以非常老练的直接把拿到的 NXM wrap 掉,去外部砸盘」。
(注:wNXM 指 wrapped NXM,即 NXM 本币的 ERC20 版本。两者关系在于:只有 nxm 的持有人可以 1-1 映射把 NXM 转换成为 wNXM。)
来自社区的「比特币 LA 教授」更加简单的描述了黑客目前的行为:「黑客盗走的 37 万个币,已经砸了 20多万个了吧,他将 NXM 换成 WNXM 砸盘,他全部换掉了,又充到其他 CEX、DEX,各种卖。」
这是一场黑客精心策划过的骗局,万卉在对于这次事件总结道:「黑掉 Nexus Mutual 的黑客不仅拿到了 Huge Karp 的电脑的远程控制,为了收割 Karp 手上NXM,还去做了 Nexus Mutual 的 KYC,(这是)已经精心准备了很久,可见有 KYC 也没啥用」。
痛定思痛,万卉也再次为 DeFi 领域玩家提了个醒:
该事件在社区发酵后,很多投资人也发出了和她一样的感叹:「整个 DeFi 食物链的顶端,真的是黑客与科学家们」。
就连创始人 Karp 本人在发推特喊话黑客时,都将该行为评价了一句「很棒的把戏,绝对是高级的操作」 。
食物链重铸,再现技术「双刃剑」
「黑客绝不会因为你是谁而绕道」,CertiK 安全验证团队做出了评价。
自 DeFi 的「农耕时代」来临后,行业内的格局悄然改变。而「科学家」、「极客」、「黑客」一类高度熟练的计算机专家们,再一次走上了舞台前面。技术人才正在成为 DeFi 领域更具影响的新「财富」和新「资源」。
或许已经有越来越多的人注意到了这一点。有观点认为, YFI 创始人 AC (Andre Cronje)之前的一系列「并购」动作,其中一个重要目的就是在于聚拢人才。
从 AC 所做的并购中可以看到,他在比较的精准的项目并购中,合并了诸多已经成型的优质项目,并试图整合全球顶级开发者。其所开发的 Keep3r 就提供了一个聚合 DeFi 开发者的新平台。整合全球顶级开发者,以形成一个分布式的开发者资源聚集地 —— 这是 AC 及其团队所想要布局的。
「YFI 之所以热度这么高,是因为 AC 吸引了太多的顶级人才去他的平台开发,这里面一个提案都能拿出来当一个优秀的项目做」,一位社区开发者对 AC 的这种思路给出了高度评价。
「从某种程度上讲,这是一次全球顶级开发者的大合并,通过聚合人才来实现聚合项目、聚合资金。这种模式先进很多。」
但在这种新的模式之下,不断出现的安全事件又再次让市场看到了技术的两面性。从「开发者人才」到「黑客」,或许仅取决于一念之间。
实际上,相比于 Karp 所受到的「诱导式」诈骗,DeFi 领域更多的安全问题仍在于项目漏洞本身。
数字货币分析公司 CipherTrace 发布的《2020 加密货币犯罪与反洗钱报告》中显示,DeFi 黑客在 2020 年的盗窃总量中占了 21%,而在 2019 年,DeFi 黑客的数量几乎可以忽略不计。如果不考虑 KuCoin 交易所被盗事件相关数据,DeFi 黑客将占据总金额的 50% 以上。同时,部分黑客同样也在利用 DeFi,选择通过去中心化交易所来清洗被盗资金。
对于不断涌现的技术类「犯罪」,万卉曾将 DeFi 的黑客攻击事件视为「很典型优胜劣汰的过程」,在这种过程中,最后只有最好的合约、最健壮的合约才能够被市场所使用。
「 DeFi 作为一种中立的金融工具,被用来对抗中心化金融的各种弊端来捍卫私有财产,同样,自然就有对应的邪恶势力用来做他们认为『合理』的操作」。
无论如何,DeFi 应用在逐渐深度参与到整个市场之中。DeFi 也在以一个创新的姿态带来了新的活力,也满足了市场的诸多需求。然而,新技术的早期发展阶段都将面对着一些新的挑战。
比较乐观的是,面对技术安全这一传统金融乃至整个区块链行业所面临的巨大风险,DeFi 虽难以避免,但 DeFi 也在积极应战。
原创文章,作者:CoinKaola,如若转载,请注明出处:https://www.coinkaola.co/news/200368/