年度魔幻大戲：備受黑客“青睞”的DeFi如何平衡風險及收益？_DEFI

2020年，注定是魔幻的一年。就在剛經歷了史無前例的“負油價”之后，4月21日，我們又見證了一筆價值1.75億人民幣的“黑客退款”。

事情的經過大致是這樣的：

“重入攻擊”細節復盤

北京時間4月19日上午8點45分，中國最大的DeFi平臺dForce旗下的貸款協議Lendf.Me在區塊高度9899681遭遇黑客攻擊，短時間內，鎖在協議內的價值2482萬美元的12種幣資產幾乎全部消失，僅剩個零頭2940美元，損失約99%鎖倉資金。事件一發生，立即在DeFi世界掀起驚濤駭浪。

本次對Lendf.Me實施攻擊的攻擊者地址為??0xa9bf70a420d364e923c74448d9d817d3f2a77822，攻擊者通過部署合約0x538359785a8d5ab1a741a0ba94f26a800759d91d對Lendf.Me進行攻擊。此次攻擊中，Lendf.Me累計的損失約24,696,616美元，具體盜取的幣種及數額為：

WETH:55159.02134；WBTC:9.01152；CHAI:77930.93433；HBTC:320.27714；HUSD:432162.90569；BUSD:480787.88767；PAX:587014.60367；TUSD:459794.38763；USDC:698916.40348；USDT:7180525.081569999；

USDx:510868.16067；imBTC:291.3471。

攻擊事件回顧：

4月18日08:58

一名攻擊者利用Uniswap和ERC777的兼容性問題，通過多次迭代調用名為「tokensToSend」的方法函數來對該平臺上的ETH/imBTC交易對進行重入攻擊。

4月18日12:12

Tokenlon觀察到異常后，立刻定義為P0級安全問題，并建立緊急處理小組。

4月18日12:49Tokenlon評估安全問題后，暫停了imBTC的轉賬功能并通知Lendf.Me及其他imBTC合作伙伴自查安全風險。

4月19日8:58黑客開始對Lendf.Me合約發起攻擊。

美股三大指數小幅收跌，標普500指數跌0.25%，年度累計下跌19.44%:金色財經報道，12月31日，美股三大指數小幅收跌，道指跌0.22%，年度累計下跌8.78%；納指跌0.11%，年度累計下跌33.1%；標普500指數跌0.25%，年度累計下跌19.44%。熱門科技股中特斯拉漲超1%，本年累計下跌65%，亞馬遜本年跌近50%，蘋果、微軟本年跌超20%。[2022/12/31 22:17:20]

4月19日09:28Tokenlon收到Lendf.Me反饋，遭遇類似Uniswap事件的重入攻擊，出現大量異常借貸行為。

4月19日10:12為配合調研重入攻擊事件，Tokenlon暫停imBTC的轉賬功能。

4月19日11:32黑客完成攻擊并盜走價值兩千五百萬美金的加密數字資產。

4月19日12:57Lendf.Me和USDx合約陸續被關閉。

事情追溯至去年9月，dForce推出了去中心化網絡借貸協議Lendf.Me，用戶可以通過鏈上操作，進行數字資產存幣理財和借貸服務。Lendf.Me允許用戶以imBTC為抵押物來借出其他數字資產。

ImBTC是由數字資產錢包imtoken推出的一款在以太坊上1:1錨定BTC的Token，目的是將BTC的流動性與以太坊智能合約完美結合，持有BTC的用戶包括礦工也可以來選擇使用defi提供的借出或生息服務。

ImBTC由Tokenlon負責發行和監管，其編寫時采用的ERC-777規范被認為是通用ERC-20標準的更高級版本，可以兼容ERC-20。然而最近出現ERC-777代幣與Uniswap/Lendf.Me合約組合時，存在“重入攻擊”漏洞，尤其是在DeFi環境中使用時。

該漏洞最初在Uniswap上發生，Uniswap是另一個基于ETH的去中心化借貸協議。就在Lendf.Me被盜前一天，即4月18日，Uniswap也遭重入攻擊洗劫，ETH-imBTC資金池損失了1278枚ETH，價值約23萬美元。

與今年2月借貸協議bZx因合約漏洞導致99萬美元被攻擊者套走的安全事故不同，這一次，單個的Uniswap、Lendf.Me和imBTC本身的協議并不存在安全問題，但協議間在調用合約時出現了漏洞風險。

從攻擊的作案手法上來看，兩起事件背后的主要邏輯是黑客利用了imBTC資產所用的ERC777協議與其他Defi協議的不兼容性，發起重入攻擊，來劫持正常的事務并執行額外的非法操作。

“與時共創”2020金色財經年度榜單專業評審啟動:由金色財經發起“與時共創·2020年度榜單獎項”旨在表彰那些2020年度表現卓越、成長快速、勇于創新、突破價值、具備未來潛力的行業先鋒。

經過14天線上媒體&網絡投票，8大類22個獎項共有501家企業/個人成功晉級到專業評審期。評審期由50位來自區塊鏈不同領域的領袖組成，他們將以多維度數據在12月4日-12月7日共同評審，按票數排行最終確定“與時共創”2020金色財經年度榜單。[2020/12/4 14:01:33]

“重入攻擊”的手法在臭名昭著的TheDao事件中也曾出現過，以太坊因此分叉。攻擊者往往通過惡意合約A來調取受攻擊合約B上的某些函數，并在B的任意位置“重新進入”代碼執行。

黑客執行了多次簡單攻擊的迭代。在每筆交易中，黑客都會將imBTC存入Lendf.me平臺，該平臺已在其帳戶余額中進行了注冊。來自同一筆交易的第二筆存款將添加少量的imBTC，這將允許使用“重新入金”來提取先前存入的代幣。

至關重要的是，ERC777的回調機制在提取資金時未能更新黑客的余額。因此，他可以自由地重復提供和撤回imBTC，每次余額都增加一倍。

于是，黑客在Lendf.Me的協議上重復鑄造出6700多枚假imBTC，并以此抵押，席卷了大約2500萬美元的各種加密貨幣和穩定幣，將資產洗劫一空。成功盜取資產后，立即通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺，將盜取的幣兌換成ETH及其他代幣，此外，還將其余部分贓款轉入了DeFi借貸平臺Compound和Aave。

簡單來說就是智能合約組合之后出現關鍵缺陷，被黑客利用了。

被盜資金“完璧歸趙”

發動攻擊后不久，有趣的事情發生了。

4月19日晚10點左右，黑客向1inch.exchange，ParaSwap和一個標識為“Lendf.meadmin”的帳戶發送了三筆交易，歸還了126,014枚PAX，總值達25萬美元，并附言「Betterfuture」。這似乎在暗示著什么，因為“pax”在拉丁語中表示“和平”。

4月20日凌晨3點左右，黑客竟然分批向Lendf.ME的admin賬戶轉回了38萬余枚HUSD和320余枚HBTC，以及12.6萬PAX，總價值超過200萬美元，也就是說，黑客居然一次性退回了贓款的近十分之一。

動態 | 借助區塊鏈技術溯源的“食品追蹤與包裝技術”入選達沃斯論壇年度十大新興技術:據澎湃新聞報道，7月2日，世界經濟論壇年度十大新興技術榜單揭曉，其中入選技術包括先進的食品追蹤與包裝技術：借助先進的區塊鏈技術來追溯食品供應鏈，確定食品污染來源的時間從過去的數天縮短到幾分鐘。同時，包裝中的傳感器可告知我們什么時候食品即將腐壞，減少因到期而銷毀整批食品的情況發生。[2019/7/2]

隨后，dForce官方在推特上發布了一堆“符號碼”，疑似通過“密碼”向黑客喊話或者進行“談判”。

Lendf.me最終以溫和的語氣在鏈上向黑客留下信息，“Contactus.Foryourbetterfuture.”

更令人意想不到的是，4月21日13點40分左右起，盜取Lendf.ME的黑客竟然陸續向Lendf.ME歸還了幾乎所有盜竊的代幣，包括57,992枚ETH，425.61枚MKR，13.7萬枚DAI，50萬枚USDT，252.34枚imBTC等等。

至此，3天之間，我們見證了史上最大的一筆，總價值接近1.75億元人民幣的巨額黑客還款。縱觀整起追蹤事件，整個過程依然充滿了魔幻色彩。

看起來著實有些諷刺，但這次攻擊也提醒加密貨幣交易平臺應當更注重對交易參與者信息的收集工作，保證交易信息的透明度，從而構建真正的「Betterfuture」。

“他似乎是一名優秀的程序員，但卻是沒有經驗的黑客。”

有業內人士指出，正常情況下，黑客在盜取了這些巨額資產后，應當進行一段時間的徹底“沉默”，待事件逐漸“平息”后，通過“混幣”、“粉塵化”等手法進行“洗幣”，然后再逐步套現。

之所以選擇第一時間還幣，最有可能的是黑客本人的真實身份已經被dForce所掌握，通過dForce的溝通和談判，從而追回了全部損失。

而這位黑客在開展攻擊前，很可能并沒有做好萬全的準備，只是臨時起意，以至于拿到1.75億的巨額數字資產后，一不小心就漏出了破綻。

剛開始返回12.6萬的PAX，讓人覺得是在侮辱平臺。不過后面再次返還更多資產，也有人覺得此次事件中的黑客可能是具有真正“黑客精神”的計算機極客，想通過這種“大事件”，指出行業漏洞，引領行業發展。

對此，區塊鏈安全公司慢霧科技建議，DeFi協議的單一開發方在接入第三方協議時，應充分考慮平臺本身的業務邏輯與接入方協議和資產的兼容性，以避免因兼容性發生不必要的安全問題。交易所、錢包應注意加強地址監控，避免相關惡意資金流入平臺。

動態 | 年度報稅截止期臨近 英國稅務局提醒加密貨幣投資需報稅:1月31日是英國人遞交年度納稅申報表的截止期。英國稅務海關總署（HMRC）更新的指引提示國民，如果持有比特幣或其他加密貨幣的投資，要留意可能需要繳納企業稅、個人所得稅或者資本利得稅。其發言人稱：“在交易活動中，如果包括比特幣在內的一種資產被作為投資持有，而并非作為運營資金，由此推斷，這種處理產生的任何盈利或者收益都將繳資本利得稅。”如果年度投資結果是虧損，那么可以留待未來納稅年度，抵扣應稅所得。[2019/1/17]

Lendf.Me事件敲響安全警鐘

意外事件發生后，dForce平臺能夠積極處理、力挽狂瀾，固然體現了平臺本身的責任感。然而，技術上出現的重大漏洞，也為整個行業敲響了警鐘。

加密貨幣被盜事件已不是第一次發生。黑客對加密貨幣的強烈渴望隨著加密貨幣的價值攀升愈發強烈，他們通過利用合約漏洞、入侵網站、攻擊加密錢包等多種方法盜竊加密貨幣，給加密貨幣持有者帶來了不小的損失。

少數觀點認為，黑客的行為利用了合約漏洞，某種意義上是被合約所允許的。但是代碼有漏洞不等于平臺同意，盜竊行為的本質并沒有發生改變，黑客理應為他們的行為承擔刑事責任。

事實上，包括盜竊行為在內，黑客針對加密貨幣所進行的的犯罪行為都會受到刑事法律的規制，從判決結果來看，黑客也將面臨較為嚴厲的刑罰。本案中，黑客的攻擊行為造成了Lendf.Me約2500萬美元的資產損失，刑事制裁在所難免。

犯罪行為本身的應罰性毋庸置疑，但加密貨幣定性的不同可能指向不同的罪名，這點在我國表現的尤為突出。在加密貨幣的性質歸屬上，我國并沒有形成一致的觀點，加密貨幣被盜面臨著盜竊罪和非法獲取計算機信息系統數據罪兩個不同的保護路徑，前者肯定了加密貨幣的財產屬性，后者則將加密貨幣視為信息。需要注意的是，兩者在量刑上存在較大差距，盜竊罪量刑要遠遠高于非法獲取計算機信息系統數據罪，這給司法實務留下了很大的不確定性。

不止我國，包括美國在內的一些國家在加密貨幣的定性上也未能達成一致：

美國商品期貨交易委員會將加密貨幣視為商品；美國證券交易委員會將符合HOWY測試的加密貨幣視為證券；美國金融犯罪執法網絡將加密貨幣視為在一種特定情況下扮演貨幣功能的交換媒介，可以適用貨幣規則；美國國稅局將加密貨幣視為一種財產，具有合法的財產屬性，需繳納稅收。

美國財政部金融穩定監督委員會發布關于金融市場和國家經濟狀況的年度報告: 美國財政部金融穩定監督委員會（FSOC）于12月13日發布了關于金融市場和國家經濟狀況的年度報告。該報告詳細說明了加密貨幣“代表了一種不同與往常的支付方式”，并指出目前只有少部分人正在使用它們，一些銀行和其他金融服務提供商也已經進入市場。與美國其他一些監管機構一樣，FSOC在報告中指出，技術的使用可能會給監管機構帶來問題，尤其是在分布式網絡而不是一個集中的地方存儲信息。作者還寫道到，與任何新的發展一樣，虛擬貨幣和分布式賬本技術可能帶來風險和脆弱性，需要持續的監管和協調。特別是分布式分類賬數據存儲的分散可能會給監管和監管帶來挑戰，因為目前的監管做法是為更集中的系統而設計的。除了這些潛在的問題外，FSOC報告認為，目前加密貨幣和區塊鏈的使用普遍“小而不斷增長”。雖然這些技術對更廣泛的金融體系的影響目前可能是優有限的，但它對支付和金融基礎設施的適用性值得進一步審查。然而，鑒于市場參與者和金融機構越來越多地投資于這些領域，金融監管機構應該監督和分析其對金融穩定的影響。[2017/12/16]

賦予加密貨幣明確的定性是各國都在努力的方向，對于更好的引導、管理加密貨幣活動具有重要的意義。

黑客通過非法手段獲得的加密貨幣，俗稱“黑錢”，難以安全地使用。為了避免機關的追蹤，勢必要對資金進行掩飾，使其看起來“清白”。因此，黑客通常借助交易所和OTC交易商的力量，通過復雜的交易使資金來源難以追溯。正如此次攻擊中，黑客不斷通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的幣兌換成ETH及其他代幣，完成代幣的轉移。

從執行角度看，區塊鏈的不可篡改性的確為追蹤資金去向提供了可能，但去中心化的特征也為黑客隱匿身份創造了空間。他們先將加密貨幣分散，再進行洗錢、提幣、洗幣等操作，步驟相當繁瑣。資金經過拆分轉入不同的地址，大額的資金會沿著前進方向進一步小額拆分，進而構建出更為復雜的資金網絡，加大追蹤偵測的難度。

但洗錢過程并非難以察覺，黑客盜竊的目的最終是為了變現，而變現的途徑無非是場外交易或交易所交易。如果交易所和OTC交易商能夠做好客戶信息搜集、盡職調查和信息保存工作，并能將動態及時上報，那么非法資金的流動是可以被及時發現并引起注意的。并在最大程度上切斷資金外流通道，追回贓款，挽回加密貨幣持有人的損失。監管機構或調查金融犯罪等機構也得以通過搜集到的各方面信息進行梳理、比對，逐步還原資金流向。

然而，加密貨幣能夠全球性流通，追蹤過程無法靠一己之力完成，還需要借助國內外等多方力量的協助，執行起來要復雜得多，即便能夠準確定位黑客的身份和位置所在，將丟失的加密貨幣全部追回的可能性也并不大。

加密貨幣安全公司CipherTraceCEODavidJevans曾表示，當交易平臺或交易所遭到黑客攻擊，由于加密貨幣可以輕易地跨越不同的國界，只有20%的被盜加密貨幣能夠找回。

接連兩次的攻擊都在警示我們，保障加密貨幣的安全不能僅依靠區塊鏈技術本身的優勢，可以看到黑客已經掌握了DeFi系統性風控漏洞的要害，無論是加密平臺還是加密貨幣持有者，都應當提高風險防范意識。

對加密平臺而言，盡可能的彌補技術短板，提升交易信息的透明度，并完善相應的反洗錢預警機制，在第一時間對加密貨幣風險作出反應。

對加密貨幣持有者而言，無論是反洗錢機制還是刑事法律制裁，都只能起到事后救濟的作用，而目前制度框架還處在搭建和完善中，未必能提供強有力的保護。因此，提高警惕心理，妥善保管交易密鑰，強化賬戶認證端口才能盡到最大程度的事前防范。

“飛船”起飛爆炸，DeFi就此滅亡？

“我對于官方能給補償什么的，基本不抱希望。”DeFi借貸協議Lendf.Me資產被盜后，多數投資者存放在平臺上的資產打了水漂，“白特冪”便是其中之一。他在社交平臺上表示自己存入Lendf.Me用來理財的USDT因該協議被攻擊而消失一空，但他覺得開發團隊的賠付能力不足，并透露出放棄追索的想法。

“前陣子，這個DeFi項目成為了Multicoin資本投資的第一個開放金融項目，跟投的包括火幣、招銀國際等知名資本方，但也融到了不過150萬美元。就目前的情況看，我不認為團隊有能力填補眼前近2500萬美元的資產損失。”

這個事件背后，另外一個魔幻的地方在于，國外加密貨幣圈子的朋友，相當部分嘲諷起了Lendf.me，甚至是整個中國的相關區塊鏈項目。

在區塊鏈創業賽道里，中國團隊集中分布在公鏈、Dapp領域，做Lendf.me這樣協議類的團隊非常少。而中國的“區塊鏈項目”，似乎被太多的資金盤項目給污名化了，導致在部分外國朋友眼中看來，中國的項目就是空氣、詐騙。

“如果你真的信任中國的DeFi協議，你可以換個新工作了”

“我們應該提供這樣一項咨詢服務，如果有人想在并不了解的中國項目里投資，我們只需要告訴他們別投資，就可以拿到3成咨詢費了。”

“你真的會相信中國的DeFi項目？”

與現有的銀行、證券交易所等中心化金融系統不同，DeFi的創建們希望能用代碼和智能合約創造一個無需審查權限、地位平等、人人可參與的開放金融生態。DeFi大規模發展的基礎設施是各種去中心化協議，從功能上看，這些協議包含了發行資產、交易、抵押借貸、融資等各種現實世界中存在的金融職能，且可利用智能合約的橋接，讓各種功能在一個體系內實現。

理想是美好的，現實總是很殘酷。DeFi無法逃脫中心化系統也可能面臨的風險，包括安全風險和經濟危機，在抗風險能力上，還沒有中心化系統強大。

進入2020年，DeFi領域幾乎每個月都發生了大規模的資產風險事件。其中既包括像bZx、Lendf.Me出現的技術風險，也包括MakerDao在“3·12”市場劇烈波動下的流動性風險。此次，Uniswap和Lendf.Me兩協議先后遭攻擊，2500多萬美元的資產被盜，DeFi金融基礎設施再次暴露了脆弱性。

今年2月，在ETHDenver大會期間，黑客在15秒內連續利用Dydx、Compound、Uniswap、bZx和Kyber總共5個DeFi產品，一頓操作成功套利35萬美元。全程15秒鐘，1分錢都沒有花，變戲法一樣獲得了超過35萬美元的收益，而且這一系列操作，絲毫不違規，完全是一次完美合法的套利行動。

DeFi金融系統和它的基建成員們，既要面對智能合約漏洞遭黑客攻擊的風險，也存在貸款的結構性缺陷；如果出現濫用職權的超級管理員突破道德約束，還將面臨毀滅性的打擊；bZx漏洞事件暴露出了潛在的市場操縱風險；“3·12”的市場大跌又讓外界一睹DeFi在市場流動性風險到來時的應對局促。

DeFi的目標應該是讓無法享受金融服務的人也能無門檻地獲得金融服務，改善生活甚至改變命運，而不應該是讓用戶成為炮灰。財產安全問題得不到保障，DeFi做得再出色，也不會有用戶。

不可否認的是，無需權限、抗審查、開放性的DeFi金融體系依然十分脆弱，建設者們仍舊需要在一次次的風險中鞏固基礎設施。

DeFi作為一種全新的范式轉移，開啟了新興的金融模式之路，會在一定程度上改善我們的基礎金融業務，未來依然令人激動。然而，如何保障其安全性，是今后區塊鏈從業者必須要解決的問題。

總之，安全永遠排在第一位。道阻且長，前途是光明的，道路是曲折的。

投資者如何平衡風險及收益？

想要獲得收益，必須接受風險。不確定性是這個世界的本質屬性。

目前，不同的DeFi產品，風險各不相同。抵押借貸類DeFi產品的風險包括：

智能合約代碼安全性引入的風險；

智能合約AdminKey引入的運營風險；

持有特定資產本身的風險；

抵押借貸類DeFi本身的市場風險

智能合約平臺的風險；

用戶自身私鑰管理的風險。

針對智能合約代碼安全性引入的風險，安全審計報告是規避智能合約風險的第一道關口，也是最重要的關口，也是目前唯一能前置規避智能合約風險的措施，我們需要更加重視平臺關聯的審計報告。時間是最好的檢驗，經過長時間有效實戰檢驗的智能合約，風險將顯著降低。

針對智能合約AdminKey引入的運營風險，用戶需要檢查運營方是否主動披露AdminKey權限、AdminKey的權限范圍，以及對AdminKey權限是否設置了延時生效機制。延時生效機制是防范AdminKey的侵入式權限對用戶造成傷害的有效防御手段，同時也是反應運營方態度的關鍵看點。同時，用戶可以檢查持有AdminKey權限的運營方本身的信譽，其所處的司法管轄區是否能起到有效的保護作用。

對于用戶來說，學習相關知識，建立一套完善的、適合自身的私鑰管理體系，是非常重要的。其中備份、保密機制、物理存放安全以及人身事故后的預案。同時可以通過使用智能錢包規避私鑰管理的風險。另外，從投資的角度，務必遵守“分散原則”。

Tags：加密貨幣ENDDEFIDEF加密貨幣市場最新消息分析Ascendex交易所怎么樣DeFi BidsFarm Defi

Luna