dForce有惊无险，但我们应该有哪些反思

文|冰棒编辑|毕彤彤出品|PANews所有关心DeFi领域的人士，都和dForce一起度过了惊心动魄的53小时。庆幸的是，这次黑客的手段并没有那么高明，在被盗的第二日，基于黑客在攻击前后留下的痕迹，安全团队成功确定了准确的黑客画像，并开始与国内外各方资源进行交叉对比，获得突破性线索，离黑客越来越近。第三日，黑客在重重压力下，与dForce主动沟通，并开始归还部分资产。继续沟通后，所有资产被成功找回。dForce的峰回路转是幸运女神的眷顾，从业者短暂庆贺之余，更需要进行一场关于DeFi的大反思和大讨论。

DeFi惊魂53小时

考虑到还有一些不了解该事件的读者，我们先回顾下本次黑客事件的经过。4月18日、19日接连两天，发生了两起DeFi智能合约被攻击事件，共计被盗金额高达2546万美元。Uniswap被攻击在先，但因为被盗金额21.7万美元并不是太高，没有引起投资者的注意。没想到24小时内，Lendf.Me也被黑客用类似的手法攻陷，被盗金额高达2524万美元，资金池当中只剩下6美元资产。具有戏剧性的是，在不少受害人通过memo留言请求黑客退回资产之后，黑客往Lendf.Me账户退回了全部的38万HUSD和320HBTC，以及部分将PAX替换的12万个ETH，并附留言“betterfutrue”。截至4月21日14:00，黑客几乎将所有转移资产全部打回Lendf.Me账户。不管是黑客们盗亦有道，还是迫于各方压力退还资产，柳暗花明的同时，行业参与者还需要深刻的反思DeFi行业目前的问题。据PeckShield公众号推文介绍，这次黑客攻击DeFi的原理是：攻击者利用以太坊ERC777标准的transferFrom()回调机制，在内部调用_callTokensToSend()回调函数时劫持交易，并在真正更新余额的_move()函数之前进行恶意攻击。以太坊的ERC777标准，可以看作是ERC20的升级版本，本身没有太大问题。但是将Uniswap/Lendf.me和ERC777结合使用的时候，系统出现了漏洞，给了黑客可乘之机。Lendf.Me官方团队dForceNetwork在4月19日03:38分发文，也承认黑客主要是利用Lendf.Me和ERC777的兼容性发动攻击。所以说，分别来看ERC777的代码和dForce的代码都是经过安全审计无漏洞，但当两者相结合的时候，便产生了系统性的安全风险。都是去中心化的协议，这时候，很难说这究竟是谁的责任。亲历者的反思

dForce：已向相关执法部门提出诉讼追究本次攻击事件:2月11日消息，dForce 官方在社交媒体上发文表示，dForce 项目方一直在与安全公司以及合作伙伴进行全天候合作，追踪攻击者 IP 地址留下的痕迹并追查被盗资金。

同时，dForce 已向相关执法部门提起诉讼以追究此案。若攻击者归还被盗资金，dForce 此前提出的赏金方案依然有效。目前技术团队正在审查其它 Vaults，将在未来几天内完成安全审查后恢复正常。[2023/2/11 12:00:46]

事发后，与交易所被盗币的维权现场不同，dForce社区整体比较冷静，大部分用户也会站在官方团队的立场去建议和宽慰。这或许是因为，dForce的用户，不少是类似于币乎的创始人咕噜、文艺复兴基金曹寅这样的DeFi参与者和建设者。大部分用户在理性的反思自己没有做好资产的配置和安全识别。咕噜称自己应该是受损最大的用户，并发表了一篇对参与DeFi风险管理的建议，主要是以下6点：1.智能合约代码安全性引入的风险首先，安全审计报告是规避智能合约风险的第一道关口，也是目前唯一能前置规避智能合约风险的措施。其次，时间是最好的检验。经过长时间有效实战检验的智能合约，风险显著降低。2.智能合约AdminKey引入的运营风险运营方是否主动披露AdminKey权限的存在,一个负责任的运营方应该有义务主动披露AdminKey权限；AdminKey的权限范围,可以冻结、转移、没收用户资产的AdminKey权限，需要格外当心；是否对AdminKey权限设置了延时生效机制。延时生效机制是防范AdminKey的侵入式权限对用户造成伤害的有效防御手段，同时也是反应运营方态度的关键看点；看持有AdminKey权限的运营方本身是否信誉良好.3.持有特定资产本身的风险持有的资产本身具有价格波动的市场风险、资产被Token合约本身的AdminKey冻结/没收的风险，等等。4.抵押借贷类DeFi本身的市场风险在抵押协作中规定针对特定单一抵押品的抵押数量上限，上限的设定须与该抵押品的市场真实流动性匹配，尤其是要考虑泛滥的刷成交量这类因素；评估抵押协议中的平仓机制设计是否合理，平仓机制是否能有效利用市场中的流动性进行平仓；评估被纳入的抵押品本身的风险。5.智能合约平台的风险安全审计+长时间的有效实战检验6.用户自身私钥管理的风险学习私钥保管的相关知识，通过使用智能钱包规避私钥管理的风险。

WAGMI United向英国足球俱乐部Bradford Cit提出收购要约:12月18日消息，由美国加密货币投资者组成的WAGMI United向英国二级联赛俱乐部布拉德福德城（Bradford City）提出了收购要约。足球俱乐部主席Stefan Rupp证实了该消息。WAGMI United还打算依赖NFT作为所有权。WAGMI目前还没有完全与Bradford City达成交易。WAGMI成员包括NBA球队费城76人队的总裁Daryl Morey、商人Gary Vaynerchuk和TikTok名人Bryce Hall等。（Crypto News Flash）[2021/12/18 7:48:03]

橙皮书的创始人李阳同样也是用户，在得知被黑客攻击时，他用了“魂魄离开肉体的死亡之飘”来形容当时的感受，事后他反思到，“如果我们真的想突破币圈，获得更多普通用户的信任，在产品设计，风险提示，用户体验，品牌塑造上，还有太多太多要做。就现在的状态，即使一个用户真心想尝试使用defi的产品，艰难的跨过诸多入门关卡，也会被现有defi产品的主页给挡在门外。一个理财产品总得有风险提示和权责说明吧？”当然，在反思之余，用户们并没有丧失对DeFi的信心，正如曹寅所说，“这次事件之后，整个DeFi社区对安全的重视和投入会上升一个数量级，用户的对DeFi的认知也会提高不少，这次事件就当作DeFi建设者们神农尝百草吧。"

dForce：今后每周都将对所有现有池子的激励方案进行评估和调整:dForce今日公布了流动性挖矿第五周激励方案，虽然本周方案保持不变，但dForce表示今后每周都将对所有现有池子的激励方案进行评估和调整。本期香槟塔池和淘金池截止于9月7日，奇点池截止于9月9日。[2020/8/31]

欲速则不达，简单的才是耐用的

从去年年初开始，DeFi似乎进入了大爆炸的阶段，各类DeFi引用接踵而至。这样大跨步发展，注定会埋下隐雷。“最近三个月来，我看到DeFi新应用和新资产正以至少每天两三个的速度涌现，而DeFi协议之间的可组合性，使得DeFi的复杂性更是呈现指数级别增长，协议互相之间的影响已经超越了单纯的乐高积木组合方式。”曹寅表示。和曹寅持一样的观点，IOSGVentures在推特连发几问提出质疑：DeFi的复杂性是否超越了其成熟度？协议的组合带来机会，同时也面临兼容性风险。DeFi产品需要解决代码审计以及安全性问题，DeFi虽然相比于传统金融有更高的收益，但高收益往往对应的是高风险，DeFi还需要更多的风险提示。同时不少开发团队也需要放缓协议的速度，确保产品在上线之前有合格的审计以及漏洞排查。“市场能力固然重要，但研发能力也要匹配上自己的野心。”DeFiLabs创始人代世超呼吁，希望中国社区投入更多研发和专业资源在cryptofinance领域。目前defi领域颠覆性的创新产品都是国外先行研发。中国defi社区正在起步，但研发资源还比较薄弱。但这里可能有一个悖论，既对于初创企业而言，审计费用，延长交付时间，都会增加成本，反之又极具风险。对于DeFi之所以收益普遍比CeFi高出很多，其收益主要来源于DeFi的开销低，省去了传统行业的中间商。而当代码100%完全没有问题的情况下，风险降低市场的收益也会随着下降。对于用户来讲，高收益和透明性最大的拥趸因素，在DeFi没有做好这两点的情况下，用户需要慎重选择参与，目前来看，时间仍然是最好的试金石。当然，对于DeFi产品，在行业内也有着很多的抨击和怀疑。在这次事件发生之后，DeFi和CeFi也成为了热门讨论话题DeFi还是CeFi，不是选择题

dForce官方：去中心化金融将为数字黄金衍生品提供更多机会:7月27日早间，dForce官方发推称，数字黄金代币的好处是什么？数字黄金已成为直接投资黄金的另一种选择，同时避免了在传统金融市场持有实物黄金或其他黄金资产所带来的诸多挑战。与其物理属性相比，数字黄金提供了许多好处，包括高可伸缩性、互操作性和可编程性。此外，数字黄金在黄金投资方面更具吸引力。数字黄金可以在任何时候进行交易，费用低，存储方便。新兴的去中心化金融将为数字黄金衍生品提供更多的机会。[2020/7/27]

追求金融平权的加密朋克们，一开始就将DeFi置于CeFi的对立面。DeFi的黑客事件，更使得有些人提出了“DeFi无用论”的观点，或者建议重新审视DeFi的内在价值。但单从安全角度而言，成立了上百年的CeFi也经历过很多安全事故，直到2016年也出现过黑客连续通过swift盗取厄瓜多尔、菲律宾、孟加拉一众银行的事件。不管是DeFi还是CeFi，都有一个必经的试错和成长的打磨过程。和比特币被死亡200多次一样，经历伤痛是新生事物必经的阶段。就区块链能够带来的变革领域来看，区块链技术未来有着巨大的发展潜力。有人称DeFi属于早期产品，其实就区块链的成熟期来看，现在所有的区块链产品仅仅是起步阶段而已，只不过行业参与者总会高估行业的发展时期。以结果为导向，技术的发展是为了提高生产效率。在去中心化和中心化的争论当中，我们更多的是应该考虑效能的最大化，而非达到目的的手段，不需要非黑即白，非彼即此。比如政府和一些慈善企业推出的企业联盟链，即使看上去没有那么的去中心化，但也能做到高效的处理事务，让1+1大于2。MakerDAO中国社区负责人潘超在文章中写道，去中心化和中心化代表着两种截然不同的力量和理念，就像跷跷板两端的DeFi和CeFi，彼此水火不相容，但之间的流动性却使它们成为金融的环节。这些环节在金融活动中不但不互相抵触，而且彼此都同样是必要的，正是这种必要性才形成金融的平衡。DeFi和CeFi并不是必选题，在技术层面可以考虑融合两者的优势，达到最终用户的需求。在用户选择层面，也没有必要太过在意D还是C，能够满足用户需求的产品，才是最好的产品。当然，在文末还要提一句，dForce作为亚洲的DeFi代表，甚至在社区中掀起了对中国人产品的口诛笔伐和冷言嘲讽。正如曹寅所说，我们现在必须立刻意识到，DeFi的发展已经进入了危险区域，无论是否有竞争关系，其实都是在一艘飞船上。开发者们应该放下各种门户之见和利益立场，携手合作，设计打造出更安全的DeFi飞船，为飞船上的用户负责。

媒体：dForce旗下Lendf.Me和USDx代码涉嫌抄袭:据The Block 1月报道，Compound指控Lendf.Me窃取其版权代码。当时杨民道表示，Compound此前从未就潜在的版权侵权问题联系过dForce。Compound CEO Robert Leshner证实没有联系过，并正评估法律选择。4月Lendf.Me遭攻击，Leshner在推特再次发出指责。

以太坊DeFi架构师Andre Cronje称，Compound因复制代码问题合法追击Lendf.me，但后者也在研究自己的版本。他为参与建造DeFi项目的人提供建议，除非有资金支付安全审计，或者有安全背景，否则不要尝试，你会丢失别人的钱。

dForce合成稳定币USDx代码据称也涉嫌抄袭。Kava CEO Brian Kerr称，“dForce盗取Kava的USDX代币名称和代码，尽管我们在他们有平台之前几个月就宣布了自己对代币。一般来说普通软件开发人员重用代码是正常的，也可以接受……但当代码需要对人的资金负责时，会引起很多问题。”Kava不会对dForce采取法律行动，他认为dForce不是利用USDX故意针对Kava，只是没有做好尽调。（AMBCrypto）[2020/5/31]

标签：EFIDEFDEFIFORyefi币行情Dives DefiPyrrho DeFiFOREX价格

币安app官方下载最新版热门资讯