近两日,DeFi项目Uniswap和Lendf.Me接连遭受重入攻击。尤其是Lendf.Me被洗劫一空,累计损失约2500万美元。关于攻击详情,自有安全团队解答。笔者想和诸位探讨的是,攻击发生之后,加密社区的舆论风向与应对态度。孰对孰错,请各位看官自行评判。
“盗亦有道”?黑客归还部分代币
今日,dForce官方发布公告称:1.与顶尖安全团队合作,对Lendf.Me进行更为全面的安全评估;2.与合作伙伴积极探讨可行的解决方案;3.与主流交易平台、OTC交易商、机构积极配合展开相关调查,竭尽全力追索被盗款项,追踪黑客动态。
不知道出于什么原因,黑客似乎主动联系了dForce,表达沟通意愿,并开始归还一些币。更进一步的情况dForce创始人杨民道将于北京时间2020年4月20日23:59分前,向社区作出说明解释。
重蹈覆辙:用户不满lendf.me未及时自查
矿企Hive Blockchain宣布在其GPU上运行人工智能模型具有隐私性:金色财经报道,比特币挖矿公司Hive Blockchain(HIVE)在周五与分析师举行的财报电话会议上表示,该公司旨在让客户在其数据中心训练大型语言人工智能模型,与OpenAI的ChatGPT等竞争对手相比,该公司拥有更好的隐私性。
Hive公司首席执行官Aydin Kilic表示,“公司现在意识到,他们不想将敏感的客户数据上传到像OpenAI这样拥有公共LLM(大型语言模型)的公司。我们希望通过Hive Cloud在Hive提供的是隐私。我们已签署了协议,保留了数据和隐私的所有权,并且仍然在我们的GPU库上运行AI计算工作负载。”[2023/7/1 22:11:14]
让用户不能理解的是,前车之鉴犹在耳畔,lendf.me为什么没有及时自查。从时间线上来看,第一次针对Uniswap的攻击发生在4月18日8点58分,3个小时后,Tokenlon观察到异常并建立紧急处理小组。4月19日9点28,Lendf.me又反馈称遭遇与Uniswap类似的攻击。安全公司慢雾从攻击手法上判断,很可能是同一拨人所为。
he Soft DAO项目Discord服务器遭入侵:金色财经报道,据CertiK官方推特发布消息称,The Soft DAO项目Discord服务器遭入侵,有黑客发布钓鱼链接。在团队宣布服务器恢复安全之前,请用户勿与任何链接交互。[2023/6/26 22:00:36]
“我想不通,这些Defi项目方,好像也跟我一样毫无警惕……看到别人被黑客攻击,不自查一下风险的么。”一位笔名为“白特幂”的受害者发文质问道。“得瑟小缪”也指出过错在lendf.me自身。他提出3点不满:“1.直接folkcompoundv1的代码过来又不审计?负责安全的人是不是应该引咎辞职?2.把erc777的imBTC接入erc20的协议中,谁负责的商务?谁负责的技术对接?这么明显的错误,为啥不处理?3.不反省自己的责任说自己是受害者?先谈如何补偿用户OK?这是拿行业在开玩笑么?”
抱团取暖:加密社区纷纷表示鼓励
Color Capital联合创始人:关于NFT的未来有一件事是肯定的:金色财经报道,Color Capital联合创始人Chris Cantino在社交媒体上称,关于NFT的未来有一件事是肯定的,那就是生成和算法艺术在艺术史中的地位。在一个由指数技术进程和计算机的诞生所定义的世纪中,现在又以人工智能的出现为先导,历史学家必须也将承认由代码和计算机辅助产生的新媒介的先驱者。艺术史并不是简单地忽略整个运动和技术成就,而是详尽地赞美和记录它们,以便后人可以享受和学习它们。同样,我相信数字艺术作品在NFT促成的新的赞助和出处模式的支持下,将被我们的后人颂扬几百年甚至几千年。未来的社会是否称他们为NFT,区块链技术是否被大规模采用,或者生成性艺术作品是否渗透到整个流行文化中,都有待观察。但有一点是肯定的,只要人类文明重视文化和历史,这场运动的开创性艺术作品就会被认可。[2023/5/23 15:19:54]
事件发生后,加密社区一片祥和温暖,纷纷对DeFi的遭遇表达同情和鼓励。
Smart Token Labs的TokenScript以2亿美元估值完成600万美元融资:金色财经报道,开源软件公司 Smart Token Labs 在亿万富翁复星国际联合创始人梁新军领投的 TokenScript 项目中筹集了 600 万美元,HashGlobal、Bodl 和分布式资本等投资者参与本轮融资。 该公司现已将 TokenScript 的估值从 5000 万美元翻了两倍至 2 亿美元。Smart Token Labs 通过一项简单的未来代币协议(SAFT)筹集了资金。它将利用这些资金进一步开发 TokenScript,这是一个旨在改进代币功能的框架。?[2022/9/27 22:34:23]
数字文艺复兴基金会董事总经理曹寅:“我们不应为Lendf或者Maker的事故而对DeFi失去信心,阿波罗13号的失败之后,NASA并没有取消阿波罗计划,美国人也没有因此停下对太空探索的步伐,深刻反思之后,NASA又发射进行了多次成功的阿波罗任务,之后还建造发射了更伟大的国际空间站。”
国际证监会组织发布2023年加密监管路线图:7月11日消息,国际证监会组织(IOSCO)发布了其未来几年通过解决加密货币法规缺乏问题来管理该行业的框架。
7月7日发布的指南显示,IOSCO董事会级金融科技工作组(FTF)的框架将专注于两个工作流程,重点是Crypto和Digital Assets(CDA)和DeFi。每个工作组计划在2023年底前发布一份包含政策建议的报告。
今年年初成立的特别工作组表示,今年出现投资者的损失是由于缺乏市场监管。因此,FTF指出,有必要保护投资者,并应对市场的完整性。考虑到加密货币的跨境性质,该组织还与金融稳定委员会(FSB)就金融稳定可能面临的风险等问题进行合作。这种合作还需要在全球和区域两级交换信息。(Finbold)[2022/7/11 2:05:24]
原力协议COO许超:“看到这个消息非常心痛。希望dForce团队可以度过难关。这是中国最优秀的DeFi团队之一。DeFi还在早期阶段,代码安全和金融产品风控安全非常重要,DeFi的可组合性又使得系统安全风险成倍的增长。”
星火矿池市场负责人邱晓栋:“历史的趋势不可阻挡,我们都在探索未来的可能性,并在这一进程中发光发热,每一次重击都会让我们更坚强。”
以太坊黄皮书翻译者杨镇:“这是伟大事业发展历程中几乎难以避免的事故。”
加密社区是个挺割裂的存在,有投机套利的徒、追逐风口的逐利者,也有技术高超的极客、理想主义的探路者。DeFi社区无疑属于后者,因此他们常呈现出一种惺惺相惜、抱团取暖的姿态。有开发者感慨道“这两天在风暴中心见证探索者们被暴雨淋漓。”
进退两难:雪崩时没有一片雪花是无辜的
现在DeFi社区呈现出一个氛围,不喜欢批评的声音,有人批评就会被认为是黑,但所有项目的成功都理应面对质疑和批评。另一方面,行业的抱团取暖也带来两面性。笔者曾经在采访一个DeFi项目时,碰巧从它的平台上截取到了另一DEX穿仓的数据。两个项目负责人将笔者拉到同一个群里,希望不要对此进行报道,因为这个漏洞已悄悄修补好,并未造成任何损失。但安全事件频发之时,温柔鼓励为正确,包庇开脱成惯常动作,指责批评反而要谨小慎微的时候,社区就需要多一些反思了。
无论我们把DeFi的意义描绘的多么深远,比拟阿波罗登月也好,作为取代马车的汽车也罢。它对于用户来说,本质始终是金融。效率的提升是其次,至少要保证别让用户丢钱。金融服务的首要前提是风控和安全,即使DeFi也是一样。而在代码世界里,任何一个小疏忽造成的损失都是致命的。
当前,DeFi对大多数人而言门槛仍然很高,因此DeFi用户实际上是一批具有较高技术和金融素养的理想主义者。一位受害者表示:“我躲过了爆仓,躲过了Fcoin,躲过了各种资金盘,却没躲过Defi这个黑客提款机。”如果这样一群人都在遭受损失,DeFi的安全性从何谈起呢?“如果不能保证开源系统的资金安全,你甚至没有能力证明自己不是一剂药。DeFi在证明自己真的是一场变革之前,至少需要摆脱暴雷阴影。”RenrenBitCMO梓岑表示。
IOSGVenture创始人JocyLin也表示:“这个行业令人惊喜的地方在于多元化的组成和包容属性,在DeFi圈子里的对峙博弈也是一样。DAO事件之后的黑客攻击事件仍然频发,却一直没有引起行业重视。这些攻击虽然让行业各种协议如临大敌甚至面临生死,但仍然是很有意义的。它让人们认识到协议的安全审计、用户的投资认知,以及社区的多元化共存至关重要。雪崩时,没有一片雪花是无辜的,是时候重新反思DeFi里价值最大的部分在哪里了。大部分过得好的公司道阻且长,MKR很糟糕,Compound也是。从小众到大众市场的跃升,需要在资本市场助力之后,思考如何降低用户的使用门槛、提升体验,以及更高的安全性。”
灵魂拷问:DeFi项目有办法自证吗?
这起攻击事件发生后,DeFi恐怕会遭遇重创。从年初到现在,DeFi发生的几起安全事件,都是黑客在利用DeFi系统性风控漏洞实施的攻击。此次也是同理,ERC777本身没有问题,但是和其他合约组合起来后产生了非预期的结果。这仿佛成为了一个证实相当困难,但证伪却异常容易的命题。哪个开发者敢拍着胸脯保证,自己的协议没有漏洞,和别人的协议组合之后依然安全呢?
除了安全性,DeFi可能还面对一个“道德”难题,币信研究院院长熊越表示:想象我们在大航海时代里造一艘船去寻找新大陆,这是一件勇气可嘉、意义非凡的事情,但也有可能遇到风浪葬身海底。但在这种情况下,冒险的发起人是和大家风险共担的,并且全船的人都清楚自己面对着什么。这就是冒险家的精神。
但DeFi项目的创始人并不一定要去风险共担,他可以融一笔资开启项目,不把自己的钱放在DeFi项目里。赚了当然自己名利双收,如果被黑客攻击,巨额损失的是投资人和用户。更重要的是,我并没看到哪个DeFi项目在提醒用户:‘把钱存过来赚百分之几的利息,你可能会损失全部的本金。’相反,它们都说自己有各种安全机制,通过了各种审计,很多用户因此稀里糊涂地亏掉数十万美金级别的钱。
在区块链行业,无论是CeFi还是DeFi,都有各自的风险。中心化借贷面临的是强监管风险,去中心化借贷面临的是系统安全稳定运行的风险。这两个风险都在加大。如果监管缺位,这种攻击防不胜防,是无解之题。
通证通研究院创始人宋双杰表示:“任何一个行业,当正规军进来的时候,非正规军都将面临清理,所以中心化借贷之困在于如何获得牌照。去中心化借贷在于行业无监管,一片蛮荒,权责利不清。一些造成违法的行为甚至都称不上违法,因为没有相关的法律,导致大量借贷合约被攻击,这几天爆出的uniswap和dforce事件就是明证。如果监管缺位,这种事情是防不胜防的,除非使用极简化的合约,采用极简单的功能,像比特币那样,把附加的其他的功能都抽离,才可能保证极大的安全。要不是,功能越复杂,被攻击的可能性越高。但如果不革新,不增加功能,那去中心化借贷又没有存在的必要,这是无解之题。”
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。