DeFi应用如何抵挡黑客攻击？-ODAILY

▼▼▼

刘锋：近几天余弦参与处理Lendf.me被盗资金的追讨，可以和我们讲讲这几十个小时的经历吗？

余弦：第一步，快速定位威胁情况和攻击细节，这样可以快速给出最正确的漏洞原因，比如这次事件中，本质问题是Lendf.Me的核心代码中存在重入攻击漏洞，而这个漏洞又需要结合基于ERC777代币的组合才能发生。知道漏洞本质及攻击手法后，在链上是很容易知道攻击者具体盗走多少资产。

第二步，思考如何追回。在4月19日下午，dForce、星火与imToken安全团队在线下集结，并与慢雾安全团队远程连线成立“临时安全团队”，开始进行资产追回。因为信息量巨大且杂乱，集中讨论可以快速的信息对称，加快速度。

安全公司：DeFi借贷协议Cream Finance攻击者再次转移约200万美元:据成都链安链必追平台监测显示，DeFi借贷协议Cream Finance攻击者再次转移200万美元。攻击者先将 2,000,000 DAI （价值约200万美元）通过Curve Finance兑换为83个BTC，再将83个BTC转移至bc1qxn95s5c3q8y7q3w3gzgy0v74q05vvmvmsn8g8s地址，昨日，攻击者转移约300万美元，两天已转移约500万美元，成都链安安全团队将持续对新地址的资金进行分析和追踪。据悉，2021年10月，DeFi抵押借贷协议Cream Finance遭遇闪电贷攻击，损失1.3亿美元。[2022/7/20 2:26:15]

4月20日，基于黑客在攻击前后留下的痕迹，“临时安全团队”成功确定了准确的黑客画像，并开始与国内外各方资源进行交叉对比，获得突破性线索，离黑客越来越近。4月21日下午，在黄金48小时内，黑客在重重压力下，与dForce主动沟通，并开始归还部分资产。继续沟通后，所有资产被成功找回，这是攻击发生后的第三天。这个过程不仅是“临时安全团队”发挥了关键作用，还得到了非常多加密社区朋友直接与间接的帮助。

PeckShield：DeFi协议MerlinLabs遭到攻击，是PancakeBunny的又一同源攻击:5月26日消息，PeckShield“派盾”预警显示，DeFi收益聚合器MerlinLabs遭到攻击，此次攻击手法与5天前遭到闪电贷攻击的PancakeBunny的攻击手段相似，损失200ETH。[2021/5/26 22:46:25]

刘锋：对于这次Lendf.me被攻击事件，大家应该吸取什么教训？

余弦：任何新事物在进化过程中都会有安全风险，这是进化法则，越早期这种风险越大，最终要么死亡，要么就会趋于某种比较稳定的平衡。

基于这种心理准备，我们来看DeFi，有几个比较重要的风险：技术安全风险、业务安全风险、合规安全风险，我们简单展开：

1.技术安全

首先看公链本身是否久经考验，足够安全，以太坊基本满足这点；然后看智能合约的设计是否足够安全，Solidity并不太满足；再看相关的标准实现是否足够安全，这里最大的问题在于很多时候一个“特性”会变成一种“缺陷”；再看基于标准的成熟框架是否安全，如OpenZeppelin就很优秀；最后看项目方开发出来的是否真的严格安全实践，这个就非常不好说了，很明显，开发的质量是参差不齐的。

AOFEX启动抵押OT参与DeFi流动性挖矿活动:据官方消息，AOFEX交易所今日正式启动第一期抵押OT参与DeFi流动性挖矿活动，200万OT抵押额度2秒即告罄。据悉，该活动抵押周期为14天，平台使用等值于200万OT的USDT参与CRV流动性挖矿，所得收益将全部按照用户抵押比例进行分配。

AOFEX将持续为用户筛选优质流动性挖矿项目并实时监控，用户抵押OT即可参与。

AOFEX数字货币金融衍生品交易所，旨在为用户提供优质服务和资产安全保障。[2020/9/16]

2.业务安全

业务决定于DeFi的设计，比如抵押借贷、闪贷、交易等等。业务需要特别考虑的是安全风控，比如暴跌暴涨怎么办？突然出现的大额转币如何处理？如何解决第三方安全风险？

3.合规安全

如果是一个灰色或黑色边界的DeFi，一不小心被一些国家的执法机构打掉或自己跑路了，怎么办？

EOS流动性挖矿项目EMD跑路资金正通过DeFiBox等渠道转卖:据PeckShield态势感知平台数据显示，09月09日上午10:28起，EOS DeFi流动性挖矿项目 EMD 合约 emeraldmine1的大量质押资金被大量转移，截至目前，已经有总计近250万美元资产被转移，包含USDT 78.7万个，EOS 49万个，DFS 5.6万个以及少量BOX。PeckShield安全人员进一步分析发现，EMD跑路资金中的USDT正在通过DeFibox币币交易等渠道进行转卖。PeckShield在此提醒用户，EOS生态内挖矿项目，合约层往往存在Active权限受控制，非多签账户可操纵账号资金等问题，用户在参与DeFi流动性挖矿项目前务必确保项目合约的安全性。[2020/9/9]

另外特别补充一些和用户角度有关的判断：

1.项目方内部有实力不错的安全团队或有丰富安全经验的核心人物把关

OKEx首席研究员：DeFi和CeFi在两个领域可以相互结合:据官方消息，在由OKEx主办的“后疫情时代：DeFi的机遇与挑战”社群活动上，OKEx首席研究员Williams表示，目前DeFi和CeFi在两个领域可以相互结合。1、比如质押贷款和国际保理/信用证业务，传统质押贷款业务总会面临一些风险，如签订质押合同而未实际交付，质权行使上的风险等等；但银行、券商、信托以及小贷公司使用智能合约来实现第三方的自动锁仓，整个过程公开透明，这些风险就能很好地解决；2、国际贸易中的保理业务和信用证业务，在跨境贸易中，我们经常会遇到这样的问题：在国际贸易活动，买卖双方可能互不信任，买方担心预付款后，卖方不按合同要求发货；卖方也担心在发货或提交货运单据后买方不付款，那么这种解决这种信用问题的传统方式是银行，这就涉及银行的信用证业务：由银行信用替代买卖双方的商业信用，促进交易的完成。如果我们有一个区块链贸易结算平台，开发了一个贸易结算合约，出口商直接将预付款放在智能合约中，等出口商的货物到达目的地，系统验证各种单证合格后再触发智能合约放款给出口商，不仅流程简单，服务费用也会大幅减低。[2020/4/30]

2.项目方近半年内被第三方专业安全机构安全审计并公开安全审计结果

3.项目方有长期持续紧密合作的第三方专业安全机构

4.项目方核心成员对待安全的态度坦然开放，勇于认错并把安全放在第一位

5.项目方对安全工作充满敬畏与尊重

基于上面这5点可以延伸出一些事实，比如：口碑、真实用户数、数据透明度、安全透明度等等。

刘锋：大家愿意去用DeFi产品，有很大原因是担忧中心化金融服务平台的安全性问题，希望通过DeFi讨个平安。但是今年一连串DeFi平台和产品被攻击，这让人对DeFi反而不信任了，我觉得有点遗憾，你怎么看？

余弦：我的看法不一样，大家来看看历史。

具体细节这里看：https://hacked.slowmist.io/

大家会看到中心化、去中心化都有非常惨重的历史案例，但其实不必因此而打击信心，DeFi一定有自己的定位，但DeFi也别想着一统天下，同样的话也适合CeFi，未来应该会看到更多DeFi+CeFi的混合体出现。而且，DeFi其实并不一定需要完全去中心，这是我的个人看法。

我是黑客，这些在我眼里都没有绝对的安全，都有许多薄弱点，但是黑客不都是坏的，我们更希望是往安全的方向去进化，但我们在对抗时，必须有足够的攻击思维。

刘锋：观众提问，对DeFi合约审计的作用有多大？能保证足够安全么？是否经过了审计的defi项目就值得信任呢？

余弦：DeFi安全审计是安全策略的第二层，第一层是DeFi开发安全，这是项目方的事。DeFi安全审计在第二层可以规避不少问题，将安全防御水平提高一个档次。但之后还有第三层，也就是更新迭代持续运营的安全，这个一不小心就麻烦了。只能说，经过安全审计的项目，可以让人更放心，但也一定都有黑天鹅——来自未来的攻击。所以，如果安全审计已经超过半年，那就得注意了。

刘锋：观众提问，大多数知名DeFi协议都是以某种形式被中心化控制的，虽然这种方式在安全性上有些好处，怎样才能避免管理员滥用自己的特权，或者说减少相关风险？

余弦：这个是人性的问题，有的可以技术解决，有的解决不了。技术上通过类似DAO的方式来控制，但这又会产生新的问题，DAO的效率太低就麻烦了。但至少有一点项目方需要做的是透明，资产透明，权限透明，决策透明等等，让社区看得见。

刘锋：观众提问，有没有一种方案，在用户和合约之间建中间件，这个中间件来做安全处理？

余弦：这个不知道，需要试验，但我最近有一个想法，大家可以看看：https://firewallx.io/

这个防火墙是构建在EOS主网上的，核心是智能合约实现。以太坊上，ERC777这种偏复杂的也许也可以这样做，但还是需要试验。

刘锋：观众提问，代码的安全问题几乎不可避免，DeFi是不是需要辅以更成熟的风控机制，来避免大的损失？因为DeFi的魅力是去中心化，是智能合约，但是受攻击后的修复和自己追讨，看起来完全是人和人之间的博弈了。

余弦：追回是个很难的事，但比较有意思的是，今年开始可能会提高成功率，原因是各国司法、执法流程上开始支持加密货币了。

非常感谢参与今晚MathShow#001活动的“show”友们，也感谢慢雾的创始人余弦为我们带来的关于DeFi的安全知识饕餮盛宴，为区块链生态安全贡献自己的力量。祝慢雾越来越好。

标签：EFIDEFDEFIANCEVAL DEFIRamp DeFiAlchemist DeFi AurumNeural Radiance Fied

屎币热门资讯