DeFi應用如何抵擋黑客攻擊？-ODAILY_TUM

▼▼▼

劉鋒：近幾天余弦參與處理Lendf.me被盜資金的追討，可以和我們講講這幾十個小時的經歷嗎？

余弦：第一步，快速定位威脅情況和攻擊細節，這樣可以快速給出最正確的漏洞原因，比如這次事件中，本質問題是Lendf.Me的核心代碼中存在重入攻擊漏洞，而這個漏洞又需要結合基于ERC777代幣的組合才能發生。知道漏洞本質及攻擊手法后，在鏈上是很容易知道攻擊者具體盜走多少資產。

第二步，思考如何追回。在4月19日下午，dForce、星火與imToken安全團隊在線下集結，并與慢霧安全團隊遠程連線成立“臨時安全團隊”，開始進行資產追回。因為信息量巨大且雜亂，集中討論可以快速的信息對稱，加快速度。

DeFi借貸平臺Polytrade將于1月31日上線主網:1月30日，據官方消息，DeFi借貸平臺Polytrade將于1月31日上線主網。[2022/1/31 9:23:50]

4月20日，基于黑客在攻擊前后留下的痕跡，“臨時安全團隊”成功確定了準確的黑客畫像，并開始與國內外各方資源進行交叉對比，獲得突破性線索，離黑客越來越近。4月21日下午，在黃金48小時內，黑客在重重壓力下，與dForce主動溝通，并開始歸還部分資產。繼續溝通后，所有資產被成功找回，這是攻擊發生后的第三天。這個過程不僅是“臨時安全團隊”發揮了關鍵作用，還得到了非常多加密社區朋友直接與間接的幫助。

劉鋒：對于這次Lendf.me被攻擊事件，大家應該吸取什么教訓？

余弦：任何新事物在進化過程中都會有安全風險，這是進化法則，越早期這種風險越大，最終要么死亡，要么就會趨于某種比較穩定的平衡。

Valkyrie推出1億美元的“鏈上DeFi基金”:金色財經報道，加密資產管理公司Valkyrie Investments推出了一個1億美元的“鏈上DeFi基金”，旨在讓投資者安全、輕松地接觸這一快速增長的行業。根據Valkyrie的DeFi董事總經理Wes Cowan的說法，Valkyrie的“鏈上DeFi基金”將其資產保存在鏈上，因此在某種程度上超越了Galaxy的被動管理的DeFi基金。[2021/11/16 6:54:16]

基于這種心理準備，我們來看DeFi，有幾個比較重要的風險：技術安全風險、業務安全風險、合規安全風險，我們簡單展開：

1.技術安全

首先看公鏈本身是否久經考驗，足夠安全，以太坊基本滿足這點；然后看智能合約的設計是否足夠安全，Solidity并不太滿足；再看相關的標準實現是否足夠安全，這里最大的問題在于很多時候一個“特性”會變成一種“缺陷”；再看基于標準的成熟框架是否安全，如OpenZeppelin就很優秀；最后看項目方開發出來的是否真的嚴格安全實踐，這個就非常不好說了，很明顯，開發的質量是參差不齊的。

DeFi基準利率今日為3.19%:金色財經報道，據同伴客數據顯示，07月09日DeFi去中心化金融基準利率為3.19%，較前一日下跌0.01%。同期美國國債抵押回購率（Repo Rate）為0.07%，二者利率差為3.12%。

DeFi基準利率代表了DeFi融資難易程度，利率越高說明融資成本越高，利率越低說明融資成本越低。其與Repo Rate的利率差則便于DeFi與傳統市場作進行同類比較。[2021/7/9 0:39:39]

2.業務安全

業務決定于DeFi的設計，比如抵押借貸、閃貸、交易等等。業務需要特別考慮的是安全風控，比如暴跌暴漲怎么辦？突然出現的大額轉幣如何處理？如何解決第三方安全風險？

3.合規安全

如果是一個灰色或黑色邊界的DeFi，一不小心被一些國家的執法機構打掉或自己跑路了，怎么辦？

Qtum承諾將為其新DeFi發展基金提供500萬美元資金:金色財經報道，Qtum宣布將向其新DeFi發展基金分配500萬美元資金。Qtum基金會最初為該基金分配了100萬美元，但Qtum創始人Patrick Dai表示，最終可能會分配多達500萬美元給DeFi開發人員，該基金專為有興趣創建可擴展的去中心化金融應用程序的獨立開發人員和團隊而設計。去年8月消息，Qtum推出100萬美元DeFi開發者支持計劃。[2021/6/24 0:04:18]

另外特別補充一些和用戶角度有關的判斷：

1.項目方內部有實力不錯的安全團隊或有豐富安全經驗的核心人物把關

2.項目方近半年內被第三方專業安全機構安全審計并公開安全審計結果

3.項目方有長期持續緊密合作的第三方專業安全機構

DeFi初創公司InstaDApp籌集1000萬美元新資金:金色財經報道，DeFi初創公司InstaDApp籌集了1000萬美元的新資金，由Standard Crypto領投。投資者還包括DeFi聯盟、Longhash Ventures以及開發者和Yearn創始人Andre Cronje。[2021/6/12 23:32:13]

4.項目方核心成員對待安全的態度坦然開放，勇于認錯并把安全放在第一位

5.項目方對安全工作充滿敬畏與尊重

基于上面這5點可以延伸出一些事實，比如：口碑、真實用戶數、數據透明度、安全透明度等等。

劉鋒：大家愿意去用DeFi產品，有很大原因是擔憂中心化金融服務平臺的安全性問題，希望通過DeFi討個平安。但是今年一連串DeFi平臺和產品被攻擊，這讓人對DeFi反而不信任了，我覺得有點遺憾，你怎么看？

余弦：我的看法不一樣，大家來看看歷史。

具體細節這里看：https://hacked.slowmist.io/

大家會看到中心化、去中心化都有非常慘重的歷史案例，但其實不必因此而打擊信心，DeFi一定有自己的定位，但DeFi也別想著一統天下，同樣的話也適合CeFi，未來應該會看到更多DeFi+CeFi的混合體出現。而且，DeFi其實并不一定需要完全去中心，這是我的個人看法。

我是黑客，這些在我眼里都沒有絕對的安全，都有許多薄弱點，但是黑客不都是壞的，我們更希望是往安全的方向去進化，但我們在對抗時，必須有足夠的攻擊思維。

劉鋒：觀眾提問，對DeFi合約審計的作用有多大？能保證足夠安全么？是否經過了審計的defi項目就值得信任呢？

余弦：DeFi安全審計是安全策略的第二層，第一層是DeFi開發安全，這是項目方的事。DeFi安全審計在第二層可以規避不少問題，將安全防御水平提高一個檔次。但之后還有第三層，也就是更新迭代持續運營的安全，這個一不小心就麻煩了。只能說，經過安全審計的項目，可以讓人更放心，但也一定都有黑天鵝——來自未來的攻擊。所以，如果安全審計已經超過半年，那就得注意了。

劉鋒：觀眾提問，大多數知名DeFi協議都是以某種形式被中心化控制的，雖然這種方式在安全性上有些好處，怎樣才能避免管理員濫用自己的特權，或者說減少相關風險？

余弦：這個是人性的問題，有的可以技術解決，有的解決不了。技術上通過類似DAO的方式來控制，但這又會產生新的問題，DAO的效率太低就麻煩了。但至少有一點項目方需要做的是透明，資產透明，權限透明，決策透明等等，讓社區看得見。

劉鋒：觀眾提問，有沒有一種方案，在用戶和合約之間建中間件，這個中間件來做安全處理？

余弦：這個不知道，需要試驗，但我最近有一個想法，大家可以看看：https://firewallx.io/

這個防火墻是構建在EOS主網上的，核心是智能合約實現。以太坊上，ERC777這種偏復雜的也許也可以這樣做，但還是需要試驗。

劉鋒：觀眾提問，代碼的安全問題幾乎不可避免，DeFi是不是需要輔以更成熟的風控機制，來避免大的損失？因為DeFi的魅力是去中心化，是智能合約，但是受攻擊后的修復和自己追討，看起來完全是人和人之間的博弈了。

余弦：追回是個很難的事，但比較有意思的是，今年開始可能會提高成功率，原因是各國司法、執法流程上開始支持加密貨幣了。

非常感謝參與今晚MathShow#001活動的“show”友們，也感謝慢霧的創始人余弦為我們帶來的關于DeFi的安全知識饕餮盛宴，為區塊鏈生態安全貢獻自己的力量。祝慢霧越來越好。

Tags：EFIDEFDEFITUMPoodleFiScarcity DeFiGDEFI幣qtum幣前景行情

歐易交易所