作者 | Peter
剛剛過去的 5 月,整個加密貨幣市場都籠罩在「陰霾」中。比特幣一度跌至 3 萬美元大關,相比此前的高點腰斬過半,各類代幣也應聲下跌,作為此輪牛市的「先鋒隊」DeFi 項目們也集體受挫。
從鎖倉數據來看,6 月 6 日,Debank 數據顯示,以太坊公鏈上的 DeFi 總鎖倉量為 866.6 億美元,相較 5 月 11 日的最高鎖倉量 1323.3 億美元已跌去 35% 。「幣安智能鏈(BSC)」鏈上生態也沒能倖免,Defistation 數據顯示其鏈上鎖倉量下降到了 266.6 億美元,相比 5 月 10 日 536 億美元的鎖倉量最高峰減少了 50%,除了近期市場的整體下滑,BSC 鏈上接連發生的安全事故也是讓用戶對 BSC 的 DeFi 項目信心大受打擊。
經過了一系列的 DeFi 安全事件後,BSC 採取了哪些應對措施,加上逐漸回血的 NFT 市場和即將上線幣安力推的 NFT 交易平台,BSC 能否一掃 5 月的陰霾?
DeFi 閃電貸攻擊頻發,BSC「背鍋」
6 月 5 日,安全機構 PeckShield 派盾預警顯示,BSC 鏈上首個自動做市商 BurgerSwap 再次遭到閃電貸攻擊,而這距離上次的攻擊才過去一周。 5 月 28 日,BurgerSwap 就曾首次遭到閃電貸攻擊,攻擊中被盜走價值 700 萬美元的 4400 枚 WBNB 、 140 萬枚 USDT 、 43.2 萬枚 BURGER 等代幣。隨後官方發布了補償計劃,空投新代幣 cBURGER 給符合條件的用戶。時隔一周,BSC 鏈上同一個項目連續被駭,且都是遭到閃電貸攻擊。
不只是 BurgerSwap,PANews 據公開數據統計,在 5 月 BSC 鏈上 Spartan Protocol 、PancakeBunny 、Bogged Finance 、AutoShark 、JulSwap 和 Belt Finance 等多個項目也都不同程度地遭到了閃電貸的攻擊,並且損失金額佔到 BSC 鏈上當月所有安全事件資產損失的 35% 。
了解 DeFi 的用戶都知道,閃電貸其實本不是一個作惡的工具,而是一項創新,是一種無抵押、無擔保的貸款方式。借款人需要在區塊鏈交易結束前償還貸款和利息,如果沒有償還,交易將不會被打包進入區塊,借的資金也會原路退回,那麼該貸款就像從未發生過一樣,閃電貸利用了區塊鏈的特性來實現傳統金融中做不到的事情。
對於提供閃電貸的平台來說,如 Uniswap 、 Pancakeswap,只是借出了資金並收回資金加利息,中間資金被拿去做什麼,平台不會干涉。由於貸款的智能合約必須在其出借的同一筆交易中完成,因此借款人必須使用其他智能合約,從而幫助他在交易結束前與貸款資金進行即時交易。
任何人都可以發起閃電貸交易,只要策略在當下的時間可以用,就可以發起閃電貸。發起人的成本包括 gas 費用、交易費用、滑點等,只要能抓住項目方的漏洞,攻擊者在很短的時間內提供大量資金,這些資金可以作為利用代碼漏洞的攻擊成本,或者操縱定價來從套利的過程中獲利。
對於近來頻發的閃電貸攻擊事件,BSC 官方表示,已被一個有組織的駭客團隊所盯上。並呼籲鏈上所有 DApp 防範風險,建議鏈上項目與審計公司合作進行健康檢查,如果是分叉項目,需反覆檢查相對原始版本進行的更改;並需要採取必要的風險控制措施,實時主動監控異常情況,一旦出現異常及時暫停協議;同時項目方還應制定應急計劃,以防出現最壞的情況,如果條件允許可設定漏洞賞金計劃。
由於幾起 DeFi 安全事故都發生在 BSC 上,也引發了一些用戶對 BSC 的質疑,甚至有人認為這是 BSC 的安全漏洞。幣安業務與生態系統開發協調員 Samy Karim 也作出了回應:
BSC 是一個公共的無許可基礎設施,任何人都可以在上面部署項目,包括惡意參與者和駭客,DeFi 漏洞並不新鮮,也絕對不是 BSC 獨有的。
一直以來,BSC 還未發生過安全事故或駭客攻擊事件,因一些 dApps 遭到攻擊,很難表示 BSC 就不安全。除 BSC 之外,其他公鏈上或多或少都會遭遇到駭客攻擊,也無法因公鏈上的個別項目,就直接否定掉整條公鏈。並且,dApps 的發展尚處於行業初期,還需要技術、產品以及安全方面的不斷迭代更新。
實際上,因著幣安智能鏈 DeFi 生態的豐富,所以遭到攻擊的頻率也越來越高,在某種程度上,BSC 與去年的以太坊很類似。據 PeckShield 派盾 2020 年安全事件統計,全年以太坊上 DeFi 安全事故達到 60 起,損失逾 2.5 億美元,遠超 2019 年數據。並且閃電貸攻擊同樣是重災區,其次才是重入攻擊等。
駭客攻擊因 BSC 生態繁榮有利可圖
目前 BSC 生態繁榮,有利可圖,於是成為駭客重點攻擊的對象。
其實早在 2019 年,幣安就推出了第一條公鏈幣安鏈(Binance Chain),幣安鏈同樣具有高吞吐量的特點,但缺乏虛擬機和智能合約的支持,因此主要用於操作 Binance DEX 和其他一些原生 DApps 。
而在 2020 年推出的「幣安智能鏈(BSC)」則與以太坊虛擬機(EVM)兼容,並支持智能合約。開發者可以很容易地將以太坊上的 DApp 遷移到 BSC 上,只需進行最低限度的配置,避免了以太坊鏈上高額的交易費用。
今年以來,BSC 蓬勃發展,從鏈上項目生態、用戶總數、用戶活躍度方面,都優勢漸顯。根據 bscproject 的數據,截至 6 月 6 日,BSC 生態涵蓋 DeFi 、 NFT 、工具和基礎設施等諸多領域,擁有 637 個項目,鏈上地址數高達 76,468,636 個;當天日交易數上,BSC 上達到了 4447 ,832 筆,為以太坊的 392%,以太坊僅為 1134,526 筆。此外,CryptoDep 數據顯示,過去 30 天用戶最活躍的 10 個 dapp 就有 9 個部署在 BSC 上。
BSC 能快速崛起離不開低廉的 GAS 費和較快的轉帳速度,能夠較大程度提升用戶的使用體驗。而在區塊鏈行業,高性能、低費用的公鏈其實很多,BSC 不僅具有這些特性,更在於背靠幣安的大力扶持和以此帶來的財富效應,就連 FTX 創始人 SBF 在 BSC 上就擁有了接近 20 億美元的 DeFi 資產。
在 DeFi 方面,BSC 鏈上鎖倉量佔比曾高達 26% ,目前為 18.6%,DEX 24 小時交易量上,BSC 生態項目 PancakeSwap 早已超過了 Uniswap 、 SushiSwap 等以太坊頭部 DEX,並且其 5 月成交量達 1564.8 億美元,佔據 DEX 總交易量的 49% 。即便跳出 BSC 生態,PancakeSwap 的地位也難以撼動。
BSC 生態越繁榮,其鏈上資產集聚的馬太效應就越強,當數百個擁有數百萬用戶的項目湧進來,就極易成為駭客和詐騙者的攻擊目標。不過或許與以太坊上的生態項目發展經歷一樣,或許項目經歷了這個安全漏洞的過程後會更加穩健,BSC 生態也將更加枝繁葉茂。
把好安全防線,項目需掌控「樂高組合」的內在邏輯
BSC 鏈上頻繁出現的閃電貸攻擊事件,讓社區一度看到閃電貸這個詞就將它與負面相連,對於在 BSC 鏈上開發也或將望而卻步。
實際上,PeckShield 認為近期接連出現的閃電貸攻擊事件部分源於很多項目自身沒有理解業務的邏輯,就複製一個項目的代碼,然後稍加調整就匆忙上線。例如 BSC 上遭到閃電貸攻擊的 BurgerSwap 和 JulSwap,是複制的 Uniswap 的代碼,AutoShark 和 Merlin Labs 兩個聚合器協議則是複制的 PancakeBunny 的代碼。
PeckShield 則建議,新合約上線前要進行審計,需要注意排查與其他 DeFi 產品進行組合時的業務邏輯漏洞,同時要設計⼀定的風控熔斷機制,引入第三⽅安全公司的威脅感知情報和數據態勢情報服務,完善防禦系統。
所有 DeFi 協議都存在變數,即使⼀個協議進行了多次審計,⼀個小的更新也會使審計變得無用,因此即使⼀個小的更新都要重新進行審計。
此外,對於 BSC 自身的安全性能,開發者或許並不用過多擔心。據官方介紹,BSC 的安全主要來源於兩方面。一個是代碼、節點,以及區塊鏈本身的安全性,另一個則是生態系統的安全性。
BSC 運行的是開源代碼,可以由第三方和公眾進行審計。在開源代碼的情況下,任何人具有相當的技術知識,都可以對代碼進行審查,並評估可能的漏洞和威脅。 BSC 網絡及其節點,則是由 21 個選出的驗證節點組成,使用的是 PoSA 算法,避免了個別驗證節點網絡控制權過大和濫用權力等問題。
BSC 生態系統則由多個部分以及多種參與者組成,每一個組成部分也會面臨不同的威脅。例如代碼、算法、驗證節點及其硬件,以及在 BSC 上進行開發的項目,和使用這些項目的個人用戶等。目前 BSC 社區也在進一步增強生態系統的安全性,並保護用戶資金和數據安全。此外,BSC 核心團隊表示已聯合行業內領先的安全公司成立了加密資產安全聯盟(CryptoSafe Alliance),進行一系列安全主題培訓;同時在籌劃 BSC CryptoSafe 社區白帽賞金計劃;還將加深與業內安全企業的合作,為早期識別安全問題提供更多積極的滲透性測試;並建立 BSC SAFU 基金或保險協議,以推出更好的基礎設施與服務。
生態繁榮持續加碼,「DeFi + NFT」成為 6 月新期待
安全警鐘長鳴的同時,生態建設還需要繼續加強,如今,NFT 成為 BSC 生態上除 DeFi 外新的焦點。
其實早在去年,幣安就對 NFT 進行了佈局。在 DeFi 熱度還高居不下時,幣安首先上線了 NFT 相關代幣,然後和 BSC 對用戶進行了 NFT 空投,如聖誕進行了 DEGO 、 Alpaca City 、 BCA 、 BakerySwap 和 Bounce 的 NFT 空投、「BSC 農民節」進行了盲盒空投等。而 BSC 除了面向藝術家、創作者和加密創意人士合作外,還將 NFT 結合到了慈善事業,並啟動了一系列 NFT 志願者激勵計劃。
NFT 方面,BakerySwap 也收穫了許多亮眼的成績,其 NFT 平台現已鑄造 98681 枚 NFT,交易數量超 36.5 萬筆,交易金額高達 6.25 億美金。此外,BSC 還在進一步專注於 NFT 和 DeFi 的創新應用,最近以「NFT 大爆炸」為主題的最有價值開發者第二輪計劃(MVB II)正在如火如荼地進行中。
在 6 月,幣安旗下 NFT 交易平台 Marketplace 將於 24 日上線,屆時將同時部署在 BSC 和以太坊上。據了解,該平台與全英音樂獎得主 Lewis Capaldi 、視覺藝術家 Trevor Jones 、電競團隊 eStarPro 、球星歐文和 Alphonso Davies 等多位知名人士合作,將首發他們的 NFT 作品。
隨著安全被各方愈加地重視,BSC 鏈上 DeFi 攻擊事件接下來或將有所改觀。整個加密市場在蟄伏了一段時間利空逐漸出儘後,加上逐漸回血的 NFT 市場和交易所們力推的 NFT 交易平台接連上線,加密貨幣市場以及 BSC 或將一掃此前的陰霾,用戶也將感受 NFT 與 DeFi 結合的魅力。