文:王也
出品:Odaily星球日報
編者注:原標題為《TodForce:Whatdoesn'tkillyoumakesyouSTRONGER》
短短48小時,黑客讓dForce團隊真切地體會到了“失而復得”的美好。
4月19日上午,由dForce團隊開發的去中心化借貸協議Lendf.Me遭黑客攻擊,價值2500萬美金的鎖倉資產被黑客洗劫一空,震動社區與行業。
而隨后發生的“神反轉”更是比電影還精彩,4月19日晚,黑客向Lendf.Me賬戶歸還了12614枚PAX,并附言BetterFuture,4月20日,黑客再次陸續歸還代幣,至今已悉數歸還了全部被盜資產。
據悉,黑客此舉,是因為在去中心化交易所1inch上泄漏了自己的IP地址,1inch配合新加坡以及dForce團隊向黑客施壓,迫使其歸還贓款,1inch官方也證實了這一過程。
dForce團隊則在4月22日凌晨發文告知用戶接下來將采取的行動方案:將永久關閉現有合約,新產品將啟用新合約,并將在一周內公布資產返還的建議方案。
不幸之中的萬幸,Lendf.Me本次被盜最終并沒有給用戶和平臺造成損失,但帶來的思考和探討已遠超事件本身。
事件發生后,許多看客已從多方視角發布過專業的復盤內容,但Odaily星球日報依舊看到了不少錯誤的說法和偏頗的論調,因此,我們也想以這篇文章表明:Whatdoesnotkillyoumakesyoustronger,相信歷劫后的dForce團隊和DeFi行業,會更加健康地成長。
DeFi樂高遭遇“多米諾骨牌”式崩塌,到底是誰的鍋?
4月19日,黑客利用ERC777合約和DeFi平臺的兼容性問題,在Lendf.Me上多次調用重入攻擊,并以imBTC為抵押,將Lendf.Me上價值2500萬美金的資產洗劫一空。
發生盜幣事件后,媒體和大眾關注的焦點是“追責”,大額資金被盜,到底是誰的鍋?雖然事件已告一段落,但依然有很多錯誤說法在社群內誤傳。
歐易OKX公布CELT處置方案的空投規則補充說明:3月1日,據官方公告,繼歐易OKX發布關于CELT項目價格大幅波動情況說明及處置方案后,進一步公布CELT處置方案的空投規則。
據歐易OKX公告表示,將針對在2月25日12:00(HKT)至2月28日上午12:00(HKT)期間買入CELT代幣(包括現貨和閃兌),并且產生虧損的用戶進行總計3,014,381 USDT的空投。對于滿足條件的用戶,平臺將在48小時內將空投發放至用戶資金賬戶。[2023/3/1 12:35:52]
討論的聲音很多,有的把“罪名”扣在ERC777頭上,稱是合約本身存在漏洞;有人追問dForce的安全合作方Peckshied為何沒有及時發現漏洞;還有人將矛頭指向imToken,聲稱是imBTC存在問題,黑客抵押了假imBTC貸出ETH。
而事實是,以上都是錯誤說法。
ERC777合約本身并沒有問題,它是對ERC20合約的一個改造和升級,不但實現了功能擴展,還有ERC20標準一樣良好的兼容性。這件事也并非Peckshied的責任,雖然PeckShield是dForce的安全合作方,但他們并沒有對Lendf.me的代碼進行過審計,Lendf.me的協議為分叉CoumpundV1代碼而來。
假imBTC也是一個謠言,并不存在這個過程,imBTC本身也無漏洞。
事實是,Lendf.me在CoumpundV1代碼的基礎上加入了基于ERC777的imBTC,而ERC777合約與DeFi協議的兼容性問題,給了黑客可趁之機。
具體來說,ERC777原本是在ERC20基礎上加強了對Token的風險控制接口,是一次有益的改進。不過由于DeFi項目的可組合特性,一個合約在不同產品之間相互調用時,其業務邏輯復雜度也會大大增加,這就給注入代碼攻擊提供了可能性。
據PeckShield團隊介紹,ERC777標準擴展的功能之一是提供了“hook”機制,可以使普通地址或合約通過注冊一個tokensToSend()hook函數來控制或拒絕發送Token。簡單點說,“hook”函數能夠在一筆交易完成前后將通知發送給交易雙方,并允許其取消交易,確保了交易相對的客觀公正。
Web3期權協議Volare Finance完成種子輪融資,Huobi Ventures等參投:10月18日消息,Web3期權協議Volare Finance宣布完成種子輪融資,Master Ventures Investment Management (MVIM)領投,GSR、Arrington XRP Capital、Spark Digital Capital、GSR Markets、Huobi Ventures等參投,但本輪融資的具體金額暫未披露。Volare Finance幫助投資者采用標準期權策略或定制期權策略組合來對沖、投機和提高收益,旨在減少交易者在期權交易中面臨的摩擦。此前,Volare Finance已在Fuji協議上推出測試網,該團隊繼續推動為加密期權交易提供透明、可信賴和方便的去中心化機制。(benzinga)[2022/10/18 17:30:58]
因為“hook”函數通知是需要操作時間的,黑客就利用這一點,發起重入攻擊,在用戶一筆交易未完成的時候,又發起一筆新的交易,擾亂了原有的交易節奏。
圖片來源于:PeckShield
這個理解起來可能有些門檻,Odaily星球日報簡單解釋下:
Alice有100ETH,她準備將這100ETH抵押給Bob準備借出0.01個imBTC,但是還沒等到這筆交易確認時,Alice又將這100ETH抵押給力另外一個對手方,于是,Alice就用這100ETH借出了兩倍的imBTC。黑客攻擊Lendf.Me的過程就是上述過程的多次循環,重入攻擊可以理解為黑客憑空生出了很多“錢”,讓合約以為這是合法的“錢”,然后可以用抵押借貸的方式,把真錢都取走了。
從上述過程我們可以很清晰地了解到,ERC777合約本身實際可以極大的提高DeFi應用的用戶體驗,通過使用的Hook回調機制,在ERC20中需要二筆或多筆完成的確認交易,而使用ERC777單筆交易就可以完成。
跨鏈DID .bit成為OpenSea推薦域名,將于10月18號全面開放4-9位注冊:9月13日消息,跨鏈DID .bit成為OpenSea推薦的Domain Names合輯,其在OpenSea上累計交易量達到251 ETH(43 萬美金)。.bit將于北京時間10月18日晚8點全面開放4-9位賬戶注冊。從去年7月22日上線以來,.bit已經開放了4-9位的60%以及10位以上的100%注冊,.bit累計注冊賬戶已超14 萬個。
此前報道,8月15日,跨鏈DID .bit宣布完成1300萬美元A輪融資,CMB International領投,HashKey Capital, QingSong Fund, GSR Ventures, GGV Capital與SNZ參投。[2022/9/13 13:27:00]
真正導致漏洞出現的根源在于ERC777合約與DeFi協議的兼容性出現了問題。
目前,安全團隊針已經針對ERC777合約與DeFi協議的兼容性問題給出了很多安全建議,這次攻擊也使得DeFi開發者嚴肅正視DeFi業務組合可能存在的系統性風險問題。
因DeFi協議之間的可組合性和互操作性,使得各DeFi協議之間的相互影響逐漸加深、也更為復雜:就算單個協議運行起來是安全的,不代表這些安全的協議組合在一起使用也是安全的。
所以,開發者們不可以只追求DeFi樂高的“龐大”,更應該在系統的兼容性和安全性方面多做努力,畢竟對于金融產品來說,「安全」才是重中之重。
追責不是目的,而是希望找出問題所在后,不再被類似的問題打倒。
世界不是非黑即白的,DeFi本來就處于半中心化治理階段
4月21日,Lendf.Me被盜的劇情開始出現“神反轉”,許多圍觀者都感嘆這情節如同電影。
根據etherscan鏈上數據,從4月21日6:00UTC開始,黑客從標有“Lendf.MeHack”的地址到Lendf.Me項目的管理地址發起了多次交易,包括57992枚ETH,以及USDT、BUSD、TUSD等穩定幣,此外,還歸還了581枚WBTC、HBTC和imBTC,合計2400萬美元。
dYdX過去24小時交易量達10億美元:金色財經消息,去中心化衍生品交易平臺dYdX發推稱,dYdX過去24小時交易量為10億美元,昨日交易筆數為12.4萬。[2022/8/17 12:29:57]
世界不是非黑即白的,
DeFi本來就處于半中心化治理階段
4月21日,Lendf.Me被盜的劇情開始出現“神反轉”,許多圍觀者都感嘆這情節如同電影。
根據etherscan鏈上數據,從4月21日6:00UTC開始,黑客從標有“Lendf.MeHack”的地址到Lendf.Me項目的管理地址發起了多次交易,包括57992枚ETH,以及USDT、BUSD、TUSD等穩定幣,此外,還歸還了581枚WBTC、HBTC和imBTC,合計2400?萬美元。
圖片來源于:etherscan
根據1inchCEOSergejKunz向媒體透露,黑客因為使用了基于Web的內容分發網絡,所以才泄漏了關于他本人的重要元數據頭部信息,而且所有三個交易請求都來自一個中國的IP地址,這表明黑客沒有使用Tor之類的去中心化網絡。此外,信息中還有黑客使用的電腦類型、屏幕分辨率和系統語言等內容。
SergejKunz評價這個黑客,“他應該是一名優秀的程序員,但卻是沒有經驗的黑客。”
因此,雖然官方沒有公布細節,從已知信息,也可以推斷出,和dForce團隊掌握了黑客信息,從而迫使黑客退還資產。
無論過程如何,被盜資產成功追回本對于dForce和用戶都是難得的happyending,但是1inch配合新加坡協助dForce團隊追回被盜資,披露黑客的IP地址,卻引發了社區對DeFi“保護用戶隱私”和“純粹去中心化”的討論。
法國戛納將十處城市地標拍賣,載入“元宇宙”:金色財經消息,近日,在上周進行的一場特別拍賣會上,法國戛納市(Cannes)將十處城市地標遺產以NFT數字藏品形式進行拍賣。其中,戛納國際電影節舉辦地——戛納節慶宮(lePalaisdesfestivals)的NFT數字藏品以65000歐元成交,十字大道(laCroisette)NFT以59040歐元成交。戛納成為將城市地標載入“元宇宙”的歐洲城市先驅。(法國《費加羅報》)[2022/7/1 1:44:52]
去中心化的DeFi借貸平臺依靠中心化的執法機關將被盜資產追回,支持者認為披露黑客的IP地址天經地義,無可厚非,雖然具有抗審查性,但DeFi畢竟不是法外之地。
反對者認為1inch作為去中心化交易平臺有悖于DeFi“保護用戶隱私”的初衷。
去中心化交易所ParaSwap在Telegram的DeFi群中向用戶表明不會披露任何用戶的信息,即使用戶是黑客。
1inch也迅速做出了解釋:「去中心化和隱私沒有關系」,1inch在監管合規范圍內辦事,并且1inch網站披露了自己的隱私政策:
ParaSwap雖然拒絕了向dForce披露黑客IP地址的請求,但根據TheBlock的報道,ParaSwap自己的產品也在收集用戶郵箱和IP地址,而且ParaSwap官網也沒有任何隱私政策的說明。
還有一些反對者認為此舉違背了DeFi“去中心化”的原教旨主義。他們認為真正的DeFi,向黑客發起追討或者法律訴訟的應該是DeFi用戶,而不是開發者;而Lendf.Me開發者團隊在以公司主體的名義通過法律途徑追回資產,說明這家公司在承擔代理風險。
他們潛意識里認為DeFi的存在就是為了消除代理風險,如果有一家公司在承擔DeFi協議的代理風險的話,那這個DeFi就和CeFi沒什么區別了。
其實,在Odaily星球日報看來,這些討論多為偏頗和“站著說話不腰疼”。借助中心化執法機構的力量找回被盜資產是年輕DeFi必須走的路,沒必要上升到“去中心化的和中心化”的矛盾層面。
而且,“世界很復雜”,不只有白或黑,也不只有明或暗,他是多維度、多層次、多元的,真實的世界沒有這么二元。
今天我們的所有生活和資產并不都在鏈上,追責更是都發生在線下,智能合約的世界是一個尚不完整的世界,也絕對不是法外之地。
同時,區塊鏈追求的本來就是保護個人隱私,而非實現絕對匿名。
DeFi的世界也并不是只有代碼,事實上,從剛過去不久的那場“3.12暴跌”事件中,我們也能感受到去中心化的DeFi加入中心化人為調控之后,能夠更大程度減少極端行情給用戶帶來的資產損失,去中心化合約交易協議dYdX兩次調高最小交易量,合成資產交易平臺Synthetix臨時將費用追償延長到了一小時,這些都有效地緩解了交易的延遲和阻塞情況,避免了給用戶帶來資產上的損失。
1inch協助同樣可被理解為一次宏觀的人為調控。無論是對開發者還是平臺用戶來說,黑客盜幣帶來的損失可謂是”滅頂之災“,如果開發者團隊不及時與inch和溝通配合,用戶的資產根本不可能找回,資產都沒了,又何談金融呢?
代碼是死的,人是活的。年輕的DeFi加入人為調控以應對極端情況無可厚非。
而且嚴格意義上來說,如今的DeFi產品實際上本來就處于混合模式,資產上鏈層面是中心化,而在可編程性是去中心化,治理上是半中心化的。
因此,Odaily星球日報想說:今天的DeFi本來就處于半中心化的治理+去中心化的協議的階段,很多DeFi原教旨主義者以去中心化意識形態一概而論,以偏概全,其實缺乏DeFi在應用層面的思考。
創業者的實踐總是一步一步的,說風涼話并不能推動行業發展。
為DeFi行業敲響警鐘:
全面評估和抵御系統性風險
雖然這次Lendf.Me被盜事件以追回全部資產收尾,但客觀地說,從黑客“留下尾巴”一路找到線索,還是有一定“僥幸”因素的。
所以更重要的自然是,“這一次”過去了,如何預防“下一次”。
DeFi開發者和從業者必須認真思考DeFi業務組合可能存在的系統性風險問題。
DeFi是由一個個相關的協議和應用模塊所組成的“積木組合”,其整體的安全性,取決于所有的積木中安全性最差的那一個。
幣乎創始人咕嚕根據應用/協議/資產級別的安全性,將DeFi產品風險分為以下方面:
智能合約代碼安全性引入的風險:
咕嚕認為這是目前DeFi應用最主要的風險,占了總風險的大多數。
智能合約AdminKey引入的運營風險:
什么是智能合約的AdminKey?智能合約作為一個提供服務的「機器人」,很多時候運營方需要留有人工的權限去控制這個「機器人」,例如關停「機器人」,再例如凍結智能合約中某個賬戶的資產等。如果存在這樣的AdminKey人工權限,就會引入額外的風險。
持有特定資產本身的風險:
持有的資產本身具有價格波動的市場風險、資產被Token合約本身的AdminKey凍結/沒收的風險等。
抵押借貸類DeFi本身的市場風險。
智能合約平臺的風險。
用戶自身私鑰管理的風險。
對于以上這些風險,DeFi平臺方不僅要確保在產品上線前有過硬的代碼審計和漏洞排查,還要在不同產品做業務組合時,考慮因各自不同業務邏輯而潛在的系統性風控問題。
另外在應對風險時,DeFi平臺應和安全公司及時合作,做好代碼和系統風險的安全審計工作,因為Lendf.Me的代碼是fork的CompoundV1的,而CompoundV1是trailofbits這家公司審計的,所以后來就沒有再找安全公司去做審計,這就為后面遭遇黑客攻擊埋了隱形炸彈。
dForce團隊也認識到了問題的嚴重性,在最新發布的公告中宣布永久關閉現有合約,新產品將推出新合約。
其實在事件發生和解決后,用戶和dForce社區都給予了團隊很大的精神支持,許多損失慘重的用戶依舊表明了“被盜事件不會擊潰DeFi,相信dForce團隊”的立場,足可以看出行業對優質創業團隊的包容和友好。
但更重要的是,這次事件能夠引起DeFi開發者們的足夠重視,加大在安全方面的投入,安全團隊也應該增強對DeFi產品審計的多樣性和全面性,也可以研發更多供C端用戶使用的可以評估DeFi安全性的工具和產品,讓DeFi成為所有人都能放心使用的金融工具。
安全永遠既是行業的底線,也是至高無上的準則。
Tags:EFIDEFIDEFENDeFin DecentralizedDEFITWDEFI價格UniLend Finance
作者:王翔,北京聚農科技董事長摘?要:個人健康數據,是一個私密性領域,此類數據的挖掘和應用,以前傳統的計算機平臺技術方式已經不足以支撐.
1900/1/1 0:00:00AtomicLoans宣布已經獲得了新的資本注入,用于為比特幣開發一種去中心化貸款協議。 圖片來源:AtomicLoans非托管并且由比特幣支持的貸款服務即將推出AtomicLoans是一家專注.
1900/1/1 0:00:00來源:LongHash 普遍意見認為價格波動性是比特幣無法在主流大眾間獲得更高的采用率的主要原因之一。然而,真相或許很不一樣。許多人恰恰是因為比特幣極端的價格波動才被它吸引的。想想看.
1900/1/1 0:00:00我有一個朋友,今年30歲,裸辭了。一個月后,他拿了三份Offer,分別來自某電商巨頭,某生鮮電商品牌,某區塊鏈創業公司.
1900/1/1 0:00:00摘要:美股大漲,但比特幣聯動后遇阻,市場觀望情緒漸增,短時不確定性較大。央行數字貨幣DC/EP又爆出新進展,農行內測APP來了,“現鈔版”數字貨幣用手機“碰一碰”就完成支付.
1900/1/1 0:00:00BKSBEX前幾日在社群中宣布,他們要開始參與挖礦了。4月18日的群公告中表示,最新一版BKSBEX平臺的版本即將更新,新版本將上線全新的礦業聯盟界面,昭示著平臺將進軍比特礦業.
1900/1/1 0:00:00