ANC:Pancake／Cream 域名被黑事件分析、思考和應對

我們首先用一個簡單例子來理解域名解析的過程（為了方便理解，對里面一些詳細的過程進行了簡化抽象）。比如我們在瀏覽器輸入pancakeswap.finance， 那么網絡中的域名解析服務器（DNS）就會把這個域名解析成為一個 IP 地址，因為計算機網絡中只能通過 IP 地址來訪問服務器。在正常情況下，用戶的瀏覽器就會訪問到項目方設置的 IP 地址對應的服務器。而在本月 15 號的被黑事件中，DNS 把pancakeswap.finance的域名指向了黑客控制的 IP 地址，用戶的瀏覽器就訪問了黑客控制的服務器，而這個偽造的服務器通過偽造的網頁前端向用戶要求助記詞（參見下面 Cream 被黑的界面）。

聲音 | SpankChain CEO：Compound 上出借 DAI 存在智能合約風險、中心化單點故障和擠提風險:SpankChain CEO Ameen Soleimani 發布博文列舉了在 Compound 出借 DAI 的風險，他在文章中稱，自己管理公司近 50 萬 DAI，根據 DAI 10％的利息，大約每個月能產生 4000 美元的收入，如果將這些 DAI 放入 Compound 中是有機會成本的。此外，在 Compound 放貸還有很大的風險，包括智能合約的安全風險、中心化單點故障（他解釋，Compound 是一個托管系統，如果管理私鑰泄露，所有租借池的資產都可能被盜走）和擠提風險（資金利用率高達 98.62% 的 Compound 沒有足夠的資產儲備保證出借人隨時取回資產）。[2019/9/5]

動態 | PANTERA的數字資產基金今年已縮水72%:據bitcoinist消息，Pantera Capital旗下的數字資產基金今年迄今表現不及比特幣，跌幅達70%。該基金的復合年增長率(CAGR)也是-50%。[2018/10/7]

我們不禁要問，黑客是如何篡改 DNS 記錄的？這得從 Pancake 和 Cream 的域名服務商 Godaddy 說起。Pancake／Cream 通過 Godaddy 購買了域名，并且在 Godaddy 把各自的域名映射成自己的服務器 IP 地址。根據 Cream Finance 發布的事后報告，黑客攻擊了 Godaddy，破解了 Pancake／Cream 在 Godady 的賬號，并且修改了域名映射，把對應的 IP 改成了黑客控制的 IP 地址。

加密貨幣對沖基金Pantera Capital Management：BTC今年有可能突破20000美元:據華爾街日報（WSJ）報道，以投資加密貨幣為主的對沖基金Pantera Capital Management在在四月的時事通訊表示，比特幣的價格6500美元很可能是比較低的，今年比特幣的價格“極有可能”達到20000美元。[2018/4/15]

DNS Hijack

那究竟是誰來背這個鍋？Pancake 和 Cream 都在暗示是 Godaddy 的安全機制問題，因為 Pancake 和 Cream 本身沒有做任何修改，是用 Google 的單點登錄功能登錄 Godaddy 的，而本身 Google 賬號沒有被黑。其實 Godaddy 的安全性的口碑在域名服務商里面非常一般，以前也經常出事故，那么作為對安全性高的 DeFi 項目的開發者，是不是應該一開始選擇一個安全性更高的域名服務商？（Pancake 表示會把 Godaddy 替換成更高安全性的 MarkMonitor）。

這個事件也凸顯了打造去中心化的 DNS 的重要性。我們不相信中心化的交易所，因為擔心他們會 screw up 我們在里面存放的加密資產（Not your key，not your coin）；我們也會擔心中心化的域名服務商和 DNS 服務器（Not your Key，not your domain）。IPFS／ENS 等 web3 技術，就是很好的去中心化的 DNS 解決方案。

作為 Defi 投資者我們如何應對類似的域名被黑事件？我個人的一些方法：

1. 記住官方網站的域名，直接在瀏覽器輸入正確的域名（一個字母都不能差），通過搜索引擎或者其他鏈接打開的地址要重新驗證；

2. 需要確認 app 是否官方發行，比如前一陣子有假的 Uiswap 和 Trezor app 在應用商店，也是讓人輸入助記詞，非常可怕；

3. 用 eth.link 后綴的網站 DNS 安全性更高，比如https://cream-finance.eth.link/，因為是去中心化的域名解析；

Tags：PANANCGODODAXPANZ價格Diffract FinanceGODZ幣SODA幣

AVAX