COMP:DeFi應用如何抵擋黑客攻擊？-ODAILY

▼▼▼

劉鋒：近幾天余弦參與處理Lendf.me被盜資金的追討，可以和我們講講這幾十個小時的經歷嗎？

余弦：第一步，快速定位威脅情況和攻擊細節，這樣可以快速給出最正確的漏洞原因，比如這次事件中，本質問題是Lendf.Me的核心代碼中存在重入攻擊漏洞，而這個漏洞又需要結合基于ERC777代幣的組合才能發生。知道漏洞本質及攻擊手法后，在鏈上是很容易知道攻擊者具體盜走多少資產。

第二步，思考如何追回。在4月19日下午，dForce、星火與imToken安全團隊在線下集結，并與慢霧安全團隊遠程連線成立“臨時安全團隊”，開始進行資產追回。因為信息量巨大且雜亂，集中討論可以快速的信息對稱，加快速度。

西班牙央行行長強調需要對Defi和加密進行快速監管:金色財經報道，西班牙銀行行長兼巴塞爾銀行監管委員會主席 Pablo Hernández de Cos 解釋說，需要迅速監管加密貨幣空間和去中心化金融（defi），以避免金融不穩定的風險。Hernandez de Cos 還提到了這種快速的方法應該如何在加密金融系統變得更大之前將其納入監管范圍。他表示：盡管出現了這種驚人的增長，但加密資產仍僅占全球金融資產總額的 1% 左右，迄今為止，銀行的直接風險敞口相對有限。然而，我們知道這些市場有可能迅速擴大規模，并對個別銀行和整體金融穩定構成風險。此外，他建議對該主題采取“積極和前瞻性的監管方法”，并宣稱在歡迎這些技術和降低其風險之間可以取得平衡。（news.bitcoin）[2022/5/14 3:15:17]

4月20日，基于黑客在攻擊前后留下的痕跡，“臨時安全團隊”成功確定了準確的黑客畫像，并開始與國內外各方資源進行交叉對比，獲得突破性線索，離黑客越來越近。4月21日下午，在黃金48小時內，黑客在重重壓力下，與dForce主動溝通，并開始歸還部分資產。繼續溝通后，所有資產被成功找回，這是攻擊發生后的第三天。這個過程不僅是“臨時安全團隊”發揮了關鍵作用，還得到了非常多加密社區朋友直接與間接的幫助。

DeFi平臺Dot.Finance遷移到Moonbeam:金色財經報道，去中心化金融協議Dot.Finance宣布將從幣安智能鏈 (BSC) 遷移到Polkadot區塊鏈上的第二條平行鏈Moonbeam。該項目還將立即在 Moonriver上啟動。在眾籌活動成功之后，Dot Finance 在 11 月底贏得了第二次平行鏈拍賣，從總共 200,000 名參與者中籌集了 3500 萬 DOT（約合 14 億美元）。以太坊聯合創始人Gavin Wood創建了 Polkadot，以使區塊鏈可互操作：平行鏈模型的創建相信 Web 3 的未來將涉及許多不同類型的區塊鏈協同工作。中繼鏈上共有 100 個插槽，負責完成交易的 Polkadot 區塊鏈。最多可以租用一個插槽96周。（u.today）[2022/1/5 8:25:49]

劉鋒：對于這次Lendf.me被攻擊事件，大家應該吸取什么教訓？

FreeTON DeFi Alliance與KBA和Blockchain Centre India合作，并更名為Everscale:11月13日消息，區塊鏈生態系統FreeTON DeFi Alliance宣布與喀拉拉邦區塊鏈學院和Blockchain Centre India合作，以幫助提高Next Top TON創業黑客馬拉松的知名度和參與度。與此同時，FreeTON發起了一場重塑品牌的活動，現在更名為Everscale。此外，該區塊鏈組織已經決定銷毀30億枚TON Crystal代幣，以平衡供需并與主要交易所集成。根據該組織的聲明，TON代幣將變成EVER代幣。（Coin Quora）[2021/11/13 21:49:00]

余弦：任何新事物在進化過程中都會有安全風險，這是進化法則，越早期這種風險越大，最終要么死亡，要么就會趨于某種比較穩定的平衡。

DeFi操作系統Reef Finance推出2000萬美元贈款計劃:6月2日消息，跨鏈DeFi操作系統Reef Finance為開發商推出了一個2000萬美元的贈款計劃。Reef Finance將為發展進程提供資金，并為有前途的區塊鏈項目配備基礎設施。該團隊強調，任何涉及區塊鏈行業重要用例的項目都可以申請資金，重點是DeFi應用。（U.Today）[2021/6/2 23:05:55]

基于這種心理準備，我們來看DeFi，有幾個比較重要的風險：技術安全風險、業務安全風險、合規安全風險，我們簡單展開：

1.技術安全

首先看公鏈本身是否久經考驗，足夠安全，以太坊基本滿足這點；然后看智能合約的設計是否足夠安全，Solidity并不太滿足；再看相關的標準實現是否足夠安全，這里最大的問題在于很多時候一個“特性”會變成一種“缺陷”；再看基于標準的成熟框架是否安全，如OpenZeppelin就很優秀；最后看項目方開發出來的是否真的嚴格安全實踐，這個就非常不好說了，很明顯，開發的質量是參差不齊的。

Compound超越Maker成為DeFi市值最高的項目:金色財經報道，截止發稿時，COMP在Uniswap的交易價格是0.434244 ETH。按照COMP的總代幣量，并按照當前ETH 230美元的價格，其整體市值（包括未流通代幣）達到998,761,200美元，位居DeFi市值第一，超過Maker代幣MKR的市值（截止發稿時，Maker市值為540,726,781美元。）即便按照流通代幣的市值來看，Compound當前已發行的代幣量為5,770,890個，其市值也達到576,374,102美元，也超越Maker成為DeFi市值第一。

此前消息，6月16日，去中心化借貸平臺Compound官方消息，今日凌晨，所有用戶已開始收到治理代幣COMP，標志著社區治理的開始。據了解，新的COMP將根據使用情況，每天獎勵給協議用戶。每一項資產的借款人和貸款者都將獲得獎勵，新的COMP將在每個區塊發放，每天將向該協議用戶提供大約2880枚COMP，持續4年。每天一半的COMP分配給資產供應商，另一半給借款人。最活躍的資產每天也會收到最多的COMP，所以配置會隨著市場的變化而變化。[2020/6/16]

2.業務安全

業務決定于DeFi的設計，比如抵押借貸、閃貸、交易等等。業務需要特別考慮的是安全風控，比如暴跌暴漲怎么辦？突然出現的大額轉幣如何處理？如何解決第三方安全風險？

3.合規安全

如果是一個灰色或黑色邊界的DeFi，一不小心被一些國家的執法機構打掉或自己跑路了，怎么辦？

另外特別補充一些和用戶角度有關的判斷：

1.項目方內部有實力不錯的安全團隊或有豐富安全經驗的核心人物把關

2.項目方近半年內被第三方專業安全機構安全審計并公開安全審計結果

3.項目方有長期持續緊密合作的第三方專業安全機構

4.項目方核心成員對待安全的態度坦然開放，勇于認錯并把安全放在第一位

5.項目方對安全工作充滿敬畏與尊重

基于上面這5點可以延伸出一些事實，比如：口碑、真實用戶數、數據透明度、安全透明度等等。

劉鋒：大家愿意去用DeFi產品，有很大原因是擔憂中心化金融服務平臺的安全性問題，希望通過DeFi討個平安。但是今年一連串DeFi平臺和產品被攻擊，這讓人對DeFi反而不信任了，我覺得有點遺憾，你怎么看？

余弦：我的看法不一樣，大家來看看歷史。

具體細節這里看：https://hacked.slowmist.io/

大家會看到中心化、去中心化都有非常慘重的歷史案例，但其實不必因此而打擊信心，DeFi一定有自己的定位，但DeFi也別想著一統天下，同樣的話也適合CeFi，未來應該會看到更多DeFi+CeFi的混合體出現。而且，DeFi其實并不一定需要完全去中心，這是我的個人看法。

我是黑客，這些在我眼里都沒有絕對的安全，都有許多薄弱點，但是黑客不都是壞的，我們更希望是往安全的方向去進化，但我們在對抗時，必須有足夠的攻擊思維。

劉鋒：觀眾提問，對DeFi合約審計的作用有多大？能保證足夠安全么？是否經過了審計的defi項目就值得信任呢？

余弦：DeFi安全審計是安全策略的第二層，第一層是DeFi開發安全，這是項目方的事。DeFi安全審計在第二層可以規避不少問題，將安全防御水平提高一個檔次。但之后還有第三層，也就是更新迭代持續運營的安全，這個一不小心就麻煩了。只能說，經過安全審計的項目，可以讓人更放心，但也一定都有黑天鵝——來自未來的攻擊。所以，如果安全審計已經超過半年，那就得注意了。

劉鋒：觀眾提問，大多數知名DeFi協議都是以某種形式被中心化控制的，雖然這種方式在安全性上有些好處，怎樣才能避免管理員濫用自己的特權，或者說減少相關風險？

余弦：這個是人性的問題，有的可以技術解決，有的解決不了。技術上通過類似DAO的方式來控制，但這又會產生新的問題，DAO的效率太低就麻煩了。但至少有一點項目方需要做的是透明，資產透明，權限透明，決策透明等等，讓社區看得見。

劉鋒：觀眾提問，有沒有一種方案，在用戶和合約之間建中間件，這個中間件來做安全處理？

余弦：這個不知道，需要試驗，但我最近有一個想法，大家可以看看：https://firewallx.io/

這個防火墻是構建在EOS主網上的，核心是智能合約實現。以太坊上，ERC777這種偏復雜的也許也可以這樣做，但還是需要試驗。

劉鋒：觀眾提問，代碼的安全問題幾乎不可避免，DeFi是不是需要輔以更成熟的風控機制，來避免大的損失？因為DeFi的魅力是去中心化，是智能合約，但是受攻擊后的修復和自己追討，看起來完全是人和人之間的博弈了。

余弦：追回是個很難的事，但比較有意思的是，今年開始可能會提高成功率，原因是各國司法、執法流程上開始支持加密貨幣了。

非常感謝參與今晚MathShow#001活動的“show”友們，也感謝慢霧的創始人余弦為我們帶來的關于DeFi的安全知識饕餮盛宴，為區塊鏈生態安全貢獻自己的力量。祝慢霧越來越好。

Tags：EFIDEFDEFICOMPBrainaut DefiDefi.financecomp幣發行量

以太坊價格