DeFi——去中心化金融,不同于過去中心化的傳統金融需要許多中介機構如銀行、證券交易所的參與,DeFi利用了區塊鏈的技術,逐漸發展出有別于傳統金融的金融商品,瘋狂受到追捧。根據DeFiPulse的數據,DeFi鎖倉量已飆升了200%以上,從2021年1月份的$320億到12月份的$980億。DeFi作為去中心化世界的明星產物,憑其去中心化、不可篡改、無需信任、開放透明可組合等特性為用戶打開了開放式金融的大門。
不過,DeFi真的足夠「去中心化」嗎?
從協議層面以及交互方式來看,DeFi的確足夠去中心化。但從一些攻擊事件上看,DeFi似乎顯得不那么去中心化。
?
《經濟學人》DeFi主題封面NFT以99.9ETH的價格售出:10月27日消息,《經濟學人》DeFi 主題封面 NFT 在Foundation平臺以 99.9 ETH 的價格售出,目前價值約 42 萬美元。封面“進入兔子洞:去中心化金融的承諾和危險”,由數字藝術家Justin Metz委托創作,根據Sir John Tenniel為 1865 年出版的第一版《愛麗絲夢游仙境》Alice in Wonderland 所繪制。此次出售標志著這家擁有 178 年歷史的國際出版物首次涉足 NFT。《經濟學人》將保留該數字作品 10% 的版稅股份,本次拍賣和所有未來的銷售收入將捐給獨立慈善機構“經濟學人教育基金會”。[2021/10/27 21:00:59]
2021年7月14日,波卡數字收藏品市場平臺BondlyFinance遭到攻擊,導致373,088,023美元的BONDLY代幣從BondlyStakingRewards合約中轉出,據官方調查,攻擊者通過精心策劃獲得了屬于Bondly首席執行官BrandonSmith的密碼帳戶的訪問權限。密碼帳戶包含Smith的硬件錢包的助記符恢復短語,復制后允許攻擊者訪問BONDLY智能合約,以及被泄露的公司錢包。
歐易OKEx旗下Block Dream Fund完成十余個Defi和波卡生態項目投資:據歐易OKEx旗下Block Dream Fund官方消息,已完成十多個區塊鏈項目投資,主要集中在Defi領域和波卡生態,項目包括:專注于加速 POS實現的區塊鏈與智能合約平臺Casperlabs;基于波卡的可擴展的智能合約鏈Plasm Network; 無限流動性的衍生品市場Kine;去中心化數據和金融云平臺Cere Network;旨在把現實世界的資產作為抵押物,以促進加密資產(穩定幣)的借貸Persistence;跨鏈加密資產的去中心化借貸協議Konomi Network;基于波卡的DAO即服務基礎設施Dorafactory;波卡生態DEX協議Polkadex;基于Substrate的區塊鏈智能合約虛擬機Parastate;機槍池代幣化協議Apyswap等。
Block Dream Fund是頂級數字資產交易平臺歐易OKEx旗下專注于發掘優質區塊鏈項目的基金,首期規模1億美金。基金將專注于投資區塊鏈底層基礎設施、Layer2、DEFI、波卡生態、數據分析及工具類、隱私保護等方向。[2021/2/20 17:33:03]
有趣的是,該黑客似乎在四個月后又以相似的方式攻擊了另一個DeFi項目。
ETC Labs James Wo:DeFi是金融的未來,用戶將繼續飆升:ETC Labs James Wo今日發文表示,DeFi是金融的未來。原因如下:其一,DeFi不像傳統交易平臺那樣依賴用戶提供流動性,相反,像Uniswap這樣的DeFi 協議使用一個方程,它根據需求自動確定代幣的值。此外,DeFi比集中式融資 (CeFi) 的主要優勢是控制自己的金融資產,DeFi 協議的易用性和安全性會繼續改善。最后,鑒于全球對中央機構越來越不信任,DeFi 的用戶群將繼續飆升,未來將遠遠超過目前的50萬用戶。[2020/11/25 22:02:43]
2021年11月5日,DeFi協議bZx發推稱控制Polygon和BSC部署的私鑰已被泄露,導致資金損失。據官方調查,黑客使用的錢包之一參與了BondlyFinance的攻擊。同時,本次漏洞利用與BondlyFinance的非常相似:黑客獲得了開發人員的密碼,然后從協議中操縱了一個智能合約。不久,bZx在更新的事故報告表示:“我們聘請了一家名叫Kaspersky的安全公司,該安全公司調查后認為這次攻擊很可能是由朝鮮黑客組織Lazarus執行的。”據慢霧AML旗下反洗錢追蹤系統MistTrack?分析,攻擊者初始資金來自Tornado.Cash轉入的0.9ETH,接著攻擊者一番操作將被盜資金分散到多個地址。然后攻擊者將多種代幣換為ETH,最后通過Tornado.Cash轉出10960ETH,以太坊部分的洗幣基本完成。
觀點:比特幣和DeFi將同步增長:Volt Capital投資者、DeFi支持者Imran Khan稱,“比特幣和DeFi將同步增長,我預計宏觀變化將有力推動比特幣的飛輪,DeFi是一個次飛輪。加密貨幣行業的這兩個部門服務于兩個不同的‘老板’:比特幣是為了篡奪貨幣主權而建立的,而DeFi則是為了篡奪傳統銀行業。”(Cryptoslate)[2020/7/22]
以上兩個事例都是無關合約問題,而是開發人員遭到釣魚攻擊致私鑰泄露從而影響用戶資金。回顧近期,私鑰泄露似乎變得非常熱門:Levyathan損失150萬美元、8ightFinance損失175萬美元、VulcanForged損失1.4億美元……我們不禁想,這是不是表示著線下實體實際掌管著控制權呢?
除了釣魚攻擊,前端攻擊也是引發DeFi安全問題的高危據點。
2021年12月2日,據官方Discord消息,去中心化組織BadgerDAO遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。12月9日,Badger?發布了詳細的事故報告,報告稱此次事件是CloudflareWorkers上的惡意注入代碼片段導致的。CloudflareWorkers是一個運行腳本的界面,這些腳本在流經Cloudflare代理時對Web流量進行操作和更改。攻擊者在Badger工程師不知情或未授權的情況下獲取了項目方在Cloudflare后臺的APIKey,以此在網站的前端代碼里面注入一系列的惡意代碼。當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。用戶確認了那筆惡意交易,就會將代幣授權給攻擊者,然后攻擊者就可以在用戶不知情的情況下將代幣轉走。據慢霧AML旗下反洗錢追蹤系統MistTrack分析,黑客將部分獲利的加密貨幣換成renBTC,并通過renBTC將約2100BTC跨鏈轉移到14個BTC地址,目前暫無異動。
在DeFi世界,合約一旦部署不可篡改不可撤回,理論上來說是不會受到人為的干預,這點確保了其去中心化的特點,但目前絕大多數前端仍是通過傳統架構實現,雖然網頁自身也在不斷在進化和發展,但是仍存在很多潛在的威脅,同時針對前端的攻擊往往容易被開發者忽視,這些錯誤因素使得攻擊者飽餐了一頓又一頓。
2021年9月17日,SushiswapCTO在推特上表示,SushiswapIDO平臺Miso的前端遭受攻擊。承包商的一名匿名員工將惡意代碼注入Miso前端,把拍賣錢包地址替換成了自己的錢包地址,導致864.8ETH被盜。
當前端問題開始影響資金的安全性,作為用戶不得不深思如何才能做到安全地參與DeFi項目,簡直如履薄冰。
總結
不管怎樣,“DeFi是否完全去中心化”這個問題也許會一直存在。與其說去中心化是DeFi最大的特性,不如說是DeFi世界的終極目標。而不論是作為用戶、審計機構還是作為項目方,我們經歷過如此多的DeFi安全事件后,是否仍然只將注意力聚焦到智能合約上呢?答案不言而喻。
Tags:EFIDEFDEFIBONeFin DecentralizedDefiPlazaGDEFI價格BetaCarbon
摘要:對聯邦學習作一個初步但盡量全面的介紹,著重介紹聯邦學習方法的流變,解析落地應用中需要注意的質量與安全問題,并對相關應用場景提出針對性的建議.
1900/1/1 0:00:00DAO被認為是當今企業和其他組織最有效和最重要的協調工具。在本文的第一部分,我們討論了在2021年間看到的DAO的許多好處,但與任何創新一樣,人們擔心這一切對未來意味著什么.
1900/1/1 0:00:00據Stpetecatalyst1月4日報道,總部位于坦帕的區塊鏈公司BlockSpaces已完成575萬美元的風投種子輪融資,LeadoutCapital領投.
1900/1/1 0:00:0012月21日,鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,UniswapV3流動性管理協議VisorFinance于北京時間12月21日晚上10點18分遭受攻擊,總損失約為820萬美元.
1900/1/1 0:00:00中央 央行等部委:任何機構和個人不得為虛擬貨幣交易等非法金融活動提供網絡營銷服務12月31日,中國人民銀行、工業和信息化部、銀保監會、證監會、國家網信辦、外匯局、知識產權局就《金融產品網絡營銷管.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00