DEFI:巴比特獨家 | DeFi平臺遭洗劫，雪崩時沒有一片雪花是無辜的

近兩日，DeFi項目Uniswap和Lendf.Me接連遭受重入攻擊。尤其是Lendf.Me被洗劫一空，累計損失約2500萬美元。關于攻擊詳情，自有安全團隊解答。筆者想和諸位探討的是，攻擊發生之后，加密社區的輿論風向與應對態度。孰對孰錯，請各位看官自行評判。

“盜亦有道”？黑客歸還部分代幣

今日，dForce官方發布公告稱：1.與頂尖安全團隊合作，對Lendf.Me進行更為全面的安全評估；2.與合作伙伴積極探討可行的解決方案；3.與主流交易平臺、OTC交易商、機構積極配合展開相關調查，竭盡全力追索被盜款項，追蹤黑客動態。

不知道出于什么原因，黑客似乎主動聯系了dForce，表達溝通意愿，并開始歸還一些幣。更進一步的情況dForce創始人楊民道將于北京時間2020年4月20日23:59分前，向社區作出說明解釋。

重蹈覆轍：用戶不滿lendf.me未及時自查

Taiko：已上線alpha-4測試網:7月18日消息，基于zkRollup的以太坊Layer2網絡Taiko宣布其alpha-4測試網已上線，旨在測試新的基于質押的驗證者經濟學、于Taiko上部署Taiko作為L3初始層。[2023/7/18 11:02:11]

讓用戶不能理解的是，前車之鑒猶在耳畔，lendf.me為什么沒有及時自查。從時間線上來看，第一次針對Uniswap的攻擊發生在4月18日8點58分，3個小時后，Tokenlon觀察到異常并建立緊急處理小組。4月19日9點28，Lendf.me又反饋稱遭遇與Uniswap類似的攻擊。安全公司慢霧從攻擊手法上判斷，很可能是同一撥人所為。

“我想不通，這些Defi項目方，好像也跟我一樣毫無警惕……看到別人被黑客攻擊，不自查一下風險的么。”一位筆名為“白特冪”的受害者發文質問道。“得瑟小繆”也指出過錯在lendf.me自身。他提出3點不滿：“1．直接folkcompoundv1的代碼過來又不審計？負責安全的人是不是應該引咎辭職？2．把erc777的imBTC接入erc20的協議中，誰負責的商務？誰負責的技術對接？這么明顯的錯誤，為啥不處理？3．不反省自己的責任說自己是受害者？先談如何補償用戶OK？這是拿行業在開玩笑么？”

約4412萬美元BTC轉入Coinbase:金色財經報道，1878枚BTC于今日08:15從未知錢包轉入Coinbase，價值約4412萬美元。[2023/2/28 12:33:10]

抱團取暖：加密社區紛紛表示鼓勵

事件發生后，加密社區一片祥和溫暖，紛紛對DeFi的遭遇表達同情和鼓勵。

數字文藝復興基金會董事總經理曹寅：“我們不應為Lendf或者Maker的事故而對DeFi失去信心，阿波羅13號的失敗之后，NASA并沒有取消阿波羅計劃，美國人也沒有因此停下對太空探索的步伐，深刻反思之后，NASA又發射進行了多次成功的阿波羅任務，之后還建造發射了更偉大的國際空間站。”

原力協議COO許超：“看到這個消息非常心痛。希望dForce團隊可以度過難關。這是中國最優秀的DeFi團隊之一。DeFi還在早期階段，代碼安全和金融產品風控安全非常重要，DeFi的可組合性又使得系統安全風險成倍的增長。”

加拿大加密新法規要求交易平臺遵守投資者保護承諾:金色財經報道，加拿大證券管理局周三公布了當地加密貨幣行業的新指南，警告交易所和其他平臺必須遵守 \"加強投資者保護承諾\"。

根據一份新聞稿，希望在加拿大運營的公司必須通過預注冊程序做出這些承諾，同時致力于他們的實際注冊。他們有30天的時間來遵守。在這個預注冊過程中，交易所和其他公司將必須遵守托管規則，其中討論了隔離為當地客戶持有的加密貨幣資產，禁止保證金或其他形式的杠桿，以及禁止未經CSA許可出售穩定幣。[2023/2/23 12:23:44]

星火礦池市場負責人邱曉棟：“歷史的趨勢不可阻擋，我們都在探索未來的可能性，并在這一進程中發光發熱，每一次重擊都會讓我們更堅強。”

以太坊黃皮書翻譯者楊鎮：“這是偉大事業發展歷程中幾乎難以避免的事故。”

加密社區是個挺割裂的存在，有投機套利的賭徒、追逐風口的逐利者，也有技術高超的極客、理想主義的探路者。DeFi社區無疑屬于后者，因此他們常呈現出一種惺惺相惜、抱團取暖的姿態。有開發者感慨道“這兩天在風暴中心見證探索者們被暴雨淋漓。”

Terra Classic開發者Vegas關閉驗證節點:金色財經報道，Terra Classic開發者Vegas于12月23日突然宣布關閉其驗證節點“Vegas Validator”。此外，他指示Terra Classic社區將他們的LUNC代幣重新委托給不同的驗證者。[2022/12/23 22:03:29]

進退兩難：雪崩時沒有一片雪花是無辜的

現在DeFi社區呈現出一個氛圍，不喜歡批評的聲音，有人批評就會被認為是黑，但所有項目的成功都理應面對質疑和批評。另一方面，行業的抱團取暖也帶來兩面性。筆者曾經在采訪一個DeFi項目時，碰巧從它的平臺上截取到了另一DEX穿倉的數據。兩個項目負責人將筆者拉到同一個群里，希望不要對此進行報道，因為這個漏洞已悄悄修補好，并未造成任何損失。但安全事件頻發之時，溫柔鼓勵為正確，包庇開脫成慣常動作，指責批評反而要謹小慎微的時候，社區就需要多一些反思了。

Meta將在Instagram和Facebook中擴大NFT測試范圍:6月22日消息，Meta創始人Mark Zuckerberg宣布為創作者推出更多在Facebook和Instagram上賺錢的方式，以幫助創作者為元宇宙進行建設。其中包括擴大數字收藏品的測試范圍，以便更多的創作者可以在Instagram上展示他們的NFT，此后也會把這個功能帶到Facebook上，用戶就可以在Instagram和Facebook上交叉發帖。Meta將很快在Instagram Stories和Spark AR中測試NFT。[2022/6/22 4:44:25]

無論我們把DeFi的意義描繪的多么深遠，比擬阿波羅登月也好，作為取代馬車的汽車也罷。它對于用戶來說，本質始終是金融。效率的提升是其次，至少要保證別讓用戶丟錢。金融服務的首要前提是風控和安全，即使DeFi也是一樣。而在代碼世界里，任何一個小疏忽造成的損失都是致命的。

當前，DeFi對大多數人而言門檻仍然很高，因此DeFi用戶實際上是一批具有較高技術和金融素養的理想主義者。一位受害者表示：“我躲過了爆倉，躲過了Fcoin，躲過了各種資金盤，卻沒躲過Defi這個黑客提款機。”如果這樣一群人都在遭受損失，DeFi的安全性從何談起呢？“如果不能保證開源系統的資金安全，你甚至沒有能力證明自己不是一劑藥。DeFi在證明自己真的是一場變革之前，至少需要擺脫暴雷陰影。”RenrenBitCMO梓岑表示。

IOSGVenture創始人JocyLin也表示：“這個行業令人驚喜的地方在于多元化的組成和包容屬性，在DeFi圈子里的對峙博弈也是一樣。DAO事件之后的黑客攻擊事件仍然頻發，卻一直沒有引起行業重視。這些攻擊雖然讓行業各種協議如臨大敵甚至面臨生死，但仍然是很有意義的。它讓人們認識到協議的安全審計、用戶的投資認知，以及社區的多元化共存至關重要。雪崩時，沒有一片雪花是無辜的，是時候重新反思DeFi里價值最大的部分在哪里了。大部分過得好的公司道阻且長，MKR很糟糕，Compound也是。從小眾到大眾市場的躍升，需要在資本市場助力之后，思考如何降低用戶的使用門檻、提升體驗，以及更高的安全性。”

靈魂拷問：DeFi項目有辦法自證嗎？

這起攻擊事件發生后，DeFi恐怕會遭遇重創。從年初到現在，DeFi發生的幾起安全事件，都是黑客在利用DeFi系統性風控漏洞實施的攻擊。此次也是同理，ERC777本身沒有問題，但是和其他合約組合起來后產生了非預期的結果。這仿佛成為了一個證實相當困難，但證偽卻異常容易的命題。哪個開發者敢拍著胸脯保證，自己的協議沒有漏洞，和別人的協議組合之后依然安全呢？

除了安全性，DeFi可能還面對一個“道德”難題，幣信研究院院長熊越表示：想象我們在大航海時代里造一艘船去尋找新大陸，這是一件勇氣可嘉、意義非凡的事情，但也有可能遇到風浪葬身海底。但在這種情況下，冒險的發起人是和大家風險共擔的，并且全船的人都清楚自己面對著什么。這就是冒險家的精神。

但DeFi項目的創始人并不一定要去風險共擔，他可以融一筆資開啟項目，不把自己的錢放在DeFi項目里。賺了當然自己名利雙收，如果被黑客攻擊，巨額損失的是投資人和用戶。更重要的是，我并沒看到哪個DeFi項目在提醒用戶：‘把錢存過來賺百分之幾的利息，你可能會損失全部的本金。’相反，它們都說自己有各種安全機制，通過了各種審計，很多用戶因此稀里糊涂地虧掉數十萬美金級別的錢。

在區塊鏈行業，無論是CeFi還是DeFi，都有各自的風險。中心化借貸面臨的是強監管風險，去中心化借貸面臨的是系統安全穩定運行的風險。這兩個風險都在加大。如果監管缺位，這種攻擊防不勝防，是無解之題。

通證通研究院創始人宋雙杰表示：“任何一個行業，當正規軍進來的時候，非正規軍都將面臨清理，所以中心化借貸之困在于如何獲得牌照。去中心化借貸在于行業無監管，一片蠻荒，權責利不清。一些造成違法的行為甚至都稱不上違法，因為沒有相關的法律，導致大量借貸合約被攻擊，這幾天爆出的uniswap和dforce事件就是明證。如果監管缺位，這種事情是防不勝防的，除非使用極簡化的合約，采用極簡單的功能，像比特幣那樣，把附加的其他的功能都抽離，才可能保證極大的安全。要不是，功能越復雜，被攻擊的可能性越高。但如果不革新，不增加功能，那去中心化借貸又沒有存在的必要，這是無解之題。”

Tags：EFIDEFDEFILENDDeFiStarterMooni DeFiDeFi FireflyTrister's Lend

LTC