DEFI:DeFi应用如何抵挡黑客攻击？-ODAILY_EFI

▼▼▼

刘锋：近几天余弦参与处理Lendf.me被盗资金的追讨，可以和我们讲讲这几十个小时的经历吗？

余弦：第一步，快速定位威胁情况和攻击细节，这样可以快速给出最正确的漏洞原因，比如这次事件中，本质问题是Lendf.Me的核心代码中存在重入攻击漏洞，而这个漏洞又需要结合基于ERC777代币的组合才能发生。知道漏洞本质及攻击手法后，在链上是很容易知道攻击者具体盗走多少资产。

第二步，思考如何追回。在4月19日下午，dForce、星火与imToken安全团队在线下集结，并与慢雾安全团队远程连线成立“临时安全团队”，开始进行资产追回。因为信息量巨大且杂乱，集中讨论可以快速的信息对称，加快速度。

Blockstream创始人：Hal Finney编写的代码或在Bitcoin Core更新中激活:金色财经报道，早期比特币开发者Hal Finney曾于2011年2月8日在Bitcointalk表示，他想到了如何将签名验证速度提高25%的方法。在同一天的另一篇帖子中，Finney宣布他已经编写了“测试代码”，并将其上传到了Github库中。然而，他的方法已经被别人申请了专利。随着9月25日专利过期，Blockstream创始人Adam Back表示该代码有望在下一次Bitcoin Core更新中激活。[2020/9/29]

4月20日，基于黑客在攻击前后留下的痕迹，“临时安全团队”成功确定了准确的黑客画像，并开始与国内外各方资源进行交叉对比，获得突破性线索，离黑客越来越近。4月21日下午，在黄金48小时内，黑客在重重压力下，与dForce主动沟通，并开始归还部分资产。继续沟通后，所有资产被成功找回，这是攻击发生后的第三天。这个过程不仅是“临时安全团队”发挥了关键作用，还得到了非常多加密社区朋友直接与间接的帮助。

Bybit与AICoin达成战略合作:据官方消息，Bybit 与 AICoin 达成战略合作，双方就 “与高效交易者为伍，为衍生品交易赋能”这一主题形成共识，并全面进行深度融合。融合后的AICoin 与 Bybit 将打造数字货币领域的全新交易生态。

Bybit 通过“交易所+社区”的模式打造全新的衍生品交易生态，对用户进行更深层的投资者教育，以达到提升用户风险认知的目的。此外，Bybit 将联合 AICoin 上线UT Club (暨交易联盟俱乐部) 等一系列活动，来加深交易者对数字货币衍生品的认知。

AICoin是专业的数据服务商，自2013年起，深耕于区块链大数据领域，为过百万用户提供实时行情、指标分析、专业K线、交易工具等专业服务。[2020/6/4]

刘锋：对于这次Lendf.me被攻击事件，大家应该吸取什么教训？

动态 | Bitfinex闪电节点增长速度快于其他任何节点:金色财经报道，Arcane Crypto的研究部门Arcane Research最近发布报告称，在上周宣布支持闪电网络存款和取款后，Bitfinex闪电节点的增长速度快于其他任何节点。Bitfinex在节点容量方面也位居榜首，节点容量增加到约16 BTC（占网络总容量的2％），而通道数在上周增加到160个活动地址，几乎自上周以来增长了100％。[2019/12/13]

余弦：任何新事物在进化过程中都会有安全风险，这是进化法则，越早期这种风险越大，最终要么死亡，要么就会趋于某种比较稳定的平衡。

基于这种心理准备，我们来看DeFi，有几个比较重要的风险：技术安全风险、业务安全风险、合规安全风险，我们简单展开：

1.技术安全

分析师：山寨币即将反弹，看好DeFi和NFT:加密货币交易员和市场分析师Elliot Wainman预测，山寨币或即将飙升。他表示，在其他投资者关注比特币的时候，他正在研究山寨币市场，并认为由此产生的资本转移将是“不可避免的”。Wainman预测，DeFi资产在短期内将继续表现良好，有可能出现指数级反弹。他给出了自己最中意的项目，包括API3、Marlin（POND）和Allianceblock（ALBT）。Wainman还看好NFT，并称这个新生市场有强大的基本面。（Crypto Globe）[2021/1/30 18:28:36]

首先看公链本身是否久经考验，足够安全，以太坊基本满足这点；然后看智能合约的设计是否足够安全，Solidity并不太满足；再看相关的标准实现是否足够安全，这里最大的问题在于很多时候一个“特性”会变成一种“缺陷”；再看基于标准的成熟框架是否安全，如OpenZeppelin就很优秀；最后看项目方开发出来的是否真的严格安全实践，这个就非常不好说了，很明显，开发的质量是参差不齐的。

DeFi生态中锁定的资产总价值接近20亿美元:金色财经报道，DeFi Pulse数据显示，DeFi生态中锁定的资产总价值持续攀升，已突破19亿美元关口，现为19.8亿美元。[2020/7/7]

2.业务安全

业务决定于DeFi的设计，比如抵押借贷、闪贷、交易等等。业务需要特别考虑的是安全风控，比如暴跌暴涨怎么办？突然出现的大额转币如何处理？如何解决第三方安全风险？

3.合规安全

如果是一个灰色或黑色边界的DeFi，一不小心被一些国家的执法机构打掉或自己跑路了，怎么办？

另外特别补充一些和用户角度有关的判断：

1.项目方内部有实力不错的安全团队或有丰富安全经验的核心人物把关

2.项目方近半年内被第三方专业安全机构安全审计并公开安全审计结果

3.项目方有长期持续紧密合作的第三方专业安全机构

4.项目方核心成员对待安全的态度坦然开放，勇于认错并把安全放在第一位

5.项目方对安全工作充满敬畏与尊重

基于上面这5点可以延伸出一些事实，比如：口碑、真实用户数、数据透明度、安全透明度等等。

刘锋：大家愿意去用DeFi产品，有很大原因是担忧中心化金融服务平台的安全性问题，希望通过DeFi讨个平安。但是今年一连串DeFi平台和产品被攻击，这让人对DeFi反而不信任了，我觉得有点遗憾，你怎么看？

余弦：我的看法不一样，大家来看看历史。

具体细节这里看：https://hacked.slowmist.io/

大家会看到中心化、去中心化都有非常惨重的历史案例，但其实不必因此而打击信心，DeFi一定有自己的定位，但DeFi也别想着一统天下，同样的话也适合CeFi，未来应该会看到更多DeFi+CeFi的混合体出现。而且，DeFi其实并不一定需要完全去中心，这是我的个人看法。

我是黑客，这些在我眼里都没有绝对的安全，都有许多薄弱点，但是黑客不都是坏的，我们更希望是往安全的方向去进化，但我们在对抗时，必须有足够的攻击思维。

刘锋：观众提问，对DeFi合约审计的作用有多大？能保证足够安全么？是否经过了审计的defi项目就值得信任呢？

余弦：DeFi安全审计是安全策略的第二层，第一层是DeFi开发安全，这是项目方的事。DeFi安全审计在第二层可以规避不少问题，将安全防御水平提高一个档次。但之后还有第三层，也就是更新迭代持续运营的安全，这个一不小心就麻烦了。只能说，经过安全审计的项目，可以让人更放心，但也一定都有黑天鹅——来自未来的攻击。所以，如果安全审计已经超过半年，那就得注意了。

刘锋：观众提问，大多数知名DeFi协议都是以某种形式被中心化控制的，虽然这种方式在安全性上有些好处，怎样才能避免管理员滥用自己的特权，或者说减少相关风险？

余弦：这个是人性的问题，有的可以技术解决，有的解决不了。技术上通过类似DAO的方式来控制，但这又会产生新的问题，DAO的效率太低就麻烦了。但至少有一点项目方需要做的是透明，资产透明，权限透明，决策透明等等，让社区看得见。

刘锋：观众提问，有没有一种方案，在用户和合约之间建中间件，这个中间件来做安全处理？

余弦：这个不知道，需要试验，但我最近有一个想法，大家可以看看：https://firewallx.io/

这个防火墙是构建在EOS主网上的，核心是智能合约实现。以太坊上，ERC777这种偏复杂的也许也可以这样做，但还是需要试验。

刘锋：观众提问，代码的安全问题几乎不可避免，DeFi是不是需要辅以更成熟的风控机制，来避免大的损失？因为DeFi的魅力是去中心化，是智能合约，但是受攻击后的修复和自己追讨，看起来完全是人和人之间的博弈了。

余弦：追回是个很难的事，但比较有意思的是，今年开始可能会提高成功率，原因是各国司法、执法流程上开始支持加密货币了。

非常感谢参与今晚MathShow#001活动的“show”友们，也感谢慢雾的创始人余弦为我们带来的关于DeFi的安全知识饕餮盛宴，为区块链生态安全贡献自己的力量。祝慢雾越来越好。

标签：EFIDEFDEFILEND去中心化金融defi是干什么的DEFLYPieDAO DEFI Small CapLeopard Lending

DOGE热门资讯