EFI:DeFi应用如何抵挡黑客攻击？-ODAILY

▼▼▼

刘锋：近几天余弦参与处理Lendf.me被盗资金的追讨，可以和我们讲讲这几十个小时的经历吗？

余弦：第一步，快速定位威胁情况和攻击细节，这样可以快速给出最正确的漏洞原因，比如这次事件中，本质问题是Lendf.Me的核心代码中存在重入攻击漏洞，而这个漏洞又需要结合基于ERC777代币的组合才能发生。知道漏洞本质及攻击手法后，在链上是很容易知道攻击者具体盗走多少资产。

第二步，思考如何追回。在4月19日下午，dForce、星火与imToken安全团队在线下集结，并与慢雾安全团队远程连线成立“临时安全团队”，开始进行资产追回。因为信息量巨大且杂乱，集中讨论可以快速的信息对称，加快速度。

BNB Chain：预计今年衍生品、流动性质押衍生品等领域发展对DeFi至关重要:2月24日消息，BNB Chain发布《2023年DeFi展望》，文章指出，今年可能会产生重大发展的一些叙述对DeFi至关重要，它们是衍生品（从永续合约到期权）、合成资产、流动性质押衍生品和Blackholes模型相关的项目。

由于RWA（Real World Assets）的主要法律特性（许可证，KYC要求等），可能今年会是一个较慢的发展，但即便如此，预计围绕链上链下资产或相反方向的协议将出现显著增长，使非加密公司可以获得链上资本。预计预在未来几年，RWA将成为最大的DeFi采用载体之一，也是链上资本的相关来源。

此外，文章认为，在未来几年内DeFi和NFT结合的项目是一个趋势，并表示：“早在1月份，我们就已经看到某些NFTfi项目的可借资本达到历史新高。这可能只是一个开始。”[2023/2/24 12:27:02]

4月20日，基于黑客在攻击前后留下的痕迹，“临时安全团队”成功确定了准确的黑客画像，并开始与国内外各方资源进行交叉对比，获得突破性线索，离黑客越来越近。4月21日下午，在黄金48小时内，黑客在重重压力下，与dForce主动沟通，并开始归还部分资产。继续沟通后，所有资产被成功找回，这是攻击发生后的第三天。这个过程不仅是“临时安全团队”发挥了关键作用，还得到了非常多加密社区朋友直接与间接的帮助。

KingData监控：DeFi行业总共锁仓价值(TVL)916.7亿:据KingData数据显示，当前DeFi行业锁仓价值916.69亿美元，24 小时下跌 -12.58%。更多数据或KingData下载见原文链接。[2021/10/3 17:21:59]

刘锋：对于这次Lendf.me被攻击事件，大家应该吸取什么教训？

余弦：任何新事物在进化过程中都会有安全风险，这是进化法则，越早期这种风险越大，最终要么死亡，要么就会趋于某种比较稳定的平衡。

基于这种心理准备，我们来看DeFi，有几个比较重要的风险：技术安全风险、业务安全风险、合规安全风险，我们简单展开：

1.技术安全

首先看公链本身是否久经考验，足够安全，以太坊基本满足这点；然后看智能合约的设计是否足够安全，Solidity并不太满足；再看相关的标准实现是否足够安全，这里最大的问题在于很多时候一个“特性”会变成一种“缺陷”；再看基于标准的成熟框架是否安全，如OpenZeppelin就很优秀；最后看项目方开发出来的是否真的严格安全实践，这个就非常不好说了，很明显，开发的质量是参差不齐的。

《经济学人》杂志刊登DeFi主题封面文章:9月17日消息，《经济学人》杂志官方推特发布其新一期杂志的封面，介绍称，去中心化金融是颠覆金融业的三大技术趋势之一——它有可能重塑该行业的运作方式。在本周的封面文章中，我们深入了解“DeFi”兔子洞。[2021/9/17 23:31:38]

2.业务安全

业务决定于DeFi的设计，比如抵押借贷、闪贷、交易等等。业务需要特别考虑的是安全风控，比如暴跌暴涨怎么办？突然出现的大额转币如何处理？如何解决第三方安全风险？

3.合规安全

如果是一个灰色或黑色边界的DeFi，一不小心被一些国家的执法机构打掉或自己跑路了，怎么办？

另外特别补充一些和用户角度有关的判断：

1.项目方内部有实力不错的安全团队或有丰富安全经验的核心人物把关

币赢CoinW将于9月29日15:00在DeFi专区上线SUN:据官方消息，币赢CoinW将于9月29日15:00在DeFi专区上线SUN。 据悉，太阳币SUN是一个专注于波场DeFi建设的社会实验，其定位是波场的比特币，零VC投资，零私募投资，零预挖，零团队预留，完全依靠社区与开源的智能合约。

太阳币是一个充满无限想象力的社会实验，它是波场DeFi重要的组成部分，它将同波场公链上已经开发的DeFi项目建立良好的生态联系，它可以参与到去中心化的借贷、 保险、流动性、稳定币等诸多部分。太阳币将依托于智能合约运行在波场公链虚拟机，同现有的DeFi项目紧密对接，互联互通。[2020/9/29]

2.项目方近半年内被第三方专业安全机构安全审计并公开安全审计结果

3.项目方有长期持续紧密合作的第三方专业安全机构

Hubble Chain CEO：项目三大核心战略与DeFi有很多契合点:3月20日，在DeFi2020全球区块链金融高峰论坛暨HUBBLE CHAIN亚太战略发布会上，Hubble Chain CEO Alex Silva为数千位观众现场解读Hubble Chain三大战略布局。Alex Silva表示，Hubble Chain三大核心战略与DeFi有很多的契合点，Hubble Chain将从DeFi吸取养分，持续为每一阶段的区块链智能金融体系搭建良好的生态基础。Hubble Chain是拥有去中心化交易系统的公链，以智能挖矿、智能中心、智能孵化器三步战略为核心，全面打造区块链金融新生态。[2020/3/20]

4.项目方核心成员对待安全的态度坦然开放，勇于认错并把安全放在第一位

5.项目方对安全工作充满敬畏与尊重

基于上面这5点可以延伸出一些事实，比如：口碑、真实用户数、数据透明度、安全透明度等等。

刘锋：大家愿意去用DeFi产品，有很大原因是担忧中心化金融服务平台的安全性问题，希望通过DeFi讨个平安。但是今年一连串DeFi平台和产品被攻击，这让人对DeFi反而不信任了，我觉得有点遗憾，你怎么看？

余弦：我的看法不一样，大家来看看历史。

具体细节这里看：https://hacked.slowmist.io/

大家会看到中心化、去中心化都有非常惨重的历史案例，但其实不必因此而打击信心，DeFi一定有自己的定位，但DeFi也别想着一统天下，同样的话也适合CeFi，未来应该会看到更多DeFi+CeFi的混合体出现。而且，DeFi其实并不一定需要完全去中心，这是我的个人看法。

我是黑客，这些在我眼里都没有绝对的安全，都有许多薄弱点，但是黑客不都是坏的，我们更希望是往安全的方向去进化，但我们在对抗时，必须有足够的攻击思维。

刘锋：观众提问，对DeFi合约审计的作用有多大？能保证足够安全么？是否经过了审计的defi项目就值得信任呢？

余弦：DeFi安全审计是安全策略的第二层，第一层是DeFi开发安全，这是项目方的事。DeFi安全审计在第二层可以规避不少问题，将安全防御水平提高一个档次。但之后还有第三层，也就是更新迭代持续运营的安全，这个一不小心就麻烦了。只能说，经过安全审计的项目，可以让人更放心，但也一定都有黑天鹅——来自未来的攻击。所以，如果安全审计已经超过半年，那就得注意了。

刘锋：观众提问，大多数知名DeFi协议都是以某种形式被中心化控制的，虽然这种方式在安全性上有些好处，怎样才能避免管理员滥用自己的特权，或者说减少相关风险？

余弦：这个是人性的问题，有的可以技术解决，有的解决不了。技术上通过类似DAO的方式来控制，但这又会产生新的问题，DAO的效率太低就麻烦了。但至少有一点项目方需要做的是透明，资产透明，权限透明，决策透明等等，让社区看得见。

刘锋：观众提问，有没有一种方案，在用户和合约之间建中间件，这个中间件来做安全处理？

余弦：这个不知道，需要试验，但我最近有一个想法，大家可以看看：https://firewallx.io/

这个防火墙是构建在EOS主网上的，核心是智能合约实现。以太坊上，ERC777这种偏复杂的也许也可以这样做，但还是需要试验。

刘锋：观众提问，代码的安全问题几乎不可避免，DeFi是不是需要辅以更成熟的风控机制，来避免大的损失？因为DeFi的魅力是去中心化，是智能合约，但是受攻击后的修复和自己追讨，看起来完全是人和人之间的博弈了。

余弦：追回是个很难的事，但比较有意思的是，今年开始可能会提高成功率，原因是各国司法、执法流程上开始支持加密货币了。

非常感谢参与今晚MathShow#001活动的“show”友们，也感谢慢雾的创始人余弦为我们带来的关于DeFi的安全知识饕餮盛宴，为区块链生态安全贡献自己的力量。祝慢雾越来越好。

标签：EFIDEFDEFIAINScarcity DeFiDeFi Bidsdefi币联合坐庄是局吗VINchain

币赢热门资讯