文:比薩林格
來源:一本區塊鏈
近日,三個DeFi項目接連遭遇黑客,資產被盜,震動了行業。
光是其中一個平臺,就損失了659萬美元。
而這并非個別現象。僅僅是在2020年的2-3月,DeFi領域就出現了6起安全事件,損失超過150萬美元。
DeFi因此被推向了風口浪尖。有用戶戲言,頻頻被盜的DeFi,已經成為了黑客的提款機。
DeFi背后到底存在什么漏洞,讓黑客有機可乘?備受安全隱患困擾的DeFi,未來路在何方?
01?被盜
4月21日,DeFi平臺PegNet遭遇了51%攻擊。
PegNet是一個去中心化交易平臺,用戶可以在這里進行42種不同資產的交易。
當天,PegNet核心開發人員在網上表示,4名礦工控制了70%的算力,人為抬高了與日元掛鉤的穩定幣價格,從而將一個11美元的錢包變成了670萬美元的。
由此,黑客獲利659萬美元。
萬幸的是,平臺其他用戶的資金未受損失。
這已經是DeFi領域近期出現的第三起安全事件。
4月19日早晨,DeFi項目Lendf.Me在區塊高度9899681遭到黑客攻擊,價值近2500萬美元的資產被席卷一空。
加密做市商Wintermute在DeFi黑客攻擊中損失1.6億美元:9月20日消息,加密做市商Wintermute創始人Evgeny Gaevoy在社交媒體上發文表示,Wintermute在DeFi黑客攻擊中損失1.6億美元,目前其CeFi和OTC業務不受影響。[2022/9/20 7:08:19]
鏈上數據表明,黑客通過滾雪球的方式轉走多筆資產,每一筆的金額都比上一筆翻倍。
盜幣攻擊隨即引發鏈上數據異動。DeFiPulse數據顯示,24小時內,作為Lendf.Me開發方的dForce,鎖倉資產迅速暴跌,僅剩6美元。
DeFiPulse數據顯示,lendf.Me鎖倉資產跌至6美元
同時,投資者發現,Lendf.Me上的多筆資金利用率已經高達99%,imBTC的資金利用率甚至高達100%,幾乎所有可借資產的借出率都居高不下。
Lendf.Me站點很快被關停。開發團隊在用戶界面用紅字提醒用戶,不要向合約地址存款。
詭異的是,就在所有人都以為損失無可挽回之際,事件出現了反轉。
The Spartan Group招聘分析師以在DeFi尋找早期投資機會:The Spartan Group正在招聘一名分析師加入新風險基金團隊。新風險基金團隊在加密貨幣領域有良好記錄。職責包括在DeFi尋找早期投資機會;定期與Spartan投資組合創始人溝通以提供支持;支持在DeFi制定我們不斷發展的基金論文。[2021/2/1 18:36:10]
4月19日晚10點左右,盜幣黑客開始向lendf.Me陸續返還資產,并附言“Betterfuture”,似乎在警示平臺。
4月21日下午,北京鏈安Chainsmap監測系統發現,黑客向平臺歸還了幾乎所有盜竊的代幣,包括57992枚ETH、425.61枚MKR、13.7萬枚DAI、50萬枚USDT,以及252.34枚imBTC等。
Lendf.Me在此次事件中被盜資產,全部被收回。
黑客為什么要返還所有資產?
4月22日,dForce公布了事件細節,人們才似乎發現了個中原因:
安全團隊通過黑客留下的痕跡及國內外各方資源,獲得了突破性線索,黑客可能迫于包括在內的多方壓力,不得不主動歸還資產。
在Lendf.Me被盜幣的前一天,以太坊上的DeFi項目Uniswap交易所,也遭到了黑客攻擊。
Pantera Capital正加大對DeFi資產的投資:金色財經報道,Pantera Capital透露,其數字資產基金打算對DeFi資產進行比其他市場更大的投資。Pantera聯合首席投資官Joey Krug指出,無論是在鎖定價值還是在去中心化交易所的交易量方面,DeFi領域的增長速度都很快。Krug相信DeFi是金融的未來,而不是另一個泡沫。[2020/10/8]
這起盜幣事件的攻擊方式與Lendf.Me被盜事件如出一轍:黑客都采取了“重入攻擊”。
而Lendf.Me和Uniswap都是DeFi界的“網紅”,被盜,或許是因為樹大招風。
Lendf.Me是dForce開發的去中心化借貸項目,去年9月啟動,在半年多后一躍成為最大的法幣穩定幣借貸協議。
在盜幣事件發生4天前,它才剛獲得來自MulticoinCapital、火幣資本和招銀國際的150萬美金戰略投資。
而截至發稿前,Uniswap更是以4160萬美元的鎖倉資產,位居DeFi鎖倉資產排行榜第四名。
DeFi鎖倉資產排行榜圖源:DeFiPulse官網
幣贏CoinW將于9月22日20:00在DeFi專區上線HFI:據官方消息,幣贏CoinW將于9月22日20:00在DeFi專區上線HFI/USDT交易對,同時開啟“-0.1%Maker費率“活動。 據悉,HFI是幫助用戶為Uniswap提供流動性的協議,它可以在給Uniswap提供流動性的同時,還能開采出HFI,幫助用戶得到雙份DeFi收益。[2020/9/22]
因為這幾起盜幣事件,DeFi陷入了前所未有的信任危機中。
02?黑客提款機
這并不是DeFi第一次集中出現安全危機。
2020年的2-3月,DeFi領域已出現6起安全事件,其中2月4起,3月2起,共損失資金超過150萬美元。
因為安全事件頻發,DeFi項目開始被投資者戲稱為“黑客提款機”。
這劑曾被視為解決傳統金融問題的“良藥”,逐漸變成了受害者口中的“藥”。
究竟是什么讓DeFi在黑客面前變得如此脆弱,不堪一擊呢?
“在一個復雜系統的產生和發展的過程中,出現安全事件是必然的。”TheForceProtocol、ForTube聯合創始人雷宇告訴一本區塊鏈。
他認為,在DeFi領域,引發安全事件的原因有多種,既有開發團隊技術積累不足的原因,也有DeFi應用可組合性帶來的局部風險放大。
Compound超越Maker成為DeFi市值最高的項目:金色財經報道,截止發稿時,COMP在Uniswap的交易價格是0.434244 ETH。按照COMP的總代幣量,并按照當前ETH 230美元的價格,其整體市值(包括未流通代幣)達到998,761,200美元,位居DeFi市值第一,超過Maker代幣MKR的市值(截止發稿時,Maker市值為540,726,781美元。)即便按照流通代幣的市值來看,Compound當前已發行的代幣量為5,770,890個,其市值也達到576,374,102美元,也超越Maker成為DeFi市值第一。
此前消息,6月16日,去中心化借貸平臺Compound官方消息,今日凌晨,所有用戶已開始收到治理代幣COMP,標志著社區治理的開始。據了解,新的COMP將根據使用情況,每天獎勵給協議用戶。每一項資產的借款人和貸款者都將獲得獎勵,新的COMP將在每個區塊發放,每天將向該協議用戶提供大約2880枚COMP,持續4年。每天一半的COMP分配給資產供應商,另一半給借款人。最活躍的資產每天也會收到最多的COMP,所以配置會隨著市場的變化而變化。[2020/6/16]
區塊鏈安全公司PeckShield品牌總監郝天,也持類似觀點。
“DeFi產品之間有較強的可組合性,這讓不同DeFi產品之間產生了流通性和資產共享,但產品組合可能會因為業務邏輯上的差異,出現一些0day漏洞。”郝天告訴一本區塊鏈。
零日,最早出現在戰爭中——一些大規模可毀滅世界的事物導致的危機,被稱之為零日危機。而在世界毀滅之后,重新建立新文明的第一天,即為0day。
此后,在黑客文化中,一些大規模、致命性、高威脅性、能夠造成巨大破壞的漏洞,也被稱為零日漏洞。
郝天認為,造成DeFi領域安全事件頻發的原因,還有兩點。
第一,DeFi協議目前主要做的是資產托管或借貸理財服務,管理著大量的用戶資產,且都是開源的,容易吸引黑客。
第二,不少開發者低估了漏洞的風險——目前主流的DeFi協議都基于以太坊網絡搭建,以太坊過往出現的各種漏洞,都有可能在DeFi上復現。
除了安全隱患之外,市場上還不乏一些蹭熱度的偽DeFi項目。
以愛糯米社區為例。
“愛糯米社區打著DeFi的口號吸引用戶,主要業務卻是數字貨幣理財:把用戶的資產拿到其他交易所理財,再付給用戶利息。”幣圈玩家張鵬告訴一本區塊鏈。
在愛糯米社區APP內的開放金融界面,主推的都是量化理財產品,只有一款UniSwap去中心化交易所DeFi產品,功能是把ETH兌換成DAI。
愛糯米社區APP界面
今年2月,FCoin崩盤,愛糯米社區偽DeFi的真面目也被揭開。愛糯米有部分資金在FCoin參與挖礦,FCoin崩盤后,這部分資金無法提現。
“我是被DeFi吸引來的,沒想到最后卻玩起了量化理財,雖然平臺退還了本金,但還是感覺被騙了。”張鵬表示。
03?未來何在?
DeFi又被稱為“開放金融”,從業者把它比喻為傳統金融的平行世界。
曾幾何時,它被認為是區塊鏈發展史上在比特幣之后的第二個突破。
“DeFi的目標是構建透明化的金融系統。”區塊鏈行業從業者呂志強告訴一本區塊鏈。
這個系統向所有人開放,無須許可,不用依賴于第三方機構即可完成金融的需求,傳統金融也可以和DeFi融合,互相補充。
DeFi一經誕生,就吸引了所有人的目光,在公鏈、DAPP等區塊鏈應用都被證偽之后,DeFi成為區塊鏈從業者凝聚共識的新戰場。
DeFi行業地圖
區塊鏈數據平臺DAppTotal數據顯示,2019年,DeFi借貸市場取得了快速的發展,行業龍頭項目MakerDAO的ETH鎖倉量增長了25.66%。另一個借貸平臺Compound也同樣如此,鎖倉資產一年翻了4倍。
DAI成為了DeFi借貸市場流通之王,USDC則成為新興穩定幣市場中增長最為迅速的新興穩定幣種。
DeFi看起來已經成為了以太坊的殺手級應用。
各大公鏈也開始躍躍欲試,Polkadot和Cosmos在2019年就開始搭建自己的DeFi生態,國產公鏈Conflux也宣布要構建自己的DeFi生態。
但一切并沒有那么簡單。如今,很多人的態度出現了動搖。
在Lendf.Me盜幣事件發生的第二天,HelloEOS創始人梓岑發文稱,DeFi“沒有能力證明自己不是一劑藥”。
BlockVC創始合伙人徐英凱更是直指,DeFi是已被“戳破”的三大區塊鏈應用騙局之一。
今年的“3·12”事件讓DeFi遭受重創,加上DeFi項目頻頻被盜,很多人開始意識到,DeFi并沒有想象中的那么安全。
“DeFi領域會和去年的DApp領域一樣,成為黑客攻擊的重災區。”?郝天表示,DeFi開發者不能掉以輕心。
無論如何,仍有許多從業者對DeFi的未來充滿希望。
黑客的虎視眈眈會對DeFi制造壓力,但也會鞭策后者建立牢固的安全城池。
“換個角度看,黑客攻擊也是促使整個行業更健康、安全地發展的契機。”雷宇表示。
DeFi如同一個出生不久的嬰兒,人們還不知道其未來面貌。
它會創造一個嶄新的金融世界嗎?
它是一個加杠桿的騙局嗎?
不妨把答案,留給時間。
*文中部分受訪者為化名。
編者注:原標題為《提高貨運透明度,亞航開通基于區塊鏈的貨運溯源網絡》據外媒4月20日報道,亞航集團旗下的物流公司Teleport宣布推出基于分布式賬本技術的數字網絡Freightchain.
1900/1/1 0:00:004月14日消息,美國聯邦調查局在其官網發布警告稱,與新冠大流行有關的騙局預計將會增加,欺詐者會利用日益加劇的恐懼情緒和不確定性竊取受害者的資金,并通過復雜的加密貨幣生態系統洗錢.
1900/1/1 0:00:00以太坊生態系統中如今最受推崇的應用之一,去中心化金融,近日再次遭受黑客攻擊,受到了加密生態系統的廣泛關注,黑客利用同一種漏洞襲擊了兩個DeFi平臺并竊取資產.
1900/1/1 0:00:00剛剛,我用火燒了助記詞板前段時間參加了一個征文比賽,主辦方送我的禮包里有一個助記詞板。 我很喜歡,作為EDC老玩家的我很容易測評這款產品的工業設計:流暢硬朗的外型,磨砂航空鋁的觸感,有一種鴿子羽.
1900/1/1 0:00:004月9日,重慶市急救醫療中心的互聯網醫院掛牌成立后,開出重慶市首張在線醫保報銷結算電子處方。據了解,患者可在重慶市急救醫療中心互聯網醫院APP通過視頻方式接受醫生遠程診斷,進行線上醫保支付,并且.
1900/1/1 0:00:00文|互鏈脈搏·元尚 4月16日,具有百年歷史的招商局集團旗下核心企業招商港口發布了2019年財報,財報“三提”區塊鏈業務,并且將這一技術置于公司戰略非常重要的角色,也是歷年財報首提區塊鏈.
1900/1/1 0:00:00