DeFi應用如何抵擋黑客攻擊？-ODAILY_TRO:BTCDEFI

▼▼▼

劉鋒：近幾天余弦參與處理Lendf.me被盜資金的追討，可以和我們講講這幾十個小時的經歷嗎？

余弦：第一步，快速定位威脅情況和攻擊細節，這樣可以快速給出最正確的漏洞原因，比如這次事件中，本質問題是Lendf.Me的核心代碼中存在重入攻擊漏洞，而這個漏洞又需要結合基于ERC777代幣的組合才能發生。知道漏洞本質及攻擊手法后，在鏈上是很容易知道攻擊者具體盜走多少資產。

第二步，思考如何追回。在4月19日下午，dForce、星火與imToken安全團隊在線下集結，并與慢霧安全團隊遠程連線成立“臨時安全團隊”，開始進行資產追回。因為信息量巨大且雜亂，集中討論可以快速的信息對稱，加快速度。

波場TRON DeFi總鎖倉值（TVL）已達到114億美金:據4月3日20:30（HKT）最新數據顯示，波場TRON DeFi總鎖倉值（TVL）已達到114億美金，刷新自身歷史紀錄，再創新高。波場TRON五幣齊挖世紀挖礦屢創佳績，波場TRON DeFi總鎖倉值升高。

據悉，波場TRON官方升級了總鎖倉值（TVL）的算法：TRX的總凍結量等于能量和帶寬之和，其中包括給超級代表投票凍結TRX獲得的能量和帶寬。

波場 TRON 以推動互聯網去中心化為己任，致力于為去中心化互聯網搭建基礎設施。旗下的 TRON 協議是全球最大的基于區塊鏈的去中心化應用操作系統協議之一，為協議上的去中心化應用運行提供高吞吐，高擴展，高可靠性的底層公鏈支持。波場 TRON 還通過創新的可插拔智能合約平臺為以太坊智能合約提供更好的兼容性。[2021/4/3 19:43:39]

4月20日，基于黑客在攻擊前后留下的痕跡，“臨時安全團隊”成功確定了準確的黑客畫像，并開始與國內外各方資源進行交叉對比，獲得突破性線索，離黑客越來越近。4月21日下午，在黃金48小時內，黑客在重重壓力下，與dForce主動溝通，并開始歸還部分資產。繼續溝通后，所有資產被成功找回，這是攻擊發生后的第三天。這個過程不僅是“臨時安全團隊”發揮了關鍵作用，還得到了非常多加密社區朋友直接與間接的幫助。

當前DeFi協議總鎖倉量為160.7億美元:11月29日消息，據DeBank數據顯示，目前DeFi協議總鎖倉量160.7億美元，重復率約為33.49%，真實總鎖倉量為106.9億美元。鎖倉資產排名前五的DeFi協議分別為Maker（24億美元）、WBTC（22億美元）、Aave（15億美元）、Compound（15億美元）、Uniswap（15億美元）。[2020/11/29 22:28:33]

劉鋒：對于這次Lendf.me被攻擊事件，大家應該吸取什么教訓？

余弦：任何新事物在進化過程中都會有安全風險，這是進化法則，越早期這種風險越大，最終要么死亡，要么就會趨于某種比較穩定的平衡。

基于這種心理準備，我們來看DeFi，有幾個比較重要的風險：技術安全風險、業務安全風險、合規安全風險，我們簡單展開：

三大DeFi抵押借貸平臺最近24小時清算量均為零:在過去24小時內，按照借款總量排名前三的DeFi抵押借貸平臺Compound、Maker和Aave清算量均為零，目前尚不清楚出現這種情況的具體原因。本文撰寫時，Compound借款總量約為16.2億美元、Maker借款總量約為10.1億美元，Aave借款總量約為2.9億美元。[2020/11/17 21:03:04]

1.技術安全

首先看公鏈本身是否久經考驗，足夠安全，以太坊基本滿足這點；然后看智能合約的設計是否足夠安全，Solidity并不太滿足；再看相關的標準實現是否足夠安全，這里最大的問題在于很多時候一個“特性”會變成一種“缺陷”；再看基于標準的成熟框架是否安全，如OpenZeppelin就很優秀；最后看項目方開發出來的是否真的嚴格安全實踐，這個就非常不好說了，很明顯，開發的質量是參差不齊的。

幣贏CoinW平臺DeFi幣種今日有波動 GRAPH領漲:據幣贏行情數據顯示，截止今日10:00（GMT+8），平臺內DeFi幣種今日有波動： GRAPH領漲，今日漲幅為48.4%，現價66.2823USDT； STA今日漲幅32.09%，現價0.1877USDT；STAKE今日漲幅31.28%，現價19.5426USDT； DTH今日漲幅為21.83%，現價0.0383USDT。 行情波動較大，請注意風險控制。[2020/8/25]

2.業務安全

業務決定于DeFi的設計，比如抵押借貸、閃貸、交易等等。業務需要特別考慮的是安全風控，比如暴跌暴漲怎么辦？突然出現的大額轉幣如何處理？如何解決第三方安全風險？

3.合規安全

如果是一個灰色或黑色邊界的DeFi，一不小心被一些國家的執法機構打掉或自己跑路了，怎么辦？

OKEx Research研究員：DeFi概念是比特幣此次上漲的主要推動力:區塊鏈行業研究機構OKEx Research首席研究員表示，從加密幣市場看，DeFi概念是這次上漲的主要推動力，由以太坊領漲，并帶動包括比特幣在內的加密幣市場整體上漲。從6月份至今，DeFi的鎖倉市值由10億美元漲至目前的30億美元，增長十分迅速。主打“DeFi生態”概念的以太坊受到市場熱捧，隨后帶動了比特幣的上漲。另外，國際經濟形勢趨緊、避險情緒升溫，也加速了比特幣價格的上漲。上述首席研究員還表示，但對普通投資者而言，應當正確認識到，比特幣是一種高風險資產，而非一種避險資產。他表示，根據數據統計，今年1月份至今，黃金的日波動率僅為1.29%，標普500的日波動率為2.84%，而比特幣的波動率高達5.1%，這么高波動率的資產不能稱之為避險資產。且二者在市場層面并沒有關聯性，從近一年來的走勢來看，黃金的波動率更小，在年度上呈上漲趨勢；比特幣的價格波動較大，在年度上呈橫向延伸趨勢。（證券日報）[2020/7/29]

另外特別補充一些和用戶角度有關的判斷：

1.項目方內部有實力不錯的安全團隊或有豐富安全經驗的核心人物把關

2.項目方近半年內被第三方專業安全機構安全審計并公開安全審計結果

3.項目方有長期持續緊密合作的第三方專業安全機構

4.項目方核心成員對待安全的態度坦然開放，勇于認錯并把安全放在第一位

5.項目方對安全工作充滿敬畏與尊重

基于上面這5點可以延伸出一些事實，比如：口碑、真實用戶數、數據透明度、安全透明度等等。

劉鋒：大家愿意去用DeFi產品，有很大原因是擔憂中心化金融服務平臺的安全性問題，希望通過DeFi討個平安。但是今年一連串DeFi平臺和產品被攻擊，這讓人對DeFi反而不信任了，我覺得有點遺憾，你怎么看？

余弦：我的看法不一樣，大家來看看歷史。

具體細節這里看：https://hacked.slowmist.io/

大家會看到中心化、去中心化都有非常慘重的歷史案例，但其實不必因此而打擊信心，DeFi一定有自己的定位，但DeFi也別想著一統天下，同樣的話也適合CeFi，未來應該會看到更多DeFi+CeFi的混合體出現。而且，DeFi其實并不一定需要完全去中心，這是我的個人看法。

我是黑客，這些在我眼里都沒有絕對的安全，都有許多薄弱點，但是黑客不都是壞的，我們更希望是往安全的方向去進化，但我們在對抗時，必須有足夠的攻擊思維。

劉鋒：觀眾提問，對DeFi合約審計的作用有多大？能保證足夠安全么？是否經過了審計的defi項目就值得信任呢？

余弦：DeFi安全審計是安全策略的第二層，第一層是DeFi開發安全，這是項目方的事。DeFi安全審計在第二層可以規避不少問題，將安全防御水平提高一個檔次。但之后還有第三層，也就是更新迭代持續運營的安全，這個一不小心就麻煩了。只能說，經過安全審計的項目，可以讓人更放心，但也一定都有黑天鵝——來自未來的攻擊。所以，如果安全審計已經超過半年，那就得注意了。

劉鋒：觀眾提問，大多數知名DeFi協議都是以某種形式被中心化控制的，雖然這種方式在安全性上有些好處，怎樣才能避免管理員濫用自己的特權，或者說減少相關風險？

余弦：這個是人性的問題，有的可以技術解決，有的解決不了。技術上通過類似DAO的方式來控制，但這又會產生新的問題，DAO的效率太低就麻煩了。但至少有一點項目方需要做的是透明，資產透明，權限透明，決策透明等等，讓社區看得見。

劉鋒：觀眾提問，有沒有一種方案，在用戶和合約之間建中間件，這個中間件來做安全處理？

余弦：這個不知道，需要試驗，但我最近有一個想法，大家可以看看：https://firewallx.io/

這個防火墻是構建在EOS主網上的，核心是智能合約實現。以太坊上，ERC777這種偏復雜的也許也可以這樣做，但還是需要試驗。

劉鋒：觀眾提問，代碼的安全問題幾乎不可避免，DeFi是不是需要輔以更成熟的風控機制，來避免大的損失？因為DeFi的魅力是去中心化，是智能合約，但是受攻擊后的修復和自己追討，看起來完全是人和人之間的博弈了。

余弦：追回是個很難的事，但比較有意思的是，今年開始可能會提高成功率，原因是各國司法、執法流程上開始支持加密貨幣了。

非常感謝參與今晚MathShow#001活動的“show”友們，也感謝慢霧的創始人余弦為我們帶來的關于DeFi的安全知識饕餮盛宴，為區塊鏈生態安全貢獻自己的力量。祝慢霧越來越好。

Tags：EFIDEFIDEFTROdefi communitynSights DeFi TraderBTCDEFITROLLBNB

歐易交易所app官網下載