EFI:DeFi之暗面——HackFi:2020年DeFi安全事件盘点

DeFi的热潮点燃了2020年的市场情绪,但伴随着应用的发展,新的风险也悄然滋生。

据Odaily星球日报不完全统计,从二月借贷及交易协议bZx被盗,到年末明星保险项目CoverProtocol崩盘,2020年DeFi领域内已发生了四十余起起攻击事件,损失金额高达1.774亿美元。从刚刚上线的全新应用,到成名已久的头部协议,黑客们已然“鲨疯了眼”,恍惚之间,DeFi似乎变成了“科学家们”的提款机,甚至被戴上了HackFi这一调侃式的昵称。

为了尽可能清晰地复盘2020年DeFi领域的安全状况,我们将根据各大DeFi应用在遭遇攻击后发布的事件报告,同时结合派盾、慢雾等业内头部安全公司给出的调查分析,对DeFi领域2020年发生的所有安全事件进行一次系统梳理。

根据事件发生的不同起因,本文将所有攻击分为了「技术因素事件」、「金融因素事件」、「人性因素事件」以及「其他事件」四大类。

需要注意的是,DeFi应用跨越了科技及金融两大维度,因此一起安全事故的起因往往是多因素、多维度的复合,下文中,即便某起事件被划分为A类,也不代表该事件的发生不存在其他B类因素,在一些具体案例内我们会指明标注。

一、技术因素事件

“币圈一天,人间一年;DeFi一天,币圈一年。”

外部市场的瞬息万变以及DeFi应用本身的创新性和复杂性决定了,即便是思维最缜密的开发者也很难在产品快速迭代的同时做到十全十美,因此在合约编写或产品设计中往往难免出现或大或小的漏洞及不完善之处。纵观一年以来发生的针对DeFi应用的各种攻击,可归于此类别的事件数量最多。

往细了说,这一大类可以再分为三个细分类别:协议本身存在漏洞或是设计存在不完善之处;协议在交互过程中存在兼容问题;底层网络存在特殊性或发生故障。

第一类:协议本身存在漏洞或是设计存在不完善之处

首先是第一类——DeFi协议本身存在漏洞或是设计存在不完善之处,这一细分类别的逻辑最为清晰,理解起来也最容易,我们将直接通过几个典型案例加以说明。

典型案例一:PickleFinance

11月22日,旨在通过流动性挖矿方案来帮助稳定币实现价格强锚定的DeFi应用PickleFinance遭黑客攻击。黑客在调用Controller合约中的swapExactJarForJar函数时伪造了_fromJar和_toJar的合约地址,通过转入假币换取了合约中的真DAI,成功窃取了约2000万美元的DAI。从失窃金额上来看,PickleFinance被黑无疑是本年度最严重的DeFi安全事件之一。

事件的结局有些出人意料,遭遇重创的PickleFinance最终迎来了他们的救世主——DeFi领域最活跃的男人、Yearn创始人AndreCronje。11月24日,Andre宣布Yearn将合并PickleFinance的开发资源,同时PickleFinance还将推出全新的治理代币DILL,并将向受本次黑客事件影响的用户分发补偿代币CORN。CORN的申领已于11月29日正式启动。

数据:stETH目前是DeFi借贷协议Euler Finance上第二大借入资产:6月12日消息,Token Terminal发推称,stETH目前是DeFi借贷协议Euler Finance上第二大借入资产(borrowed asset)。

此前6月初消息,基于以太坊的DeFi借贷协议Euler Finance宣布完成3200万美元融资,Haun Ventures领投,Variant、FTX Ventures和Jump Crypto等参投。

据悉,Euler Finance使用了一种框架式的借贷风险评估方案,团队将于今年晚些时候推出DAO,使用户能够对Euler的开发和运营进行治理,并决定如何使用其社区金库。[2022/6/13 4:20:53]

回顾PickleFinance事件的整个攻击流程,其关键在于swapExactJarForJar未能识别黑客部署的两个伪Jar,合约漏洞最终酿成了悲剧。

典型案例二:CoverProtocol

明星保险项目CoverProtocol这一年过的可以说是跌宕起伏,从SAFE时代的创始人决裂,到Cover初期成功抱上Yearn的大腿,再到12月末的惊魂一夜,电影剧本都不敢这么写。

12月28日,CoverProtocol遭遇黑客攻击,这也是2020年发生的最后一起DeFi安全事件。当晚,攻击者利用CoverProtocol的业务逻辑错误天量增发COVER代币并砸盘套现,COVER的价格也从800美元左右开始一路暴跌,几近归零。

图片来自:PeckShield?

有意思的是,本次黑客事件中的主要攻击地址指向了另一个DeFi项目GrapFinance,该项目随后也已将其套现获取的4350枚ETH还给了CoverProtocol团队,并销毁了剩余的增发COVER。尽管客观上来讲,GrapFinance的行为确实像是白帽黑客为了保护CoverProtocol而采取了极端措施,但其行为仍然引起了不少的争议,一些声音质疑GrapFinance其实是因为身份泄漏不得不选择归还“赃款”。

事件发生后,CoverProtocol官方宣布计划根据漏洞发生之前的数据快照结果分发新的COVER代币,并将向流动性提供者分发共4441枚ETH作为激励。币安方面随后也宣布将启用「SAFU基金」为快照时间后在币安买入COVER的持仓受损用户进行补贴。

典型案例三:MakerDAO

作为稳定币赛道乃至整个DeFi领域的头部协议之一,MakerDAO也未能幸免。

「312」黑天鹅期间,由于ETH价格暴跌,MakerDAO内大量借贷的抵押率跌破清算门槛,引发了清算拍卖程序执行。然而,因同时以太坊网络gas费用出现短时激增,清算机器人提交的交易请求由于gas设置过低而受阻,某一清算人在没有其他竞争者的情况下,以0DAI的出价赢得了拍卖。

事件发生后,分析公司Whiterabbit发布报告称,12、13日MakerDAO因清算机制失灵而零价拍出的ETH抵押品价值高达832万美元,且系统内出现了567万DAI的无担保坏账。此后,为了弥补系统担保不足问题,MakerDAO启动了首次MKR拍卖以填补漏洞,后续又对协议机制进行了一系列改进以防止类似事件再次发生。不过,MakerDAO9月完成的一次社区投票拒绝了对受到该事件影响的用户做出赔偿,以PeterJohnson为首的受损用户随后将一项指控MakerDAO虚假陈述DAI相关风险的诉讼提交仲裁。

RazorNetwork与跨链DeFi解决方案Vortex展开合作:4月14日消息,去中心化预言机协议RazorNetwork(RAZOR)宣布与跨链DeFi解决方案Vortex进行合作,通过提供可靠和无法篡改的价格信息,Vortex能够保证其V-SWAP平台上点对点加密货币交易的准确价格。[2021/4/14 20:20:17]

梳理MakerDAO清算事件发生的始末,尽管严格来说MakerDAO在协议层面并没有出现硬性漏洞,但造成损失的主要原因仍是系统在设计上对极端情况准备不足,未能考虑到极端行情下gas费用暴涨的问题,从而导致其清算机制无法正常执行。

第二类——协议在交互过程中存在兼容问题

其次是第二类——协议在交互过程中存在兼容问题,本细分类别与第一个细分类别之间的界线其实较为模糊,从根本上来说都是协议存在不完善之处,但在细节上还是有着一定的差异,具体请看以下两个典型案例。

典型案例一:Uniswap&Lendf.Me

之所以将这两起安全事件放在一起,一是因为两起攻击发生的时间较为接近,二是因为造成两起攻击的原因基本相同。

4月18日,黑客利用Uniswap和ERC777标准的兼容性问题缺陷实施了重入攻击,获利约22万美元。仅仅一天后,又一知名DeFi平台Lendf.Me也被黑客以类似的手段实施了攻击,0x538359开头的攻击地址这一次共计从Lendf.Me获利约2523万美元,这也成为了2020年失窃数额第二大的一起DeFi黑客事件。

图片来自:PeckShield

幸运的是,交易聚合平台1inch发现黑客在交易时无意中泄露了有关其个人信息的重要元数据,随后将相关信息提交给了新加坡。重重压力下,黑客最终选择了妥协,全额归还了本次黑客事件的赃款。

PeckShield分析指出,ERC777出现的目的是对ERC20标准进行改进,其愿景是成为ERC20标准的有效继承者。不过由于DeFi项目的可组合特性,一个合约在不同产品之间相互调用时,其业务逻辑复杂度也会大大增加,这就给注入代码攻击提供了可能性。

典型案例二:Balancer

6月29日,AMM型DEXBlalancer遭黑客攻击,由于Balancer上的通缩型代币和其智能合约在某些特定场景不兼容,使得攻击者可以创建价格偏差的STA/STONK流通池并从中获利。

黑客通过四个步骤实施了本次攻击,具体流程如下:

先是通过闪电贷从dYdX平台借出了104331个WETH;

反复执行swapexactMountin()调用,直至Balancer拥有的大部分STA代币被消耗殆尽,最终Balancer仅仅剩余0.000000000000000001个STA;

利用STA代币和Balancer智能合约存在的不兼容性即记账和余额的不匹配性实施攻击,将资金池中的其他资产耗尽,最终共计获利价值523616.52美元的数字资产;

偿还从dYdX借出的闪电贷,并卷走攻击所得。

DeFi总市值397.1亿美元 OKEx平台LON领涨:据OKEx统计,DeFi项目当前总市值为397.1亿美元,总锁仓量为353.3亿美元;

行情方面,今日DeFi代币普涨,OKEx平台DeFi币种涨幅前三位分别是LON、1INCH、TRB;

截至20:00,OKEx平台热门DeFi币种如下:[2021/1/28 14:14:59]

事情发生后,Blalancer很快作出反应,先是宣布将把通缩型代币添加至其UI黑名单,随后又宣布将对蒙受损失的用户进行全额赔偿。

不同应用之间的可组合性筑造了DeFi的高楼,同时也带来了新的兼容性风险。在日新月异的DeFi领域,不同协议之间的组合未来势必会变得更加繁复,类似的黑客攻击大概率还会再次发生。

第三类——底层网络存在特殊性或发生故障

以太坊网络孕育了如今的DeFi世界,用户也早已习惯了以太坊的底层状况,当转而使用基于其他公链的DeFi应用时,用户一般都会想当然地以过往经验来进行风险评估,但事实往往却很残酷。此外,以太坊网络本身也不是绝对安稳,具体情况请看如下两个例子:

典型案例一:EMD

首先申明一点,所有的DeFi跑路事件都是不良项目方主观做恶所导致的结果,这一点无论在哪条底层网络上都是一样。就EMD而言,客观来讲也应该归类于第三大类「人性因素事件」,但鉴于该事件本身以及EOS底层网络的特殊性,我们还是选择了将其归类于此。

9月9日早间,慢雾、PeckShield相继发布风险提示,基于EOS的DeFi项目EMD疑似跑路,项目合约emeraldmine1向账号sji111111111转移了78万USDT、49万EOS及5.6万DFS。万幸,由于TokenPocket钱包表示EMD项目方曾使用过该钱包,留下了IP地址以及移动设备等信息,在法律制裁面前,最终项目方不得不同意归还资产。

值得注意的是,造成本次事件的一大关键点在于,EOS网络本身的特殊性导致非多签的EOS合约账号可转移合约内资金。主网部署记录显示,EMD在发布后确实曾对合约进行升级。项目方在跑路后甚至还通过转账附加信息叫嚣称:“EOS就是可以这么为所欲为。”

在EOS生态深耕多年的Meet.one负责人高锋也表示,不同于以太坊,EOS上的智能合约在发布后可以修改,且即使是多签也有权重高低之分,bloks.io等浏览器可以查看智能合约,但很多项目合约并没有开源。因此理论上,DeFi项目在EOS上比其他公链的风险也高些。

慢雾就此提醒称,投资者在参与EOSDeFi项目时应注意项目方权限是否为多签,是否存在修改权限等不安全因素。

典型案例二:Infura

11月11日,以太坊API服务商Infura的服务暂时中断,币安、Upbit、Bithumb等多个交易平台被迫暂停了ETH以及ERC20代币充提服务,参与DeFi时最常用的轻钱包MetaMask也出现余额显示异常、数据延迟等情况。

严格来说,Infura宕机事件的影响并不局限于DeFi领域,且从结果上看并未造成资金丢失,因此也算不上什么黑客事件,但该事件导致的网络数据异常确实对用户正常访问DeFi应用造成了阻碍。

二、金融因素事件

熟悉DeFi的朋友们可能还记得,入冬以来曾有过一阵安全事件高峰期,HarvestFinance、ValueDeFi、Akropolis、CheeseBank、OUSD等多个DeFi项目先后遭遇攻击,复盘那一段时间内发生的所有黑客事件,其中多起最终都指向了同一种手段——「闪电贷攻击」。

中币(ZB)将上线QFIL-Defi挖矿及QuickCash 跨链兑换ZAPP:根据官方公告,中币(ZB)将于10月19日20:00开放QFIL- DeFi挖矿及QuickCash 跨链兑换ZAPP,对于持有FIL的用户可以选择在中币QuickCash 跨链兑换ZAPP,进行FIL1:1兑换QFIL,参与DeFi流动性挖矿。

QuickCash 跨链兑换平台专注于稳定币交易和跨链兑换服务,目前支付FIL与QFIL兑换,持有FIL的用户可通过兑换轻松加入DeFi高收益流动性挖矿。后续QuickCash 跨链兑换平台将支持更多币种的跨链兑换服务。更多详情请查看中币官网。[2020/10/19]

所谓「闪电贷攻击」,其实是一个定义偏差,我们认为这一类攻击手段最准确的名字应该叫做「预言机操控攻击」,其基本逻辑是,黑客通过一系列手段出入各类抵押、借贷、交易协议,利用巨额资金扭曲某个单一市场的价格数据,进而扰乱预言机报价结果,最终实施套利。在此类事件中,黑客们往往会选择使用闪电贷——允许用户零抵押贷出巨额资产,但必须在同一个区块内还款,否则交易会回滚——来获取攻击所需的巨额筹码,长此以外,闪电贷便背上了“污名”,但我们需要清晰地认识到,闪电贷仅仅只是个金融工具,黑客成功干扰了预言机数据才是此类事件发生的根本原因。

尽管从具体情形来看,本类安全事件并非与技术因素毫无关系,但与第一大类「技术因素事件」不同,本类事件的起因往往更加偏向于金融维度,具体情况请看以下几个典型案例。

典型案例一:bZx

如果评选年内最倒霉的DeFi项目,借贷协议bZx绝对可以争一争头名。一方面,它是本年度第一个遭受攻击的DeFi项目,另一方面,bZx先后三次遭遇攻击也是本年度之最。

2月15日,2月18日,bZx在短短的三天内先后两次遭遇黑客攻击。PeckShield对两起事件的攻击流程进行了梳理,其中第一起的流程可概括为“闪电贷获取可用资金,囤积WBTC现货,杠杆拉盘WBTC价格,抛售WBTC现货,归还闪电贷”;第二起的流程可概括为“闪电贷获取可用资产,拉升sUSD价格,吸纳更多筹码,抵押sUSD借出更多ETH,归还闪电贷”。两次攻击分别对bZx造成了1271枚ETH、2378枚的损失,按当时价格计算约为35万美元、64万美元。

从攻击流程上看,尽管两次攻击的具体流程完全不同,但整体上的套利思路还是一致的,黑客利用了平台间共享流动性不足以及取价机制设计不够完善等客观条件,通过闪电贷短时间内获得了巨额筹码,针对性地干扰了某一市场内的价格数据,最终再利用操控后的报价成功于bZx内套利。

不幸中的万幸是,保险项目NexosMutual此前已支持了对bZx的保险服务,这意味着在NexosMutual内购买了bZx相关保险的用户可以申领赔偿。在事件发生后,NexosMutual社区也认同此次攻击造成的损失符合赔偿条件,bZx事件就此成为了NexosMutual的首个实施赔偿案。

不过,bZx的霉运并未就此结束,9月14日,该项目再次因合约漏洞失窃4700枚ETH,好在这一次bZx仅用了两天便找回了被盗资产。

典型案例二:Harvest.finance

10月26日,DeFi聚合协议HarvestFinance遭遇黑客攻击,根据项目官方后续发布的公告,本次攻击损失共计3380万美元,约占攻击发生前协议中锁仓总价值的3.2%,这也是整个2020年失窃金额数量最大的DeFi安全事件。

简单梳理本次HarvestFinance事件的黑客攻击逻辑,大致可分为如下三步:借贷——正向操作价格——逆向操纵价格。

火币集团COO朱嘉伟:DeFi和中心化金融本身并不矛盾,两种形态有不同的存在价值:8月12日下午,火币以新基建浪潮下区块链的新机遇为主题,在上海举办了2020年季度策略会。会议现场,火币集团COO朱嘉伟表示:DeFi的爆发引发了中心化金融和去中心化金融的讨论,从短期来看,这两种形态的存在都是有理由和价值的。去中心化的DeFi更适用于简单的场景,包括质押借贷、算法衍生品等;而中心化金融对需要人服务的场景更友好。

DeFi和中心化本身并不矛盾,未来DeFi会作为自动化执行的基础,DeFi本身是自动化的,更适合和程序打交道,这些程序很可能是是中心化金融中的人来写出来的。而中心化金融能提供更多人的服务,处理复杂的逻辑和风险,对普通人交互会友好一些。

朱嘉伟表示:“今年我们组建了DeFi实验室,准备投入近千万美金参与全球DeFi发展,希望可以为全球DeFi生态的建设做出贡献。”[2020/8/12]

黑客首先是通过闪电贷借出了大量的USDT以及USDC;随后在Curve协议y池将大量USDT兑换成USDC,导致USDC价格升高;由于Harvest池内USDC价格参考y池,也跟着上涨;此时再用USDC在Harvest池兑换更多的fUSDC;在y池对上述过程逆向操作,将大量USDC兑换成USDT,导致USDC价格降低;此时Harvest池内USDC价格也跟着下降;再用fUSDC可以兑换出比原来更多的USDC,最终完成套利。

12月9日,HarvestFinance正式启动了对受损用户的赔偿,因本次事件而蒙受损失的用户可在官方索赔网站上申领USDC、USDT以及全新的GRAIN代币。然而,HarvestFinance的赔偿方法却再次引发争议,鱼池创始人神鱼也在微博上直言项目方“鸡贼”,因为HarvestFinance在推出GRAIN时已大幅折价,用户几乎无法得到全额损失补偿,且GRAIN在上线二级市场后又是一路走低,截至1月3日凌晨,GRAIN报价已跌至0.04美元。

典型案例三:Compound

Compound创造性的流动性挖矿掀开了2020年DeFi热潮的第一章,但作为龙头借贷项目,Compound也未能逃过攻击者的狙击。

11月26日下午,Compound内突然出现了近9000万美元的清算数据,导致出现巨额清算的主要原因是,Compound的预言机数据源CoinbasePro的DAI价格出现了异常波动,一度飙升至1.34美元的不合理值。受此影响,Compound内大量借贷的抵押率跌破了清算阈值,除了使用ETH等非稳定资产贷出DAI的用户遭遇影响外,用稳定币借贷稳定币的用户也未能幸免。

事后看来,这是一起典型的预言机操控攻击,攻击者通过操控Compound预言机所依赖的信息源实现了短时间的价格操纵,成功误导了链上价格。数字资产服务商StakeCapital的创始人JulienBouteloup的链上分析证实了这一点,巨额清算发生期间,曾有人成功套利逾355万美元,该攻击过程主要分为如下几个步骤:使用闪电贷从UniswapWETH-DAI池借出4600万DAI;偿还Compound中的DAI债务;从清算中获取约23.96亿cDAI;将约22.26亿cDAI换成4628万DAI;向Uniswap偿还DAI的借款和利息;最后剩下1709万cDAI,折合约3553325美元,顺利完成套利。

Compound社区曾提交治理提案032号,以讨论是否为受本次事件影响的用户发放COMP补偿,但该提案最终未能通过。Compound创始人RobertLeshner则表示,希望社区可以利用这次清算事件作为进一步强化协议的催化剂,讨论激进或温和清算系统间的权衡方案,并在必要时增加额外的保障措施。

典型案例四:ValueDeFi

11月14日,曾宣称可防范闪电贷攻击的ValueDeFi惨遭黑客“打脸”,黑客利用闪电贷从Aave及Uniswap中借用了8万枚ETH以及1.16亿枚DAI,再通过一番骚操作成功从ValueDeFi内薅走约540万美元。值得一提的是,黑客在攻击得手后还给项目方留了一句挑衅意味十足的文字:“你真的懂闪电贷吗?”

事后,一名自称是护士的用户试图联系黑客称,其已把毕生的积蓄投入到该项目中,并请求黑客归还这些钱,尽管多位推特用户均质疑了该用户所言是否真实,但黑客还是向该用户转账了价值5万美元的稳定币;另一名用户称自己是一名19岁的大学生,为了所谓的高收益回报,损失了家里20万美元的积蓄,黑客后来也给这名用户发送了4.5万枚DAI。

惨遭“打脸”的ValueDeFi也吸取了教训,该协议在半个月后宣布集成了Chainlink喂价,以降低喂价操控攻击风险。该协议此后发布的Vaultsv1版本代码也已通过了Peckshield的审计,未发现重大问题。

典型案例五:CheeseBank

11月7日发生的CheeseBank攻击事件是一次极其典型的预言机操控攻击。

攻击发生在当日凌晨03:22,黑客先是通过闪电贷从dYdX贷出了21000枚ETH作为本金,再人为影响了UniswapV2上CHEESE池子的平衡,抬高CHEESE价值以及相应的UNI_V2LP代币的价值,最终从CheeseBank内成功薅走了约330万美元。

本次攻击的精妙之处在于,在实施攻击之前,黑客仔细演算过其持有的LP代币数量正好是能把CheeseBank清空的数额,不得不承认,这是一次从设计到执行都堪称“完美”的攻击。

11月24日,CheeseBank官推宣布已经追踪到一部分被盗资产和相关人员,目前已经锁定一名来自中国浙江的犯罪嫌疑人“张先生”,如果不能收回违法所得,CheeseBank将把所有相关证据移交中国。然而,截至发文,事件并没有出现任何实质性的进展,自那以后CheeseBank再也没有更新过任何推文。

三、人性因素事件

就像前文提到的EMD跑路事件,除了技术及金融相关风险外,DeFi领域内的人性之恶同样不容忽视。DeFi最火热时,新项目为了攫取更多流动性,往往会在初期给出惊人的收益回报,浮动年化收益率上百、上千乃至上万的项目相继出现。

高收益刺激着投机者们的神经,为了抢占头矿,获取最高收益,一些用户在未经充分调研的情况下匆匆存入资金,这也给恶意项目方提供了作恶机会,跑路事件屡见不鲜。

典型案例一:Sushiswap

Sushiswap显然当然跑路,这里要说的发生在9月的ChefNomi套现事件。

9月5日,Sushiswap匿名创始人、首任大厨Nomi从协议内突然转走了约500万枚SUSHI代币并套现获利,此举很快就在社区内引发了关于Sushiswap是否构成退出局的热议。

尽管Nomi本人回应称将继续履行承诺,完成Sushiswap后续的多签迁移工作,但该项目乃至整个DeFi社区显然对此无法满意。FTX创始人兼首席执行官SamBankmanFried连发16条推文,怒喷Nomi是“apieceofshit”。

重重压力之下,Nomi最终选择了将合约控制权转移给SBF,由后者来牵头处理该协议后续的多签迁移工作事宜。9月11日,Nomi再次发声称对自己此前的套现行为感到后悔,自己已向SushiSwap的金库返还了约38000ETH套利所得,这笔资产在当时的价值约为1400万美元。

Nomi个人的套现行为对Sushiswap社区造成了巨大伤害,尽管在SBF的牵头下,Sushiswap此后再次走上正轨,且随着整合至Yearn生态,大有挑战DEX龙头Uniswap之势,但截至1月4日,SUSHI代币价格仍未回到9月5日Nomi套现前的价格水平。

典型案例二:YYFI

8月末,YFI以及YFII的暴涨将整个DeFi市场的情绪推至高峰,一时间多个“姨夫”仿盘项目出现,投机者们也相继涌入,生怕错过下一个YFII。

贪欲最终酿成了悲剧,8月1日,YFII硬分叉项目YYFI跑路。事后回看,YYFI从一开始似乎就打定了跑路的主意,其局汇总起来大概就是以下几步:建立一个可以蹭上热点的合约开始预挖自己所发的流动性挖矿代币;建立各种社交渠道;利用高收益吸引用户参与,操控币价涨幅营造可套利的假象,持续给社区信心;最后利用预挖代币砸盘,砸不下来的情况下甚至可以无限增发导致代币暴跌;套利离场,解散社群彻底消失。

典型案例三:justfolio

在众多跑路项目中,justfolio可以说是玩出了花样。9月10日,波场链上DeFi项目justfolio跑路。值得一提的是,该项目为了诱更多资金,曾自称其智能合约已通过了成都链安的审计,但成都链安方面却向Odaily星球日报回应表示“从未审计过这个项目”。

justfolio虽然消失了,其“创举”却被其他不良项目方学了去,9月跑路的另一个DeFi项目LVFinance后来也伪造了虚假的审计网站,试图通过虚假的审计报告来迷惑投资者。

四、其他事件

除上述各类事件外,用户在参与DeFi时还会面临其他一些陷阱。依照前文的分类方式,我们很难将这些事件准确归类,因为陷阱往往存在于协议外部,与相关DeFi应用是否存在漏洞并无关系。

比如假币肆虐现象,由于以Uniswap为代表的一众DEX上币无需审核,一些者便瞄准了那些尚未发币或是刚刚发币的明星项目进行假币,Odaily星球日报此前曾发表过一篇《如何仅用46美元的成本在Uniswap上发币》。此外,针对关键人士的钓鱼攻击也在年末刷了一波屏,12月14日,保险龙头NexusMutual的创始人HughKarp在Ledger上执行一笔简单的交易时,未能意识到转账地址已被替换,最终损失了37万枚NXM,价值约833万美元,黑客随后在二级市场抛售砸盘,对NexusMutual以及投资者造成了严重伤害。

风险启示

回看过去一年发生的所有DeFi安全事件,随着功能的日渐扩展,协议的复杂程度也在日渐提升,黑客的攻击手段相较过往已变得更加难以捉摸。未来,DeFi将继续向Layer2、跨链以及其他全新的方向进一步扩展,程序只会变得越来越复杂,这也将带来新的安全挑战,无论是项目方还是投资者均需做好风控工作。

对于项目方而言,需要在产品上线预先进行充分测试,尤其是要测试极端情况下的协议承压状况;此外,项目方有必要寻求专业的第三方审计机构对协议进行全面审查,后续也可以通过一些Bug赏金计划来积极调动社区力量;鉴于一些经典的攻击手段相对而言有迹可循,项目方或许还可以针对一些特定的被黑场景提前部署灾备方案,以便在意外发生时快速做出反应。

对于投资者而言,在决定参与某款DeFi协议前应首先确认该项目是否已完成审计;此外,投资者需要清晰地认识到收益及风险往往并存,合理调配自己的仓位,同时也需要保持良好的钱包操作习惯;最后,虽然NexusMutual和CoverProtocol等保险项目2020年都没有逃过黑客魔爪,但DeFi保险赛道绝不会就此消寂,未来DeFi领域的保险服务一定会日益完善,投资者可以考虑适当投保,以规避潜在的黑客攻击风险。

值得一提的是,2020年发生的多起DeFi安全事件都有一个共同特点——黑客最终归还了一定数额的赃款。在那些黑客身份尚不可知的事件中,我们很难推测黑客的确切心理,但在Lendf.Me及EMD等案例中,黑客妥协的主要原因都是身份泄漏,其个人面临着来自项目方及受损用户的起诉“威胁”。相关案例告诉我们,尽管DeFi在交互层面上已实现了去中心化,但一个个受法律保护及约束的人类才是参与DeFi的主体,因此DeFi绝不是什么无法之地,在资产意外遭遇损失时,报警才是普通人最有效的解决手段。

安全是DeFi乃至整个加密货币世界永恒的主题。2020年,我们眼见了DeFi起高楼,但如果底基或是结构不够牢固,万丈巨厦也会有倾倒之险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-0:855ms