今年以來,DeFi 成為了區塊鏈的新風口,包括最高暴漲 166 倍的 COMP 在內的諸多 DeFi 項目,都出現了讓人拍斷大腿的行情,而 DeFi 鎖定的資金也穩步上漲到 20.8 億美金,成為了加密貨幣領域當之無愧的熱門話題。
然而這塊流淌著財富的去中心化金融熱土,也被黑客盯上了……
半年內被盜 3500 萬美金
「1500 美元左右的投入,90 萬美元的收益。」在行情慘淡的當下,這樣亮眼的收益表現,任誰都羨慕。不過,並不是所有人都有這樣的實力和勇氣,因為完成這單生意的是一名黑客。 |
|
而就在事件發生的前兩天,另外一個 DeFi 平台同樣也發生了黑客攻擊事件。 |
|
短時間內,接連發生的黑客盜幣事件讓加密貨幣領域的不少投資者大跌眼鏡。事實上,黑客攻擊在 DeFi 領域並不稀奇,DeepChain 深鏈統計發現,在最近的 5 個月裡一共發生了 7 次黑客攻擊 DeFi 項目的事件(編輯針對原文修正)。 |
DeFi 是一種基於開源協議的開放式金融協議,用區塊鏈技術和當前的加密貨幣金融體系整合,消除諸如銀行之類的第三方中介,讓用戶可以使用去中心化的金融服務來完成放貸、利用抵押套利等活動。
對於 DeFi 平台和項目來說,最重要的問題就是確保安全性,這是其與傳統中心化金融競爭,獲取用戶,擴大影響力的基礎。畢竟每一個金融平台或產品的用戶都不願意看到財產受損,不論擺在面前的是 DeFi 還是 CeFi 。
隨著各種黑客盜取資金池事件的發生,可以看到的是用戶對 DeFi 項目安全性的質疑越來越多,畢竟被黑客光顧後,血本無歸是常態。
不可否認,DeFi 是區塊鏈非常不錯的應用方向,資金和注意力也不斷向這個領域湧入,但也要承認的是,黑客一直在暗處潛伏,伺機而動。
DeFi 被盜最大事件:dForce 被盜 2500 萬美元
今年年初發生的幾起 DeFi 項目被盜事件只在小範圍內獲得了關注。直到 dForce 被盜 2500 萬美元爆出後,DeFi 的安全性問題才引起了廣泛熱議。
畢竟,這是過往被盜事件中金額最大的一筆,另外,被盜資產後來成功追回的神反轉也讓這件事多了不少記憶點。
- 4 月 19 日 8 點 45 分,dForce 生態系統中的借貸平台 Lendf.Me 在區塊高度 9899681 處遭受黑客攻擊。
- 4 月 19 日 11 點 32 分黑客將 Lendf.Me 的價值 2500 萬的加密貨幣的鎖倉洗劫一空。通過 Defipulse.com 可以清楚看到,只剩下 6 USD 鎖倉和 5.5 USDC 鎖倉,幾乎清零。
為了防止發生二次被盜,dForce 官方在 4 月 19 日 12 點 57 分將 Lendf.Me 和 USDx 合約關閉。此外,還第一時間聯繫了各大交易所和錢包,凍結了黑客地址並加入監管,讓黑客難以套現。之後報警,並聯繫星火、 Imtoken 和慢霧安全團隊開始找回資產。
4 月 20 日,官方根據黑客攻擊以及後續留下的痕跡,根據多方對比找到了黑客的蛛絲馬跡。或許是迫於壓力,黑客慢慢地向項目方返還了所有資產。雖然最終資金得以追回,但對於用戶來說,確實經歷了一次劫難。
另外,此次黑客事件對 DeFi 項目的聲譽影響很大,經歷過該事件的不少用戶對 DeFi 項目的信心都產生了動搖。
「以後再也不想把資金放在 DeFi 項目上了,不怕跑路但是怕黑客把本金直接盜走,還是放在餘額寶比較安心。」有用戶表示,自己在 Lendf.Me 上面存了 2000 USDT,本以為找到了既安全穩妥,收益又比銀行更高的理財方式,沒想到竟然發生了黑客盜幣事件,雖然最後錢回來了,但想想還是後怕。
某 Lendf.Me 大戶也在被盜之後表示:不確定性是這個世界的本質,世界上不存在「無風險收益」,投資需要遵守「分散原則」,此次損失雖大,但是對總體金額來說,佔比不大。個人會繼續參與 DeFi 的投資和建設,以調整之後的風險意識參與。
為什麼 DeFi 項目容易被黑客盯上?
面對頻頻發生的黑客事件,可能很多人會問一句:Why?
目前 DeFi 項目被黑客盯上主要有以下兩個原因:第一,資金池大,用戶少,項目問題難以被發現;第二,項目不成熟,漏洞多,黑客試錯成本低。
從 2019 年開始,DeFi 的資金規模和使用的人數就不斷穩步上升。目前 DeFi 鎖倉資金池的前三名分別是 Compound 、 Maker 和 Sythetix 。原本長期高居第一的 Maker 鎖倉的資金池被後續利用 COMP 作為激勵的 Compound 快速超越。
雖然這些資金池的資金穩步上漲,但背後卻存在著問題。
通過上圖可以看到,單個 DeFi 項目的最高日活也才 1653 人。而這 1653 人還可能包含一人多號的情況,所以真實的數據會再打一些折扣。也就是說,使用 DeFi 的用戶很少。
這一方面是因為 DeFi 的使用門檻較高,對於新用戶來說不夠友好;另一方面是因為市場中並沒有那麼多真實的借貸需求。
所以,在一些人看來,DeFi 更像是為大戶量身定做的套利工具,大量的鎖倉資金也都是大戶的生財的本金。
這就在事實上導致了上面所說的問題,資金池大,參與人數少,很多潛在的風險與漏洞難以在使用中被人發現和察覺。
DeFi 項目被黑客盯上的另外一個原因是:項目處於發展的早期,漏洞多,黑客試錯成本過低。
短時間出現的這麼多起盜幣事件,其實已經給了我們提示,目前的 DeFi 項目還不夠成熟,存在不少機制漏洞和系統風險,而黑客可以憑藉極低的成本完成攻擊和盜幣。
拿閃電貸來說,它的出現給黑客提供了 0 成本試錯的機會,可以不斷地去嘗試攻擊 DeFi 項目尋找漏洞。只要找到了機會就可以空手套白狼,盜走資金。
對於黑客來說,還有另一種更高級的攻擊手法,單個 DeFi 項目沒有問題,但是可以將 DeFi 協議組合使用攻擊 DeFi 項目,套出資產。
比如在今年 2 月 15 日的 bZx 的兩次攻擊事件中,第一次攻擊使用了 5 個 DeFi 協議,第二次攻擊使用了 4 個 DeFi 協議。兩次攻擊都是在一個 15 秒的以太坊區塊中完成,兩次攻擊耗費 118.21 美元的手續費,共獲利價值 92 萬美金的以太幣。
近期,在一場黑客馬拉松中又推出了不需要編程的閃電貸,這也給了 DeFi 項目帶來了更多的挑戰。
對於黑客來說,成功也許不需要 10 年, DeFi 項目漏洞找對了,就是一瞬間。
如何面對不安全的 DeFi?
DeFi 可能是未來的發展趨勢,也是可能出現大規模落地應用的一個方向,不能因為黑客的攻擊就徹底否認了這個方向。
不過,在給 DeFi 項目成長時間和空間的同時,也要做到防患於未然。
對於項目方而言,需要更加謹慎地進行系統與機制設計,以及準備好風險應對的措施與手段。
對於小散戶來說,目前 DeFi 參與的門檻高、手續費貴,如果厭惡風險,或許等到底層技術完善,DeFi 發展成熟後再參與也是不錯的選擇。
對於大戶來說,要抵禦 DeFi 項目的風險,可以將資金分散於不同的項目,也可以購買相關的保險。
DeFi 的崛起也帶動了一些衍生品的出現,比如出現了 DeFi 相關的保險。當資金被黑客盜取時,可以獲得保險賠付,將風險降到最低。
風險和收益往往是相伴的,如果能夠在高收益的同時又降低風險和門檻的話,那麼 DeFi 將會吸引更多的用戶參與,實現其真正的價值。
但在此之前,DeFi 還有很長的路要走,還有很多的黑客攻擊與風險需要應對。
本文參考資料:
《The Ultimate Guide to Protecting Yourself in the Crypto Space》
《Arbs Exploit DeFi to Make $900k in Seconds; Provoke Soul-Searching in the Process》
dForce 官方文章《黑客攻擊事件還原》
(以上內容獲合作夥伴 火星財經 授權節錄及轉載,原文鏈接 | 作者:深鏈財經 DeepChain 原文標題《5 個月,7 次被盜,3500 萬美金,DeFi 為何成為黑客提款機?》)
聲明:文章僅代表作者個人觀點意見,不代表區塊客觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。