?欧科云链OKLink行业观察：遭黑客两连击 DeFi生态鸣起丧钟还是进入休整

对于DeFi （Decentralized Finance）投资者来讲，这一周都不会太平静。北京时间4 月 19 日上午 8 点 45 分，国产 DeFi 借贷协议 Lendf.Me 被曝遭受黑客攻击。这是继 4 月 18 日 Uniswap 被黑客攻击损失 1278 枚 ETH（价值约 22 万美元）之后，DeFi生态出现的又一重大安全事件 。

最新动向

两起安全事件接连爆发后，项目方、区块链安全公司纷纷跟进。4月18日，也就是周六，Uniswap 的imBTC被盗走；周日，Lendf.Me上价值2500万美金的资产被黑客洗劫一空；周一，dForce创始人杨民道如期于Medium发文通报“Lendf.Me被黑”一事的处理进展，表示“在过去的24小时里，一直在不停地工作，并将在以后的文章中详细介绍Lendf.Me采取的所有行动。”周二，黑客返还全部资产，dForce创始人杨民道公布后续行动计划。

币安回应美国参议员批评：币安及其美国分支机构是独立的实体:3月19日消息，币安在回应美国参议员的批评时没有提及财务问题。3月1日，参议院银行委员会的三名参议员写信给币安和Binance US，称币安及其相关实体故意逃避监管机构，将资产转移给犯罪分子，并向客户和公众隐藏基本财务信息。三名参议员还要求提供有关币安与Binance US之间关系的信息。他们要求币安在3月16日之前做出回应。币安在3月16日的回复中并没有提供太多信息，而是强调了币安及其美国分支机构是独立的实体。回复中还指出，币安拥有一支约750人的核心和辅助合规人员团队，其中包括多名前监管和执法官员。（彭博社）[2023/3/19 13:12:56]

Lendf.Me 被攻击累计的损失约 24,696,616 美元，具体盗取的币种包括USDT、WETH、WBTC等12个币种。据欧科云链OKLink区块链浏览器显示，北京时间4月21日开始，Lendf.Me攻击者地址0xa9bf70a420d364e923c74448d9d817d3f2a77822下的资产在不断往外转出。当日14点，Lendf.Me攻击者地址下的ETH余额减少至$279.27。一小时后，该地址下ETH余额已经为0。随着各方的介入，最新消息显示黑客已退回全部被盗资产。

Coinbase CEO：美国应明确加密立法，香港和欧洲处于领先地位:金色财经报道，Coinbase首席执行官Brian Armstrong在推特援引“香港将于今年 6 月正式对所有公民开放加密交易”的消息称，美国可能会失去其长期作为金融中心的地位，因为对加密货币没有明确的规定，监管环境也很恶劣。Brian 呼吁美国国会应尽快采取行动，明确立法。他指出，欧盟、英国和香港目前在对加密的开放性处于领先地位。

加密KOL “Crypto 熊猫”在推文中表示：“2023年6月1日，香港将正式使加密货币买卖、交易对所有公民完全合法，期待大量大资金从东方涌入。香港也将推出基于亚洲货币的稳定币。”[2023/2/16 12:10:20]

 图片来源：oklink.com，4月21日13:30 

育碧与Aleph.im达成合作拟在Tezos推出游戏NFT智能合约:金色财经报道，游戏巨头育碧 Ubisoft 与去中心化存储及计算网络 Aleph.im 达成合作，拟在 Tezos 区块链上推出完全去中心化的 AAA 级游戏 NFT 智能合约。在合作第一阶段，Aleph.im 将与育碧战略创新实验室共同开发动态游戏 NFT，同时，育碧旗下“Digits”NFT 分发平台 Ubisoft Quartz 也将推出去中心化存储解决方案。[2023/2/3 11:46:25]

图片来源：oklink.com，4月21日14:00

重入攻击

Celsius的前三名高管在破产前提取了5600万美元的加密货币:金色财经报道，新的法庭记录显示，加密货币贷款机构Celsius的前三名高管在2022年5月至6月期间提取了5612万美元的加密货币。前首席执行官Alex Mashinsky、前CSO Daniel Leon和CTO Nuke Goldstein主要以比特币、以太坊、USDC和CEL代币的形式从托管账户提取资金。Mashinsky在2022年5月提取了约1000万美元的加密货币。Leon在5月27日至5月31日期间提取了约700万美元（以及另外价值400万美元的CEL表示为 \"抵押品\"）。Goldstein提取了大约1300万美元（以及另外价值780万美元的CEL也被表示为 \"抵押品\"）。

Celsius在一个月前以 \"极端的市场条件 \"为由停止了所有用户的提款后，于7月申请了破产保护。（coindesk）[2022/10/6 18:40:58]

目前已知的情况是，攻击者利用了 imBTC 采用的 ERC-777 标准的一个漏洞，执行重入攻击（Reentrancy attack ），导致市值约 2500 万美金的资产从 Lendf.Me合约里被取出。

前Voyager高管正在争取另一项重组计划:7月30日消息，Voyager前首席创新官Shingo Lavine和他的父亲、商业伙伴Adam Lavine试图推迟该公司的重组计划，并呼吁以破产程序来探索他的替代方案。

父子俩在周四提交的一份文件中反对Voyager的动议，该动议寻求批准与同意其重组计划相关的物流。他们提出了一项计划，要求该公司停止所有贷款活动，整合实时交易，并发行回收代币（recovery token），以留住平台上的用户。

Shingo和Adam都是Voyager的股东。他们一起构建了Ethos，托管了允许开发人员构建各种应用程序的区块链架构以及一个钱包应用程序。Voyager于2018年收购了Ethos, Shingo在该公司董事会占有一席之地并担任首席创新官，但由于对公司发展方向的分歧，双方于2021年分道扬镳。现在，这对父子希望他们的公司Emerald成为Voyager重组的关键合作伙伴，并让自己成为新管理团队的领导者。

Voyager已经提交了一份重组计划，并正在寻求被收购。迄今为止，Voyager还没有将Emerald视为“可接受的竞标者”。Emerald和Lavine父子正试图阻止Voyager的计划向前推进，直到他们的提议等其他重组计划得到考虑。

为了正式提交提案，他们需要获得更多信息，但Voyager迄今拒绝提供这些信息，因为他们尚未被视为可接受的竞标者。周四的文件强调了Emerald曾多次试图参与这一过程，但据称Voyager一直没有理会。（The Block）[2022/7/30 2:47:36]

而18日下午，攻击Uniswap的手法与此次Lendf.Me类似，两次事件的攻击者极有可能是同一伙人。黑客利用Uniswap和ERC777的兼容性问题，在进行ETH与imBTC交易时利用ERC777中的多次迭代调用tokensToSend来实现重入攻击。

解释重入攻击之前，我们来复习一个关于以太坊的知识点。以太坊上的每一个代币都是一个合约，而这些合约都是根据某个标准来写。大多数用户更熟知的是ERC20标准，欧科云链OKLink区块链浏览器显示，截至4月21日，以太坊上ERC20代币数高达214075，且数量呈现上升趋势。 

 图片来源：oklink.com

然而，即使是ERC20同一标准下，代币在合约之间的转账仍然不是很方便。ERC777便应运而生，兼容ERC20的基础上又添加了新的内容。

此次事件中的Uniswap是根据ERC20标准设计的。Uniswap v1有一个工厂合约和一个交易合约，通过工厂合约，每个代币都可以和以太坊生成一个交易合约。也就是说，任何满足ERC20标准的合约都能够通过工厂合约直接注册到Uniswap上而不需要许可。ERC777兼容ERC20，ERC777标准下的合约同样也可以注册到Uniswap。

通常来讲，智能合约在正常执行期间可以通过执行函数调用，或者简单地转移以太坊来执行对其他智能合约的调用。这些智能合约本身可以称为其他智能合约，它们可以回调到调用他们的智能合约或回调栈中的任何其他智能合约。在这种情况下，我们说智能合约被重新输入，这种情况被称为可重入性。

重入本身不是问题，但智能合约以“不一致”的状态重新输入时，就会出现问题。Uniswap 上使用 ERC777 的安全性问题早在19年6月就被发现并公开过。ERC777 的 Uniswap 交易对会因为 在ERC777 标准里存在，而不存在于 ERC20 里被攻击，这时候，重新输入就变成了重入攻击。

防御对策

这已经不是第一次DeFi 系统性风控漏洞被黑客利用了。从之前闹得沸沸扬扬的闪电货bZx漏洞事件到此次的二连击事件，2020年还未过半，DeFi就经历了三次大规模资产风险事件。

2月，bZx遭受攻击，其协议漏洞被利用，攻击者套利99万美元；3月12日的极端行情下，MakerDao等协议突发强制清算，机器人程序未及时调高gas费，有用户趁机以0出价获得系统拍卖的抵押资产，给MakerDao造成了567万美元的损失；此次的黑客二连击事件中，被盗资产更是高达2500万美元。DeFi 基础设施的脆弱性暴漏无疑。

DeFi 的创建者本意是利用代码和智能合约创建一个无需审查权限、人人可参与的开放金融生态。其大规模发展的基础设施是各种去中心化协议。虽然有更美好的愿景，但DeFi 在抗风险能力上甚至不及中心化系统。

接连的安全事件让人们醒悟，没有0漏洞的协议，安全才是重中之重。对于项目方而言，在开发合约时就应把合约安全问题列为重点。可以将合约代码开源，让更多专业人士和技术团队参与进来，分析整理出易发生的意外事件，提升合约编写的安全性和功能准确性，防患于未然。其次，项目方可以与安全机构加强合作，审查代码。个人用户也需要在决策时格外谨慎，选择投资项目之前，利用好区块链浏览器等工具更全面地了解项目的链上信息才是关键。

这是一个快速迭代的领域，经此几劫，DeFi生态是丧钟长鸣还是进入休整，相信不久就能看到结果。这也是一个长期发展的行业，代码即法律的愿景还没有实现，更多的法规及监管介入才能帮助DeFi 生态健康发展。DeFi可能会在未来爆发，但这个可能或许还需要数十年的沉默期来铺垫。

标签：EFIVOYDEFIYAGdefi币联合坐庄是局吗VOYRBrainaut DefiMIYAGI

币安交易所app下载热门资讯