巴比特獨家 | DeFi平臺遭洗劫，雪崩時沒有一片雪花是無辜的_EFI

近兩日，DeFi項目Uniswap和Lendf.Me接連遭受重入攻擊。尤其是Lendf.Me被洗劫一空，累計損失約2500萬美元。關于攻擊詳情，自有安全團隊解答。筆者想和諸位探討的是，攻擊發生之后，加密社區的輿論風向與應對態度。孰對孰錯，請各位看官自行評判。

“盜亦有道”？黑客歸還部分代幣

今日，dForce官方發布公告稱：1.與頂尖安全團隊合作，對Lendf.Me進行更為全面的安全評估；2.與合作伙伴積極探討可行的解決方案；3.與主流交易平臺、OTC交易商、機構積極配合展開相關調查，竭盡全力追索被盜款項，追蹤黑客動態。

不知道出于什么原因，黑客似乎主動聯系了dForce，表達溝通意愿，并開始歸還一些幣。更進一步的情況dForce創始人楊民道將于北京時間2020年4月20日23:59分前，向社區作出說明解釋。

重蹈覆轍：用戶不滿lendf.me未及時自查

觀點：眾議院加密法案可能對DeFi造成嚴重破壞:7月23日消息，Delphi Labs總法律顧問Gabriel Shapiro發文稱，眾議院提出的加密法案有很大的模糊性，重新賦予了SEC執法權力，并可能對DeFi造成嚴重破壞。他解釋稱，該法案擴展了當前SEC的監管范圍，適用于DeFi等非合約協議，每個Token、LST等都將受到本條款的嚴格監管。在我看來，這是一個DeFi后門禁令。

此前消息，美國眾議院于周四提出一項加密監管法案，修訂后的法案從數字資產的定義中排除了一系列傳統證券，包括股票、債券、可轉讓股權、權益證明等。[2023/7/23 15:52:37]

讓用戶不能理解的是，前車之鑒猶在耳畔，lendf.me為什么沒有及時自查。從時間線上來看，第一次針對Uniswap的攻擊發生在4月18日8點58分，3個小時后，Tokenlon觀察到異常并建立緊急處理小組。4月19日9點28，Lendf.me又反饋稱遭遇與Uniswap類似的攻擊。安全公司慢霧從攻擊手法上判斷，很可能是同一撥人所為。

肯尼亞計劃在下個預算年度對數字資產轉移征收3%的稅:金色財經報道，肯尼亞財政部已經提議在未來的預算年度對數字資產的轉移征收3%的稅，該報告引用了提交給立法者的提案。據悉，國家的預算將于6月8日提交。（Coindesk）[2023/5/5 14:43:38]

“我想不通，這些Defi項目方，好像也跟我一樣毫無警惕……看到別人被黑客攻擊，不自查一下風險的么。”一位筆名為“白特冪”的受害者發文質問道。“得瑟小繆”也指出過錯在lendf.me自身。他提出3點不滿：“1．直接folkcompoundv1的代碼過來又不審計？負責安全的人是不是應該引咎辭職？2．把erc777的imBTC接入erc20的協議中，誰負責的商務？誰負責的技術對接？這么明顯的錯誤，為啥不處理？3．不反省自己的責任說自己是受害者？先談如何補償用戶OK？這是拿行業在開玩笑么？”

抱團取暖：加密社區紛紛表示鼓勵

事件發生后，加密社區一片祥和溫暖，紛紛對DeFi的遭遇表達同情和鼓勵。

Gridex將于3月24日啟動第三輪GDX空投:據官方推特，Gridex宣布將于3月24日0:00（UTC）啟動第三輪GDX空投，空投對象為Arbitrum上ARB/ETH交易對(0.05% grid)的所有掛單用戶，具體細則將盡快公布。

據悉，Gridex protocol是以太坊上首個完全鏈上化的訂單簿交易協議，目前已部署于Arbitrum區塊鏈網絡上。[2023/3/21 13:16:30]

數字文藝復興基金會董事總經理曹寅：“我們不應為Lendf或者Maker的事故而對DeFi失去信心，阿波羅13號的失敗之后，NASA并沒有取消阿波羅計劃，美國人也沒有因此停下對太空探索的步伐，深刻反思之后，NASA又發射進行了多次成功的阿波羅任務，之后還建造發射了更偉大的國際空間站。”

原力協議COO許超：“看到這個消息非常心痛。希望dForce團隊可以度過難關。這是中國最優秀的DeFi團隊之一。DeFi還在早期階段，代碼安全和金融產品風控安全非常重要，DeFi的可組合性又使得系統安全風險成倍的增長。”

Polkadex正式開放訂單簿交易:金色財經報道，波卡生態去中心化交易平臺 Polkadex 宣布正式開放訂單簿交易，Polkadex 首席執行官兼聯合創始人 Gautham J 表示：這是訂單簿第一次直接連接到兩個領先的生態系統，即以太坊和 Polkadot。Polkadex 將繼續發展成為連接所有領先生態系統的跨鏈 DEX，并獲取 BTC、XRP、MATIC等原生加密貨幣流動性。（beincrypto）[2022/11/1 12:05:25]

星火礦池市場負責人邱曉棟：“歷史的趨勢不可阻擋，我們都在探索未來的可能性，并在這一進程中發光發熱，每一次重擊都會讓我們更堅強。”

以太坊黃皮書翻譯者楊鎮：“這是偉大事業發展歷程中幾乎難以避免的事故。”

加密社區是個挺割裂的存在，有投機套利的賭徒、追逐風口的逐利者，也有技術高超的極客、理想主義的探路者。DeFi社區無疑屬于后者，因此他們常呈現出一種惺惺相惜、抱團取暖的姿態。有開發者感慨道“這兩天在風暴中心見證探索者們被暴雨淋漓。”

卡塔爾央行向iPay和Ooredoo Money頒發該國首批數字支付許可證:8月30日消息，卡塔爾中央銀行宣布向 iPay 和 Ooredoo Money 頒發該國首批數字支付許可證。2022 年國際足聯世界杯將于今年年底在卡塔爾舉行，該國央行表示，希望在世界杯期間讓游客能夠處理和完成他們的數字支付。

此外，卡塔爾中央銀行上周還宣布，當地銀行在完成必要的測試后將正式推出谷歌的移動支付服務 Google Pay。（路透社）[2022/8/30 12:58:23]

進退兩難：雪崩時沒有一片雪花是無辜的

現在DeFi社區呈現出一個氛圍，不喜歡批評的聲音，有人批評就會被認為是黑，但所有項目的成功都理應面對質疑和批評。另一方面，行業的抱團取暖也帶來兩面性。筆者曾經在采訪一個DeFi項目時，碰巧從它的平臺上截取到了另一DEX穿倉的數據。兩個項目負責人將筆者拉到同一個群里，希望不要對此進行報道，因為這個漏洞已悄悄修補好，并未造成任何損失。但安全事件頻發之時，溫柔鼓勵為正確，包庇開脫成慣常動作，指責批評反而要謹小慎微的時候，社區就需要多一些反思了。

無論我們把DeFi的意義描繪的多么深遠，比擬阿波羅登月也好，作為取代馬車的汽車也罷。它對于用戶來說，本質始終是金融。效率的提升是其次，至少要保證別讓用戶丟錢。金融服務的首要前提是風控和安全，即使DeFi也是一樣。而在代碼世界里，任何一個小疏忽造成的損失都是致命的。

當前，DeFi對大多數人而言門檻仍然很高，因此DeFi用戶實際上是一批具有較高技術和金融素養的理想主義者。一位受害者表示：“我躲過了爆倉，躲過了Fcoin，躲過了各種資金盤，卻沒躲過Defi這個黑客提款機。”如果這樣一群人都在遭受損失，DeFi的安全性從何談起呢？“如果不能保證開源系統的資金安全，你甚至沒有能力證明自己不是一劑藥。DeFi在證明自己真的是一場變革之前，至少需要擺脫暴雷陰影。”RenrenBitCMO梓岑表示。

IOSGVenture創始人JocyLin也表示：“這個行業令人驚喜的地方在于多元化的組成和包容屬性，在DeFi圈子里的對峙博弈也是一樣。DAO事件之后的黑客攻擊事件仍然頻發，卻一直沒有引起行業重視。這些攻擊雖然讓行業各種協議如臨大敵甚至面臨生死，但仍然是很有意義的。它讓人們認識到協議的安全審計、用戶的投資認知，以及社區的多元化共存至關重要。雪崩時，沒有一片雪花是無辜的，是時候重新反思DeFi里價值最大的部分在哪里了。大部分過得好的公司道阻且長，MKR很糟糕，Compound也是。從小眾到大眾市場的躍升，需要在資本市場助力之后，思考如何降低用戶的使用門檻、提升體驗，以及更高的安全性。”

靈魂拷問：DeFi項目有辦法自證嗎？

這起攻擊事件發生后，DeFi恐怕會遭遇重創。從年初到現在，DeFi發生的幾起安全事件，都是黑客在利用DeFi系統性風控漏洞實施的攻擊。此次也是同理，ERC777本身沒有問題，但是和其他合約組合起來后產生了非預期的結果。這仿佛成為了一個證實相當困難，但證偽卻異常容易的命題。哪個開發者敢拍著胸脯保證，自己的協議沒有漏洞，和別人的協議組合之后依然安全呢？

除了安全性，DeFi可能還面對一個“道德”難題，幣信研究院院長熊越表示：想象我們在大航海時代里造一艘船去尋找新大陸，這是一件勇氣可嘉、意義非凡的事情，但也有可能遇到風浪葬身海底。但在這種情況下，冒險的發起人是和大家風險共擔的，并且全船的人都清楚自己面對著什么。這就是冒險家的精神。

但DeFi項目的創始人并不一定要去風險共擔，他可以融一筆資開啟項目，不把自己的錢放在DeFi項目里。賺了當然自己名利雙收，如果被黑客攻擊，巨額損失的是投資人和用戶。更重要的是，我并沒看到哪個DeFi項目在提醒用戶：‘把錢存過來賺百分之幾的利息，你可能會損失全部的本金。’相反，它們都說自己有各種安全機制，通過了各種審計，很多用戶因此稀里糊涂地虧掉數十萬美金級別的錢。

在區塊鏈行業，無論是CeFi還是DeFi，都有各自的風險。中心化借貸面臨的是強監管風險，去中心化借貸面臨的是系統安全穩定運行的風險。這兩個風險都在加大。如果監管缺位，這種攻擊防不勝防，是無解之題。

通證通研究院創始人宋雙杰表示：“任何一個行業，當正規軍進來的時候，非正規軍都將面臨清理，所以中心化借貸之困在于如何獲得牌照。去中心化借貸在于行業無監管，一片蠻荒，權責利不清。一些造成違法的行為甚至都稱不上違法，因為沒有相關的法律，導致大量借貸合約被攻擊，這幾天爆出的uniswap和dforce事件就是明證。如果監管缺位，這種事情是防不勝防的，除非使用極簡化的合約，采用極簡單的功能，像比特幣那樣，把附加的其他的功能都抽離，才可能保證極大的安全。要不是，功能越復雜，被攻擊的可能性越高。但如果不革新，不增加功能，那去中心化借貸又沒有存在的必要，這是無解之題。”

Tags：EFIDEFIDEFDEXIDEFIDEFITSDEFI去中心化交易所DEX

狗狗幣