(示意圖/取自pixabay)
DeFi項目Cream Finance日前發布報告表示,在8月31日中午12點發生的駭客攻擊事件中,損失共4.6億枚AMP代幣和2804枚ETH ,約合1800萬美元。這已經不是Cream Finance第一次出現安全事故了,2021年2月14日,Cream Finance曾因程式碼漏洞,被駭客攻擊損失3750萬美元資產。
而這還不是近期DeFi領域內的最大安全事件。
8月26日深夜,區塊鏈跨鏈協議團隊Poly Network,正式宣布已經為用戶恢復了此前駭客歸還的所有資產,總價值為6.1億美元。該消息標誌著8月10日晚上發生的DeFi史上最大金額的攻擊事件,最終化險為夷,一場巨額資金被盜的悲劇事件在多方努力下,以一個體面的方式結尾。
歷時16天,白帽駭客、項目方、交易平台、安全團隊等等區塊鏈各群體輪番登場,一場神奇的博弈和合作,在鏈上世界通過轉帳訊息一一展開,該事件將注定被寫入區塊鏈發展的歷史中。
DeFi史上最大的駭客攻擊案
8月10日晚間,全球加密貨幣社群被一則消息震動,隨後各方開始了一系列行動。專攻跨鏈技術的Poly Network宣布主網被駭客攻擊,其用戶在BSC(幣安智能鏈)、以太坊、Polygon(以太坊側鏈)三條區塊鏈上的資產,總計被轉移6.1億美金,該金額超越此前DeFi的安全事故,成為迄今金額最大的DeFi安全事件。連圈內知名的DeFi參與者,F2pool創始人毛世行,事後都確認個人資金參與其中。
8月11日,Poly營運方透露,整個團隊徹夜未眠,除了最重要的資產被盜,社群內爆發的各類猜想和原因分析,讓該團隊背負巨大壓力,加密貨幣社群中甚至有人質疑Poly作為項目主導方「監守自盜」。
本次事件的主角,一名「白帽駭客」正式現身,並多次通過區塊鏈交易進行留言表達其觀點,該駭客稱,從一開始就打算歸還被轉移的資金,導演一場充滿「區塊鏈精神」的駭客行動。
DeFi爆發式成長
但DeFi安全事故頻發的背後並不是偶然的集中爆發,其背景是一個正在爆發成長的區塊鏈新方向。
如果說2021年是NFT大熱之年,那麼2020年則被區塊鏈世界認為是DeFi爆發的年度,這一年的夏天也被社群稱為「DeFi Summer」。
所謂DeFi,全稱「Decentralized Finance」,譯為去中心化金融,在區塊鏈世界裡,它是指通過在區塊鏈上部署有程式碼組成的智慧合約,來提供各類金融服務,由於和「傳統機構」依靠中心化的機構和人來促成服務不同,DeFi提供的服務從進入到退出全部由程式碼執行,所以被稱為去中心化金融。
如果從廣義來說,DeFi的發展可以追溯到數十年之前,比如比特幣都算是DeFi的一種。而它所迸發的能量,在近幾年被認為是區塊鏈的又一大創新,並且有望在某些領域做一次顛覆級的變革。
以目前最大的DeFi項目Uniswap為例,這是一個去中心化交易所,即其流動性並非通過傳統金融的撮合交易來實現,而是通過較為複雜的「流動性質押資金池」,簡單理解為用戶自己注入資金為交易平台提供流動性並得到獎勵,同時又可以使用該平台服務,來滿足自身金融需求,而這一切全部由區塊鏈上的智慧合約執行,不由機構或個人來進行執行。
目前,借貸、交易是目前最主流的「DeFi」項目。CoinMarketCap數據顯示,DeFi項目Uniswap市值已超過162億美元,而其團隊規模僅數十人。而相比之下,世界知名的證券交易所那斯達克的整體市值是331億美元,但其雇用的員工規模達到五千人。
而此次6.1億事件的主角Poly Network,則是另一種DeFi項目,由於DeFi項目往往涉及到不同資產的轉換,所以有一種協議主攻資產跨鏈,簡單來說是將兩條鏈的幣相互發給對方。
區塊鏈中涉及的跨鏈技術有很多,有雙向錨定(two-way-peg)、哈希時間鎖、原子交換、資產質押轉移、網關、聯邦簽名等等,非常複雜。而Poly這種則是使用合約跨鏈,即一條鏈上的智慧合約,能夠讀取另外一條鏈上的特定訊息,來執行合約程式碼,並給出確定性的結果,這也屬於DeFi的一種類型。
Poly Network就是一個異構鏈跨鏈互操作協議,它能夠實現從協議層一舉打通各個異構鏈之間,甚至各個主流公鏈之間的通訊和交易。比如比特幣、以太坊、BSC等主流公鏈。
所以DeFi被視為是對傳統金融的再創新,通過智慧合約衍生出了各類新生態,在這個世界,「程式碼即法律」成為越來越多人的共識。
截止8月30日,DeBank數據顯示,目前Defi總鎖倉量已達到1122.3億美元,淨鎖倉量為829.8億美元,而2021年初,該數字僅為170億美元。僅半年過去,DeFi市值成長近十倍。
對DeFi安全的反思
但隨著DeFi爆發式成長的同時,各類安全事故頻發,公開數據顯示,近兩個月,DeFi領域發生了19起安全事故,跨鏈協議佔6起,涉及了 Poly Network、Anyswap、ChainSwap等協議。
F2pool創始人毛世行近日公開表示,「本次駭客盜幣事件其實是對 DeFi產業的反思,由於涉案金額巨大,我們事後也在思考在DeFi領域的投資方式,特別是挖礦,投入的是本金,面臨是不確定的安全風險。」
Parity亞洲負責人賈瑤琪表示,因為DeFi協議本身是跟金融直接打交道的,關乎用戶的資金,所以DeFi協議的設計和實現需要從一開始就將安全考慮進去,而且無論多嚴謹都不為過。任何DeFi協議最好通過至少兩家安全審計公司進行審計,從而減少安全風險。不引入非必要的管理員身份,同時限制協議部署者和管理員的權限,防止因為單個帳戶洩露而導致整個協議的全部資金陷入安全隱患。
而在本次事件中,發揮了重要作用的安全審計公司慢霧科技創始人餘弦曾則發文表示:「這已經是慢霧第N次動用洪荒之力,這也讓很多朋友知道慢霧有能力做到這個。但不好意思,這種能力太過消耗,成本也非常高,也有運氣成分。」餘弦對於DeFi的安全曾表示「DeFi安全不僅僅是指智慧合約安全,還包括區塊鏈基礎安全、前端安全、通訊安全、新增功能安全、人性安全、金融安全、合規安全。 程式碼即法律是一句不切實際且不負責任的話。」
甚至Poly事件中的駭客,也撰寫了長長的反思文:「安全是一項艱鉅的工作,無論是在現實世界還是加密世界。在大多數情況下,我們的安全專家只會在事件發生後作為體檢醫師被傳喚。我們所做的只是撰寫驗屍報告,有時會追蹤壞人,這在加密世界幾乎是一樣的,除了有些項目不是很急於拿回錢,因為這不是他們的錢,他們只會告訴真正的受害者,對不起,我們嘗試過,但從來沒有保證。」
毫無疑問,DeFi在過去一段時間裡,在區塊鏈領域已經充分證明自己的價值。並且有了重要的底層基礎設施例如算法穩定幣、底層借貸、豐富的衍生品,但其面臨的資金安全,用戶擁堵的性能瓶頸,監管對其合規化的擔憂,都將是未來需要解決的問題。
本文為界面新聞授權刊登,原文標題為「DeFi安全事故頻發,但6.1億美元被盜不是終點」