去中心化的金融平台遭洗劫,雪崩时没一片雪花是无辜的

文 | 海伦

近两日,去中心化的金融项目Uniswap 和 Lendf.Me 接连遭受重入攻击。特别是Lendf.Me 被洗劫一空,累计损失约 2500万USD。关于攻击详细情况,自有安全团队解答。笔者想和诸位探讨的是,攻击发生之后,加密社区的舆论风向与应付态度。孰对孰错,请各位看官自行评判。

“盗亦有道”?黑客归还部分代币

今日, dForce官方发布通知称:1. 与顶尖安全团队合作,对 Lendf.Me 进行更为全方位的安全评估;2. 与合作伙伴积极探讨可行的解决方法;3. 与主流交易网站、OTC 买卖商、公安机构积极配合展开有关调查,竭尽全力追索失窃款项,追踪黑客动态。

不知晓出于哪些原因,黑客好像主动联系了dForce,表达交流意愿,并开始归还一些币。更进一步的状况dForce 开创者杨民道将于北京时间 2020 年 4 月 20 日 23:59 分前,向社区作出说明讲解。

重蹈覆辙:用户不满lendf.me未准时自查

让用户不可以理解的是,前车之鉴犹在耳畔,lendf.me为何没准时自查。从时间线上来看,首次针对Uniswap的攻击发生在4月18日8点58分,3个小时后,Tokenlon察看到异常并打造紧急处置小组。4 月 19 日 9点28,Lendf.me 又反馈称遭遇与Uniswap 类似的攻击。安全公司慢雾从攻击手法上判断,非常可能是同一拨人所为。

“我想不通,这部分Defi项目方,仿佛也跟我一样毫无警惕……看到其他人被黑客攻击,不自查一下风险的么。”一位笔名为“白特幂”的受害者发文质问道。“得瑟小缪”也指出过错在lendf.me自己。他提出3点不满:“1.直接folk compound 1的代码过来又不审计?负责安全的人是否应该引咎离职?2.把erc777的im比特币接入erc20的协议中,哪个负责的商务?哪个负责的技术对接?这么明显的错误,为什么不处置?3.不检讨我们的责任说自己是受害者?先谈怎么样补偿用户OK?这是拿行业在开玩笑么?”

抱团取暖:加密社区纷纷表示鼓励

事件发生后,加密社区一片祥和温暖,纷纷对去中心化的金融的遭遇表达同情和鼓励。

数字文静复兴基金会董事总经理曹寅:“大家不应为 Lendf 或者 Maker 的事故而对 去中心化的金融 失去信心,阿波罗 13 号的失败之后,NASA 并没取消阿波罗计划,美国人也没因此停下对太空探索的节奏,深刻深思之后,NASA 又发射进行了多次成功的阿波罗任务,之后还建造发射了更伟大的国际空间站。”

原力协议COO许超:“看到这个消息很心痛。期望dForce团队可以度过难关。这是中国最棒的去中心化的金融团队之一。去中心化的金融还在早期阶段,代码安全和金融商品风控安全尤为重要,去中心化的金融的可组合性又使得系统安全风险成倍的增长。”

星火矿池市场负责人邱晓栋:“历史的趋势不可阻挡,大家都在探索将来的可能性,并在这一进程中发光发热,每一次重击都会让大家更坚强。”

ETH黄皮书翻译者杨镇:“这是伟大事业进步历程中几乎难以防止的事故。”

加密社区是个挺割裂的存在,有投机套利的赌徒、追逐风口的逐利者,也有技术高超的极客、理想主义的探路者。去中心化的金融社区无疑是后者,因此他们常呈现出一种惺惺相惜、抱团取暖的姿态。有开发者感慨道“这两天在风暴中心见证探索者们被暴雨淋漓。”

进退两难:雪崩时没一片雪花是无辜的

目前去中心化的金融社区呈现出一个环境,不喜欢批评的声音,有人批评就会被觉得是黑,但所有项目的成功都理应面对质疑和批评。另一方面,行业的抱团取暖也带来两面性。笔者过去在采访一个去中心化的金融项目时,碰巧从它的平台上截取到了另一DEX穿仓的数据。两个项目负责人将笔者拉到同一个群里,期望不要对此进行报道,由于这个漏洞已悄悄修补好,并未导致任何损失。但安全事件频发之时,温顺鼓励为政治正确,包庇开脱成惯常动作,指责批评反而要谨小慎微的时候,社区就需要多一些深思了。

无论大家把去中心化的金融的意义描绘的多么深远,比拟阿波罗登月也好,作为取代马车的汽车也罢。它对于用户来讲,本质一直是金融。效率的提高是第二,至少要保证不要让用户丢钱。金融服务的最重要首要条件是风控和安全,即便去中心化的金融也是一样。而在代码世界里,任何一个小疏忽导致的损失都是致命的。

目前,去中心化的金融对大部分人而言门槛仍然非常高,因此去中心化的金融用户事实上是一批具备较高技术和金融素养的理想主义者。一位受害者表示:“我躲过了爆仓,躲过了Fcoin,躲过了各种资金盘,却没躲过Defi这个黑客提款机。”假如如此一群人都在遭受损失,去中心化的金融的安全性从何谈起呢?“假如不可以保证开源系统的资金安全,你甚至没能力证明自己不是一剂毒药。去中心化的金融在证明自己真的是一场变革之前,至少需要摆脱暴雷阴影。”RenrenBit CMO梓岑表示。

IOSG Venture 开创者 Jocy Lin也表示:“这个行业让人惊喜的地方在于多元化的组成和包容属性,在去中心化的金融圈子里的对峙博弈也是一样。DAO事件之后的黑客攻击事件仍然频发,却一直没引起行业看重。这部分攻击虽然让行业各种协议如临大敌甚至面临生死,但仍然是非常有意义的。它被人们认识到协议的安全审计、用户的资金投入认知,与社区的多元化共存至关要紧。雪崩时,没一片雪花是无辜的,是时候重新深思去中心化的金融里价值最大的部分在哪儿了。大多数过得好的公司道阻且长,MKR非常糟糕,Compound也是。从小众到大众市场的跃升,需要在资本市场帮助之后,考虑怎么样减少用户的用门槛、提高体验,与更高的安全性。”

灵魂拷问:去中心化的金融项目有方法自证吗?

这起攻击事件发生后,去中心化的金融恐怕会遭遇重创。从年初到目前,去中心化的金融发生的几起安全事件,都是黑客在借助去中心化的金融系统性风控漏洞推行的攻击。此次也是同理,ERC777本身没问题,但和其他合约组合起来后产生了非预期的结果。这仿佛成为了一个证实相当困难,但证伪却异常容易的命题。什么开发者敢拍着胸部保证,我们的协议没漏洞,和其他人的协议组合之后依旧安全呢?

除去安全性,去中心化的金融可能还面对一个“道德”难点,币信研究院院长熊越表示:想象大家在大航海年代里造一艘船去探寻新国内,这是一件勇气可嘉、意义非凡的事情,但也大概遇见风浪葬身海底。但在这样的情况下,冒险的发起人是和大伙风险共担的,并且全船的人都了解自己面对着什么。这就是冒险家的精神(entrepreneurship)。

但去中心化的金融项目的开创者并不必须要去风险共担,他可以融一笔资开启项目,不把我们的钱放在去中心化的金融项目里。赚了当然自己名利双收,假如被黑客攻击,巨额损失的是资金投入人和用户。更要紧的是,我并没看到什么去中心化的金融项目在提醒用户:‘把钱存过来赚百分之几的利息,你可能会损失全部的本金。’相反,它们都说自己有各种安全机制,通过了各种审计,不少用户因此稀里糊涂地亏掉数十万美金级别的钱。

在区块链行业,无论是CeFi还是去中心化的金融,都有各自的风险。中心化借贷面临的是强监管风险,去中心化借贷面临的是系统安全稳定运行的风险。这两个风险都在加强。假如监管缺位,这种攻击防不胜防,是无解之题。

通证通研究院开创者宋双杰表示:“任何一个行业,当合法军进去的时候,非合法军都将面临清理,所以中心化借贷之困在于怎么样获得牌照。去中心化借贷在于行业无监管,一片蛮荒,权责利不清。一些导致违法的行为甚至都称不上违法,由于没有关的法律,致使很多借贷合约被攻击,这几天爆出的uniswap和dforce事件就是明证。假如监管缺位,这种事情是防不胜防的,除非用极简化的合约,使用极容易的功能,像BTC那样,把附加的其他的功能都抽离,才可能保证很大的安全。要不是,功能越复杂,被攻击的可能性越高。但假如不改革,不增加功能,那去中心化借贷又没存在的必要,这是无解之题。”