DeFi遭遇黑客洗劫：1個月3項目被盜，1個項目就被卷走659萬美元_END

文：比薩林格

來源：一本區塊鏈

近日，三個DeFi項目接連遭遇黑客，資產被盜，震動了行業。

光是其中一個平臺，就損失了659萬美元。

而這并非個別現象。僅僅是在2020年的2-3月，DeFi領域就出現了6起安全事件，損失超過150萬美元。

DeFi因此被推向了風口浪尖。有用戶戲言，頻頻被盜的DeFi，已經成為了黑客的提款機。

DeFi背后到底存在什么漏洞，讓黑客有機可乘？備受安全隱患困擾的DeFi，未來路在何方？

01?被盜

4月21日，DeFi平臺PegNet遭遇了51％攻擊。

PegNet是一個去中心化交易平臺，用戶可以在這里進行42種不同資產的交易。

當天，PegNet核心開發人員在網上表示，4名礦工控制了70%的算力，人為抬高了與日元掛鉤的穩定幣價格，從而將一個11美元的錢包變成了670萬美元的。

由此，黑客獲利659萬美元。

萬幸的是，平臺其他用戶的資金未受損失。

這已經是DeFi領域近期出現的第三起安全事件。

4月19日早晨，DeFi項目Lendf.Me在區塊高度9899681遭到黑客攻擊，價值近2500萬美元的資產被席卷一空。

賓夕法尼亞大學教授：穩定幣對DeFi至關重要，對于監管執法也非常有用:8月11日消息，賓夕法尼亞大學教授Kevin Werbach在推特上表示，穩定幣對DeFi至關重要，中心化的穩定幣市場占有率大于95%，它們可以阻止非法交易，比如Tether凍結Poly Network黑客的USDT。穩定幣還將對監管機構、金融犯罪執法和制裁非常有用。他提問，如果社區不得不接受對所有穩定幣的銀行級監督（完整的AML/KYC、交易封鎖和合法程序披露、資本和準備金要求），以換取對其他DeFi協議的不直接監管，你會接受這筆交易嗎？[2021/8/11 1:48:31]

鏈上數據表明，黑客通過滾雪球的方式轉走多筆資產，每一筆的金額都比上一筆翻倍。

盜幣攻擊隨即引發鏈上數據異動。DeFiPulse數據顯示，24小時內，作為Lendf.Me開發方的dForce，鎖倉資產迅速暴跌，僅剩6美元。

DeFiPulse數據顯示，lendf.Me鎖倉資產跌至6美元

同時，投資者發現，Lendf.Me上的多筆資金利用率已經高達99%，imBTC的資金利用率甚至高達100%，幾乎所有可借資產的借出率都居高不下。

報告：第一季度調整后DeFi TVL增長50％ NFT交易量增長超25倍:CoinDesk今日發布了2021年第一季度行業趨勢報告。報告稱，經過一年的指數增長和活動之后，去中心化金融（DeFi）已開始降溫。在2021年第一季度，DeFi應用程序的加密資產管理總規模的美元價值似乎增長了150％，從大約200億美元增至500億美元。但是，大部分活動反映了以太坊和其他基于以太坊的代幣的美元價值不斷上升，而不是所管理的加密資產實際數量的增長。在調整此“價格效應”后，可以看到DeFi的總鎖定價值（TVL）在本季度增長了50％，并在3月底逐步修正。此外，去中心化交易所（DEX）的交易量也出現了類似的穩定增長模式，并且在第一季度末略有下降。搶走DeFi風頭的是NFT行業，交易量增長了25倍以上，某些市場的估值超過20億美元。[2021/4/22 20:45:40]

Lendf.Me站點很快被關停。開發團隊在用戶界面用紅字提醒用戶，不要向合約地址存款。

詭異的是，就在所有人都以為損失無可挽回之際，事件出現了反轉。

4月19日晚10點左右，盜幣黑客開始向lendf.Me陸續返還資產，并附言“Betterfuture”，似乎在警示平臺。

4月21日下午，北京鏈安Chainsmap監測系統發現，黑客向平臺歸還了幾乎所有盜竊的代幣，包括57992枚ETH、425.61枚MKR、13.7萬枚DAI、50萬枚USDT，以及252.34枚imBTC等。

Creed Finance綜合Defi項目正式上線:據官方消息，9月10日，Creed Finance 表示，結合了AI技術的去中央化金融（DeFi）項目正式上線，據了解，已經在Uniswap登錄的Creed.Finance \"將通過結合了AI技術的Defi平臺，提供收益最大化及風險最小化等更優化的Defi模式\"，以社區為基礎的平臺運營模式，為Defi的發展做出貢獻。

據悉該項目顧問包含BITMEX前營銷負責人Lisa Loud等知名人士。

CREED.FINANCE 于10日在Uniswap上線，目前價格為8美元。[2020/9/15]

Lendf.Me在此次事件中被盜資產，全部被收回。

黑客為什么要返還所有資產？

4月22日，dForce公布了事件細節，人們才似乎發現了個中原因：

安全團隊通過黑客留下的痕跡及國內外各方資源，獲得了突破性線索，黑客可能迫于包括在內的多方壓力，不得不主動歸還資產。

在Lendf.Me被盜幣的前一天，以太坊上的DeFi項目Uniswap交易所，也遭到了黑客攻擊。

這起盜幣事件的攻擊方式與Lendf.Me被盜事件如出一轍：黑客都采取了“重入攻擊”。

而Lendf.Me和Uniswap都是DeFi界的“網紅”，被盜，或許是因為樹大招風。

萬卉：YFII“二姨夫”拯救了DeFi農民:Primitive Ventures創始合伙人萬卉（Dovey Wan）在微博表示，一個新的流動性挖礦項目chick被@幣圈二姨夫合約審計團隊發現有后門。而且是非常惡意的把合約定義“public” 偽裝成“pub1ic” 這樣讓別人一眼看上去是公共函數（但是實際不是）所以可以隨時把合約的錢轉走跑路…… 各種流動性挖礦的風險實在太高，特別是匿名團隊。

昨天直播忘記說現在二姨夫的社區人員組成和分工，光是合約審計的科學家小伙伴都有20位了。對所有備選挖礦項目的選擇，審計和挖礦策略，才是二姨夫最大的競爭力。這個是一個突然號稱自己全面轉型DeFi的團隊無法積累的人才實力，連孫哥都上線翻車了不是。

據此前報道，YFII社區核心開發者表示，流動性挖礦項目chick.finance合約存在致命風險，請避免參與。YFII社區提醒廣大“農民”，參與流動性挖礦項目務必注意風險，本金安全第一。[2020/8/24]

Lendf.Me是dForce開發的去中心化借貸項目，去年9月啟動，在半年多后一躍成為最大的法幣穩定幣借貸協議。

在盜幣事件發生4天前，它才剛獲得來自MulticoinCapital、火幣資本和招銀國際的150萬美金戰略投資。

而截至發稿前，Uniswap更是以4160萬美元的鎖倉資產，位居DeFi鎖倉資產排行榜第四名。

波卡 DeFi 平臺 Acala 已支持波卡測試網代幣體驗跨鏈相關操作:波卡DeFi平臺Acala的MandalaPC1（候選平行鏈1）正式出現在波卡Rococo平行鏈測試網分支中。目前用戶可體驗將ROC（DOT測試幣）從Rococo中繼鏈轉入AcalaMandalaPC1，通過Homa流動性釋放協議換成LDOT，并能將LDOT參與超額抵押借出aUSD或通過內置DeX換成其他資產等DeFi應用。另外，由于Acala網絡的自定義手續費機制（Flexifee），用戶已可用ROC作為網絡手續費，完成平行鏈與中繼鏈之間的相關操作。[2020/8/24]

DeFi鎖倉資產排行榜圖源：DeFiPulse官網

因為這幾起盜幣事件，DeFi陷入了前所未有的信任危機中。

02?黑客提款機

這并不是DeFi第一次集中出現安全危機。

2020年的2-3月，DeFi領域已出現6起安全事件，其中2月4起，3月2起，共損失資金超過150萬美元。

因為安全事件頻發，DeFi項目開始被投資者戲稱為“黑客提款機”。

這劑曾被視為解決傳統金融問題的“良藥”，逐漸變成了受害者口中的“藥”。

究竟是什么讓DeFi在黑客面前變得如此脆弱，不堪一擊呢？

“在一個復雜系統的產生和發展的過程中，出現安全事件是必然的。”TheForceProtocol、ForTube聯合創始人雷宇告訴一本區塊鏈。

他認為，在DeFi領域，引發安全事件的原因有多種，既有開發團隊技術積累不足的原因，也有DeFi應用可組合性帶來的局部風險放大。

區塊鏈安全公司PeckShield品牌總監郝天，也持類似觀點。

“DeFi產品之間有較強的可組合性，這讓不同DeFi產品之間產生了流通性和資產共享，但產品組合可能會因為業務邏輯上的差異，出現一些0day漏洞。”郝天告訴一本區塊鏈。

零日，最早出現在戰爭中——一些大規模可毀滅世界的事物導致的危機，被稱之為零日危機。而在世界毀滅之后，重新建立新文明的第一天，即為0day。

此后，在黑客文化中，一些大規模、致命性、高威脅性、能夠造成巨大破壞的漏洞，也被稱為零日漏洞。

郝天認為，造成DeFi領域安全事件頻發的原因，還有兩點。

第一，DeFi協議目前主要做的是資產托管或借貸理財服務，管理著大量的用戶資產，且都是開源的，容易吸引黑客。

第二，不少開發者低估了漏洞的風險——目前主流的DeFi協議都基于以太坊網絡搭建，以太坊過往出現的各種漏洞，都有可能在DeFi上復現。

除了安全隱患之外，市場上還不乏一些蹭熱度的偽DeFi項目。

以愛糯米社區為例。

“愛糯米社區打著DeFi的口號吸引用戶，主要業務卻是數字貨幣理財：把用戶的資產拿到其他交易所理財，再付給用戶利息。”幣圈玩家張鵬告訴一本區塊鏈。

在愛糯米社區APP內的開放金融界面，主推的都是量化理財產品，只有一款UniSwap去中心化交易所DeFi產品，功能是把ETH兌換成DAI。

愛糯米社區APP界面

今年2月，FCoin崩盤，愛糯米社區偽DeFi的真面目也被揭開。愛糯米有部分資金在FCoin參與挖礦，FCoin崩盤后，這部分資金無法提現。

“我是被DeFi吸引來的，沒想到最后卻玩起了量化理財，雖然平臺退還了本金，但還是感覺被騙了。”張鵬表示。

03?未來何在？

DeFi又被稱為“開放金融”，從業者把它比喻為傳統金融的平行世界。

曾幾何時，它被認為是區塊鏈發展史上在比特幣之后的第二個突破。

“DeFi的目標是構建透明化的金融系統。”區塊鏈行業從業者呂志強告訴一本區塊鏈。

這個系統向所有人開放，無須許可，不用依賴于第三方機構即可完成金融的需求，傳統金融也可以和DeFi融合，互相補充。

DeFi一經誕生，就吸引了所有人的目光，在公鏈、DAPP等區塊鏈應用都被證偽之后，DeFi成為區塊鏈從業者凝聚共識的新戰場。

DeFi行業地圖

區塊鏈數據平臺DAppTotal數據顯示，2019年，DeFi借貸市場取得了快速的發展，行業龍頭項目MakerDAO的ETH鎖倉量增長了25.66%。另一個借貸平臺Compound也同樣如此，鎖倉資產一年翻了4倍。

DAI成為了DeFi借貸市場流通之王，USDC則成為新興穩定幣市場中增長最為迅速的新興穩定幣種。

DeFi看起來已經成為了以太坊的殺手級應用。

各大公鏈也開始躍躍欲試，Polkadot和Cosmos在2019年就開始搭建自己的DeFi生態，國產公鏈Conflux也宣布要構建自己的DeFi生態。

但一切并沒有那么簡單。如今，很多人的態度出現了動搖。

在Lendf.Me盜幣事件發生的第二天，HelloEOS創始人梓岑發文稱，DeFi“沒有能力證明自己不是一劑藥”。

BlockVC創始合伙人徐英凱更是直指，DeFi是已被“戳破”的三大區塊鏈應用騙局之一。

今年的“3·12”事件讓DeFi遭受重創，加上DeFi項目頻頻被盜，很多人開始意識到，DeFi并沒有想象中的那么安全。

“DeFi領域會和去年的DApp領域一樣，成為黑客攻擊的重災區。”?郝天表示，DeFi開發者不能掉以輕心。

無論如何，仍有許多從業者對DeFi的未來充滿希望。

黑客的虎視眈眈會對DeFi制造壓力，但也會鞭策后者建立牢固的安全城池。

“換個角度看，黑客攻擊也是促使整個行業更健康、安全地發展的契機。”雷宇表示。

DeFi如同一個出生不久的嬰兒，人們還不知道其未來面貌。

它會創造一個嶄新的金融世界嗎？

它是一個加杠桿的騙局嗎？

不妨把答案，留給時間。

*文中部分受訪者為化名。

Tags：DEFDEFIEFIENDDEFLCT幣比特令牌幣defi3.0SDEFIBitcoinVend

瑞波幣