DeFi應用如何抵擋黑客攻擊？-ODAILY_DEFI

▼▼▼

劉鋒：近幾天余弦參與處理Lendf.me被盜資金的追討，可以和我們講講這幾十個小時的經歷嗎？

余弦：第一步，快速定位威脅情況和攻擊細節，這樣可以快速給出最正確的漏洞原因，比如這次事件中，本質問題是Lendf.Me的核心代碼中存在重入攻擊漏洞，而這個漏洞又需要結合基于ERC777代幣的組合才能發生。知道漏洞本質及攻擊手法后，在鏈上是很容易知道攻擊者具體盜走多少資產。

第二步，思考如何追回。在4月19日下午，dForce、星火與imToken安全團隊在線下集結，并與慢霧安全團隊遠程連線成立“臨時安全團隊”，開始進行資產追回。因為信息量巨大且雜亂，集中討論可以快速的信息對稱，加快速度。

Avalanche鏈上DeFi協議總鎖倉量為74.2億美元:金色財經報道，據DefiLlama數據顯示，目前Avalanche鏈上DeFi協議總鎖倉量為74.4億美元，24小時下降0.44%。鎖倉資產排名前五分別為AAVEV3（39.2億美元）、Wonderland（8.9億美元）、AAVE（3.8億美元）、TraderJoe(3.5億美元）、Benqi（3.2億美元）。[2022/6/6 4:04:10]

4月20日，基于黑客在攻擊前后留下的痕跡，“臨時安全團隊”成功確定了準確的黑客畫像，并開始與國內外各方資源進行交叉對比，獲得突破性線索，離黑客越來越近。4月21日下午，在黃金48小時內，黑客在重重壓力下，與dForce主動溝通，并開始歸還部分資產。繼續溝通后，所有資產被成功找回，這是攻擊發生后的第三天。這個過程不僅是“臨時安全團隊”發揮了關鍵作用，還得到了非常多加密社區朋友直接與間接的幫助。

DeFi借貸平臺Aave推出許可平臺Aave Arc:金色財經報道，DeFi借貸平臺Aave已于今天推出其許可版本Aave Arc。機構加密托管公司Fireblocks已成為Aave Arc的第一個白名單者，將對希望通過該平臺借出或借入加密資產的機構進行盡職調查。Aave Arc最初將支持四種資產，包括ETH、WBTC、USDC和AAVE。Fireblocks聯合創始人兼首席執行官Michael Shaulov表示，Aave Arc的推出將使世界上最大的機構能夠開始參與DeFi。Shaulov表示，Fireblocks將根據FATF指南采用全球公認的KYC和盡職調查程序，以將機構納入DeFi。在發布時，Fireblocks已將30家機構列入白名單以參與Aave Arc。其中包括SEBA銀行、Bluefire Capital、Celsius、CoinShares、GSR、Ribbit Capital、QCP Capital和Wintermute。[2022/1/6 8:28:00]

劉鋒：對于這次Lendf.me被攻擊事件，大家應該吸取什么教訓？

DeFi挑戰指數今日為1.24‰，挑戰評級2級:金色財經報道，據同伴客數據顯示，06月22日DeFi挑戰指數為1.24‰，較上一周下降0.39‰，挑戰評級為2級。注：挑戰指數是DeFi市場的鎖倉量與華爾街前五大資管機構AUM的比值，用以反映DeFi生態與傳統市場的相對體量。[2021/6/22 23:57:08]

余弦：任何新事物在進化過程中都會有安全風險，這是進化法則，越早期這種風險越大，最終要么死亡，要么就會趨于某種比較穩定的平衡。

基于這種心理準備，我們來看DeFi，有幾個比較重要的風險：技術安全風險、業務安全風險、合規安全風險，我們簡單展開：

1.技術安全

首先看公鏈本身是否久經考驗，足夠安全，以太坊基本滿足這點；然后看智能合約的設計是否足夠安全，Solidity并不太滿足；再看相關的標準實現是否足夠安全，這里最大的問題在于很多時候一個“特性”會變成一種“缺陷”；再看基于標準的成熟框架是否安全，如OpenZeppelin就很優秀；最后看項目方開發出來的是否真的嚴格安全實踐，這個就非常不好說了，很明顯，開發的質量是參差不齊的。

Moma創始人Ocean：DeFi能火起來是因為它對流動性的促進是巨大而顯著:5月22日，在《佟掌柜的朋友們·礦工與農民論壇》，來自Moma的Ocean認為挖礦是永遠不應該停止的生意。DeFi能火起來是因為它對流動性的促進是巨大而顯著的。任何對流動性有價值的產品或者方案，未來一定有非常大的發展潛力。Moma聚焦于長尾借貸動市場，可以對借貸市場進行管理、加速、聚合，使用無許可的生產模式，形成了一個可以對借貸流動性與市場多樣性進行無限擴展的生態系統。[2021/5/25 22:42:55]

2.業務安全

業務決定于DeFi的設計，比如抵押借貸、閃貸、交易等等。業務需要特別考慮的是安全風控，比如暴跌暴漲怎么辦？突然出現的大額轉幣如何處理？如何解決第三方安全風險？

3.合規安全

CertiK：Balancer遭黑客攻擊損失約90萬人民幣，其他DeFi合約需警惕:6月29日北京時間凌晨2點03分，CertiK天網系統檢查到在區塊10355807處Balancer DeFi合約異常。此次攻擊約獲利90萬人民幣。

安全研究員迅速介入調查，攻擊重現如下：

階段0：攻擊者從dYdX閃電貸處借款，獲得初始WETH資金。

階段1：攻擊者使用WETH將Balancer中的STA盡可能買空，最大程度提高STA價格。

階段2：攻擊者用獲得的STA多次買回WETH。每一次都用最小量的STA（數值為1e-18）進行購買，并利用Balancer內部漏洞函數gulp()，鎖定STA的數目，控制STA對WETH的價格。重復多次該種買回操作，直到將Balancer中的WETH取空。

階段3：換一種代幣，用STA重復階段2直到取空該種代幣。階段三重復了三次，一共有4種代幣受到了損失WETH，WBTC, LINK和SNX。

階段4：償還dYdX閃電貸，離場。

CertiK判斷攻擊者是有經驗的黑客團隊在充分準備后的一次攻擊嘗試，有很大可能還會繼續攻擊其他DeFi合約。[2020/6/30]

如果是一個灰色或黑色邊界的DeFi，一不小心被一些國家的執法機構打掉或自己跑路了，怎么辦？

另外特別補充一些和用戶角度有關的判斷：

1.項目方內部有實力不錯的安全團隊或有豐富安全經驗的核心人物把關

2.項目方近半年內被第三方專業安全機構安全審計并公開安全審計結果

3.項目方有長期持續緊密合作的第三方專業安全機構

4.項目方核心成員對待安全的態度坦然開放，勇于認錯并把安全放在第一位

5.項目方對安全工作充滿敬畏與尊重

基于上面這5點可以延伸出一些事實，比如：口碑、真實用戶數、數據透明度、安全透明度等等。

劉鋒：大家愿意去用DeFi產品，有很大原因是擔憂中心化金融服務平臺的安全性問題，希望通過DeFi討個平安。但是今年一連串DeFi平臺和產品被攻擊，這讓人對DeFi反而不信任了，我覺得有點遺憾，你怎么看？

余弦：我的看法不一樣，大家來看看歷史。

具體細節這里看：https://hacked.slowmist.io/

大家會看到中心化、去中心化都有非常慘重的歷史案例，但其實不必因此而打擊信心，DeFi一定有自己的定位，但DeFi也別想著一統天下，同樣的話也適合CeFi，未來應該會看到更多DeFi+CeFi的混合體出現。而且，DeFi其實并不一定需要完全去中心，這是我的個人看法。

我是黑客，這些在我眼里都沒有絕對的安全，都有許多薄弱點，但是黑客不都是壞的，我們更希望是往安全的方向去進化，但我們在對抗時，必須有足夠的攻擊思維。

劉鋒：觀眾提問，對DeFi合約審計的作用有多大？能保證足夠安全么？是否經過了審計的defi項目就值得信任呢？

余弦：DeFi安全審計是安全策略的第二層，第一層是DeFi開發安全，這是項目方的事。DeFi安全審計在第二層可以規避不少問題，將安全防御水平提高一個檔次。但之后還有第三層，也就是更新迭代持續運營的安全，這個一不小心就麻煩了。只能說，經過安全審計的項目，可以讓人更放心，但也一定都有黑天鵝——來自未來的攻擊。所以，如果安全審計已經超過半年，那就得注意了。

劉鋒：觀眾提問，大多數知名DeFi協議都是以某種形式被中心化控制的，雖然這種方式在安全性上有些好處，怎樣才能避免管理員濫用自己的特權，或者說減少相關風險？

余弦：這個是人性的問題，有的可以技術解決，有的解決不了。技術上通過類似DAO的方式來控制，但這又會產生新的問題，DAO的效率太低就麻煩了。但至少有一點項目方需要做的是透明，資產透明，權限透明，決策透明等等，讓社區看得見。

劉鋒：觀眾提問，有沒有一種方案，在用戶和合約之間建中間件，這個中間件來做安全處理？

余弦：這個不知道，需要試驗，但我最近有一個想法，大家可以看看：https://firewallx.io/

這個防火墻是構建在EOS主網上的，核心是智能合約實現。以太坊上，ERC777這種偏復雜的也許也可以這樣做，但還是需要試驗。

劉鋒：觀眾提問，代碼的安全問題幾乎不可避免，DeFi是不是需要輔以更成熟的風控機制，來避免大的損失？因為DeFi的魅力是去中心化，是智能合約，但是受攻擊后的修復和自己追討，看起來完全是人和人之間的博弈了。

余弦：追回是個很難的事，但比較有意思的是，今年開始可能會提高成功率，原因是各國司法、執法流程上開始支持加密貨幣了。

非常感謝參與今晚MathShow#001活動的“show”友們，也感謝慢霧的創始人余弦為我們帶來的關于DeFi的安全知識饕餮盛宴，為區塊鏈生態安全貢獻自己的力量。祝慢霧越來越好。

Tags：EFIDEFDEFIAVEDEFILANCERAlchemist DeFi AurumMy Defi Legendsarweave幣價格預測

非小號