正在阅读:

DeFi安全事故频发,但6.1亿美元被盗不是终点

扫一扫下载界面新闻APP

DeFi安全事故频发,但6.1亿美元被盗不是终点

历时16天,白帽黑客、项目方、交易平台、安全团队等等区块链各群体轮番登场,一场神奇的博弈和合作在链上世界通过转账信息一一展开,该事件将注定被写入区块链发展的历史中。

图片来源:视觉中国

记者 | 司林威

91日,DeFi项目Cream Finance 发布报告,其官方表示在831日中午12点发生的黑客攻击事件中,损失共 4.6 亿枚 AMP 代币和 2804 ETH ,约合 1800万美元。这已经不是Cream Finance第一次出现安全事故了,2021214日,Cream Finance曾因代码漏洞被黑客攻击损失3750美元资产。

而这还不是近期DeFi领域内的最大安全事件。

826日深夜,区块链跨链协议团队Poly Network 正式宣布已经为用户恢复了此前黑客归还的所有资产,总价值为 6.1 亿美元。该消息标志着810晚发生的DeFi史上最大金额的攻击事件最终化险为夷,一场巨额资金被盗的悲剧事件在多方努力下以一个体面的方式结尾。

历时16天,白帽黑客、项目方、交易平台、安全团队等等区块链各群体轮番登场,一场神奇的博弈和合作在链上世界通过转账信息一一展开,该事件将注定被写入区块链发展的历史中。

DeFi史上最大的黑客攻击案

810日晚间,全球加密货币社区被一则消息震动,随后各方开始了一系列行动。专攻跨链技术的Poly Network宣布主网被黑客攻击,其用户在BSC(币安智能链)、以太坊、Polygon(以太坊侧链)三条区块链上的资产总计被转移6.1亿美金,该金额超越此前DeFi的安全事故,成为迄今金额最大的DeFi安全事件。连圈内知名的DeFi参与者,F2pool创始人毛世行事后都确认个人资金参与其中。

8月11日,界面新闻从Poly运营方获悉,整个团队彻夜未眠,除了最重要的资产被盗,社区内爆发的各类猜想和原因分析让该团队背负巨大压力,加密货币社区中甚至有人质疑Poly作为项目主导方“监守自盗”。

11日,本次事件的主角——一名“白帽黑客”正式现身,并多次通过区块链交易进行留言表达其观点,该黑客称从一开始就打算归还被转移的资金,导演一场充满“区块链精神”的黑客行动。

下为整理后的事件始末图。

DeFi爆发式增长

但DeFi安全事故频发的背后并不是偶然的集中爆发,其背景是一个正在爆发增长的区块链新方向。

如果说2021年是“NFT”大热之年,那么2020年则被区块链世界认为是DeFi爆发的年度,这一年的夏天也被社区称为“DeFi Summer”。

所谓DeFi,全称“Decentralized Finance”,译为去中心化金融,在区块链世界里,它是指通过在区块链上部署有代码组成的智能合约来提供各类金融服务,由于和“传统机构”依靠中心化的机构和人来促成服务不同,DeFi提供的服务从进入到退出全部由代码执行,所以被称为去中心化金融。

如果从广义来说,DeFi的发展可以追溯到数十年之前,比如比特币都算是DeFi的一种。而它所迸发的能量在近几年被认为是区块链的又一大创新,并且有望在某些领域做一次颠覆级的变革。

以目前最大的DeFi项目Uniswap为例,这是一个去中心化交易所,即其流动性并非通过传统金融的撮合交易来实现,而是通过较为复杂的“流动性质押资金池”,简单理解为用户自己注入资金为交易平台提供流动性并得到奖励,同时又可以使用该平台服务来满足自身金融需求,而这一切全部由区块链上的智能合约执行,不由机构或个人来进行执行。

目前,借贷、交易是目前最主流的“DeFi”项目。CoinMarketCap数据显示,头部DeFi项目Uniswap市值已超162亿美元,而其团队规模仅数十人。而相比之下,世界知名的证券交易所纳斯达克的整体市值是331亿美元,但其雇员规模达到五千人。

而此次6.1亿事件的主角Poly 
Network则是另一种DeFi项目,由于DeFi项目往往涉及到不同资产的转换,所以有一种协议主攻资产跨链。简单来说是将两条链的币相互发给对方。区块链中涉及的跨链技术有很多,有双向锚定(two-way-peg),哈希时间锁,原子交换,资产质押转移,网关,联邦签名等等,非常复杂。而Poly这种则是使用合约跨链,即一条链上的智能合约,能够读取另外一条链上的特定信息,来执行合约代码,并给出确定性的结果,这也属于DeFi的一种类型。

Poly Network就是一个异构链跨链互操作协议,它能够实现从协议层一举打通各个异构链之间甚至各个主流公链之间的通信和交易。比如比特币、以太坊、BSC等主流公链。

所以DeFi被视为是对传统金融的再创新,通过智能合约衍生出了各类新生态,在这个世界,“代码即法律”成为越来越多人的共识。

截止8月30日,DeBank数据显示,目前Defi总锁仓量已达到1122.3亿美元,净锁仓量为829.8亿美元,而2021年初,该数字仅为170亿美元。仅半年过去,DeFi市值增长近十倍。

对DeFi安全的反思

但随着DeFi爆发式增长的同时,各类安全事故频发,公开数据显示,近两个月,DeFi 领域发生了 19 起安全事故,跨链协议占 6 起,涉及了 Poly Network、Anyswap、ChainSwap 等协议。

F2pool创始人毛世行近日公开表示,“本次黑客盗币事件其实是对 DeFi 行业的反思,由于涉案金额巨大,我们事后也在思考在 DeFi 领域的投资方式,特别是挖矿,投入的是本金,面临是的不确定的安全风险。”

Parity亚洲负责人贾瑶琪对界面新闻表示,因为DeFi协议本身是跟金融直接打交道的,关乎用户的资金,所以DeFi协议的设计和实现需要从一开始就将安全考虑进去,而且无论多严谨都不为过。任何DeFi协议最好通过至少两家安全审计公司进行审计,从而减少安全风险。不引入非必要的管理员身份,同时限制协议部署者和管理员的权限,防止因为单个账户泄露而导致整个协议的全部资金陷入安全隐患。

而在本次事件中,发挥了重要作用的安全审计公司慢雾科技创始人余弦曾则发文表示:“这已经是慢雾第N次动用洪荒之力,这也让很多朋友知道慢雾有能力做到这个。但不好意思,这种能力太过消耗,成本也非常高,也有运气成分。”余弦对于DeFi的安全曾表示:“DeFi安全不仅仅是指智能合约安全,还包括区块链基础安全、前端安全、通信安全、新增功能安全、人性安全、金融安全、合规安全。 ‘代码即法律’是一句不切实际且不负责任的话。

甚至Poly 事件中的黑客也撰写了长长的反思文:“安全是一项艰巨的工作,无论是在现实世界还是加密世界。在大多数情况下,我们的安全专家只会在事件发生后作为体检医师被传唤。我们所做的只是撰写验尸报告,有时会追踪坏人。这在加密世界几乎是一样的,除了有些项目不是很急于拿回钱,因为这不是他们的钱,他们只会告诉真正的受害者‘对不起,我们尝试过,但从来没有保证’。”

毫无疑问,DeFi 在过去一段时间里,在区块链领域已经充分证明自己的价值。并且有了重要的底层基础设施例如算法稳定币、底层借贷、丰富的衍生品,但其面临的资金安全,用户拥堵的性能瓶颈,监管对其合规化的担忧,都将是未来需要解决的问题。

 

未经正式授权严禁转载本文,侵权必究。

评论

暂无评论哦,快来评价一下吧!

下载界面新闻

微信公众号

微博

DeFi安全事故频发,但6.1亿美元被盗不是终点

历时16天,白帽黑客、项目方、交易平台、安全团队等等区块链各群体轮番登场,一场神奇的博弈和合作在链上世界通过转账信息一一展开,该事件将注定被写入区块链发展的历史中。

图片来源:视觉中国

记者 | 司林威

91日,DeFi项目Cream Finance 发布报告,其官方表示在831日中午12点发生的黑客攻击事件中,损失共 4.6 亿枚 AMP 代币和 2804 ETH ,约合 1800万美元。这已经不是Cream Finance第一次出现安全事故了,2021214日,Cream Finance曾因代码漏洞被黑客攻击损失3750美元资产。

而这还不是近期DeFi领域内的最大安全事件。

826日深夜,区块链跨链协议团队Poly Network 正式宣布已经为用户恢复了此前黑客归还的所有资产,总价值为 6.1 亿美元。该消息标志着810晚发生的DeFi史上最大金额的攻击事件最终化险为夷,一场巨额资金被盗的悲剧事件在多方努力下以一个体面的方式结尾。

历时16天,白帽黑客、项目方、交易平台、安全团队等等区块链各群体轮番登场,一场神奇的博弈和合作在链上世界通过转账信息一一展开,该事件将注定被写入区块链发展的历史中。

DeFi史上最大的黑客攻击案

810日晚间,全球加密货币社区被一则消息震动,随后各方开始了一系列行动。专攻跨链技术的Poly Network宣布主网被黑客攻击,其用户在BSC(币安智能链)、以太坊、Polygon(以太坊侧链)三条区块链上的资产总计被转移6.1亿美金,该金额超越此前DeFi的安全事故,成为迄今金额最大的DeFi安全事件。连圈内知名的DeFi参与者,F2pool创始人毛世行事后都确认个人资金参与其中。

8月11日,界面新闻从Poly运营方获悉,整个团队彻夜未眠,除了最重要的资产被盗,社区内爆发的各类猜想和原因分析让该团队背负巨大压力,加密货币社区中甚至有人质疑Poly作为项目主导方“监守自盗”。

11日,本次事件的主角——一名“白帽黑客”正式现身,并多次通过区块链交易进行留言表达其观点,该黑客称从一开始就打算归还被转移的资金,导演一场充满“区块链精神”的黑客行动。

下为整理后的事件始末图。

DeFi爆发式增长

但DeFi安全事故频发的背后并不是偶然的集中爆发,其背景是一个正在爆发增长的区块链新方向。

如果说2021年是“NFT”大热之年,那么2020年则被区块链世界认为是DeFi爆发的年度,这一年的夏天也被社区称为“DeFi Summer”。

所谓DeFi,全称“Decentralized Finance”,译为去中心化金融,在区块链世界里,它是指通过在区块链上部署有代码组成的智能合约来提供各类金融服务,由于和“传统机构”依靠中心化的机构和人来促成服务不同,DeFi提供的服务从进入到退出全部由代码执行,所以被称为去中心化金融。

如果从广义来说,DeFi的发展可以追溯到数十年之前,比如比特币都算是DeFi的一种。而它所迸发的能量在近几年被认为是区块链的又一大创新,并且有望在某些领域做一次颠覆级的变革。

以目前最大的DeFi项目Uniswap为例,这是一个去中心化交易所,即其流动性并非通过传统金融的撮合交易来实现,而是通过较为复杂的“流动性质押资金池”,简单理解为用户自己注入资金为交易平台提供流动性并得到奖励,同时又可以使用该平台服务来满足自身金融需求,而这一切全部由区块链上的智能合约执行,不由机构或个人来进行执行。

目前,借贷、交易是目前最主流的“DeFi”项目。CoinMarketCap数据显示,头部DeFi项目Uniswap市值已超162亿美元,而其团队规模仅数十人。而相比之下,世界知名的证券交易所纳斯达克的整体市值是331亿美元,但其雇员规模达到五千人。

而此次6.1亿事件的主角Poly 
Network则是另一种DeFi项目,由于DeFi项目往往涉及到不同资产的转换,所以有一种协议主攻资产跨链。简单来说是将两条链的币相互发给对方。区块链中涉及的跨链技术有很多,有双向锚定(two-way-peg),哈希时间锁,原子交换,资产质押转移,网关,联邦签名等等,非常复杂。而Poly这种则是使用合约跨链,即一条链上的智能合约,能够读取另外一条链上的特定信息,来执行合约代码,并给出确定性的结果,这也属于DeFi的一种类型。

Poly Network就是一个异构链跨链互操作协议,它能够实现从协议层一举打通各个异构链之间甚至各个主流公链之间的通信和交易。比如比特币、以太坊、BSC等主流公链。

所以DeFi被视为是对传统金融的再创新,通过智能合约衍生出了各类新生态,在这个世界,“代码即法律”成为越来越多人的共识。

截止8月30日,DeBank数据显示,目前Defi总锁仓量已达到1122.3亿美元,净锁仓量为829.8亿美元,而2021年初,该数字仅为170亿美元。仅半年过去,DeFi市值增长近十倍。

对DeFi安全的反思

但随着DeFi爆发式增长的同时,各类安全事故频发,公开数据显示,近两个月,DeFi 领域发生了 19 起安全事故,跨链协议占 6 起,涉及了 Poly Network、Anyswap、ChainSwap 等协议。

F2pool创始人毛世行近日公开表示,“本次黑客盗币事件其实是对 DeFi 行业的反思,由于涉案金额巨大,我们事后也在思考在 DeFi 领域的投资方式,特别是挖矿,投入的是本金,面临是的不确定的安全风险。”

Parity亚洲负责人贾瑶琪对界面新闻表示,因为DeFi协议本身是跟金融直接打交道的,关乎用户的资金,所以DeFi协议的设计和实现需要从一开始就将安全考虑进去,而且无论多严谨都不为过。任何DeFi协议最好通过至少两家安全审计公司进行审计,从而减少安全风险。不引入非必要的管理员身份,同时限制协议部署者和管理员的权限,防止因为单个账户泄露而导致整个协议的全部资金陷入安全隐患。

而在本次事件中,发挥了重要作用的安全审计公司慢雾科技创始人余弦曾则发文表示:“这已经是慢雾第N次动用洪荒之力,这也让很多朋友知道慢雾有能力做到这个。但不好意思,这种能力太过消耗,成本也非常高,也有运气成分。”余弦对于DeFi的安全曾表示:“DeFi安全不仅仅是指智能合约安全,还包括区块链基础安全、前端安全、通信安全、新增功能安全、人性安全、金融安全、合规安全。 ‘代码即法律’是一句不切实际且不负责任的话。

甚至Poly 事件中的黑客也撰写了长长的反思文:“安全是一项艰巨的工作,无论是在现实世界还是加密世界。在大多数情况下,我们的安全专家只会在事件发生后作为体检医师被传唤。我们所做的只是撰写验尸报告,有时会追踪坏人。这在加密世界几乎是一样的,除了有些项目不是很急于拿回钱,因为这不是他们的钱,他们只会告诉真正的受害者‘对不起,我们尝试过,但从来没有保证’。”

毫无疑问,DeFi 在过去一段时间里,在区块链领域已经充分证明自己的价值。并且有了重要的底层基础设施例如算法稳定币、底层借贷、丰富的衍生品,但其面临的资金安全,用户拥堵的性能瓶颈,监管对其合规化的担忧,都将是未来需要解决的问题。

 

未经正式授权严禁转载本文,侵权必究。