To dForce：What doesn''t kill you makes you STRONGER_EFI:DEF

文|王也編輯|Mandy王夢蝶出品|Odaily星球日報

短短48小時，黑客讓dForce團隊真切地體會到了“失而復得”的美好。4月19日上午，由dForce團隊開發的去中心化借貸協議Lendf.Me遭黑客攻擊，價值2500萬美金的鎖倉資產被黑客洗劫一空，震動社區與行業。而隨后發生的“神反轉”更是比電影還精彩，4月19日晚，黑客向Lendf.Me賬戶歸還了12614枚PAX，并附言BetterFuture，4月20日，黑客再次陸續歸還代幣，至今已悉數歸還了全部被盜資產。據悉，黑客此舉，是因為在去中心化交易所1inch上泄漏了自己的IP地址，1inch配合新加坡以及dForce團隊向黑客施壓，迫使其歸還贓款，1inch官方也證實了這一過程。dForce團隊則在4月22日凌晨發文告知用戶接下來將采取的行動方案：將永久關閉現有合約，新產品將啟用新合約，并將在一周內公布資產返還的建議方案。不幸之中的萬幸，Lendf.Me本次被盜最終并沒有給用戶和平臺造成損失，但帶來的思考和探討已遠超事件本身。事件發生后，許多看客已從多方視角發布過專業的復盤內容，但Odaily星球日報依舊看到了不少錯誤的說法和偏頗的論調，因此，我們也想以這篇文章表明：Whatdoesnotkillyoumakesyoustronger，相信歷劫后的dForce團隊和DeFi行業，會更加健康地成長。DeFi樂高遭遇“多米諾骨牌”式崩塌，到底是誰的鍋？

4月19日，黑客利用ERC777合約和DeFi平臺的兼容性問題，在Lendf.Me上多次調用重入攻擊，并以imBTC為抵押，將Lendf.Me上價值2500萬美金的資產洗劫一空。發生盜幣事件后，媒體和大眾關注的焦點是“追責”，大額資金被盜，到底是誰的鍋？雖然事件已告一段落，但依然有很多錯誤說法在社群內誤傳。討論的聲音很多，有的把“罪名”扣在ERC777頭上，稱是合約本身存在漏洞；有人追問dForce的安全合作方Peckshied為何沒有及時發現漏洞；還有人將矛頭指向imToken，聲稱是imBTC存在問題，黑客抵押了假imBTC貸出ETH。而事實是，以上都是錯誤說法。ERC777合約本身并沒有問題，它是對ERC20合約的一個改造和升級，不但實現了功能擴展，還有ERC20標準一樣良好的兼容性。這件事也并非Peckshied的責任，雖然PeckShield是dForce的安全合作方，但他們并沒有對Lendf.me的代碼進行過審計，Lendf.me的協議為分叉CompoundV1代碼而來。假imBTC也是一個謠言，并不存在這個過程，imBTC本身也無漏洞。事實是，Lendf.me在CompoundV1代碼的基礎上加入了基于ERC777的imBTC，而ERC777合約與DeFi協議的兼容性問題，給了黑客可趁之機。具體來說，ERC777原本是在ERC20基礎上加強了對Token的風險控制接口，是一次有益的改進。不過由于DeFi項目的可組合特性，一個合約在不同產品之間相互調用時，其業務邏輯復雜度也會大大增加，這就給注入代碼攻擊提供了可能性。據PeckShield團隊介紹，ERC777標準擴展的功能之一是提供了“hook”機制，可以使普通地址或合約通過注冊一個tokensToSend()hook函數來控制或拒絕發送Token。簡單點說，“hook”函數能夠在一筆交易完成前后將通知發送給交易雙方，并允許其取消交易，確保了交易相對的客觀公正。因為“hook”函數通知是需要操作時間的，黑客就利用這一點，發起重入攻擊，在用戶一筆交易未完成的時候，又發起一筆新的交易，擾亂了原有的交易節奏。

Azuki發布PBT標準，支持將現實物品綁定到鏈上實現Scan to Own:10月18日消息，Azuki發布Physical Backed Token (PBT)，一種開源的Token標準，支持將現實物品綁定到以太坊區塊鏈上。其特點是去中心化的身份驗證和跟蹤實體物品的所有權沿襲，流程完全在鏈上，不需要中心化服務器。

據悉，第一個PBT應用是BEAN芯片，這是一種物理加密芯片，可以自我生成非對稱密鑰對。

PBT使硬件能夠創造新的體驗，Azuki稱之模式為Scan to Own。即如果物理物品被出售或贈予一個新的所有者，那么后續所有者就可以“Scan to Own”同一物理物品，從而實現PBT從前一個所有者到新所有者的去中心化轉移。[2022/10/18 17:29:44]

圖片來源于：PeckShield這個理解起來可能有些門檻，Odaily星球日報簡單解釋下：Alice有100ETH，她準備將這100ETH抵押給Bob準備借出0.01個imBTC，但是還沒等到這筆交易確認時，Alice又將這100ETH抵押給力另外一個對手方，于是，Alice就用這100ETH借出了兩倍的imBTC。黑客攻擊Lendf.Me的過程就是上述過程的多次循環，重入攻擊可以理解為黑客憑空生出了很多“錢”，讓合約以為這是合法的“錢”，然后可以用抵押借貸的方式，把真錢都取走了。從上述過程我們可以很清晰地了解到，ERC777合約本身實際可以極大的提高DeFi應用的用戶體驗，通過使用的Hook回調機制，在ERC20中需要二筆或多筆完成的確認交易，而使用ERC777單筆交易就可以完成。真正導致漏洞出現的根源在于ERC777合約與DeFi協議的兼容性出現了問題。目前，安全團隊針已經針對ERC777合約與DeFi協議的兼容性問題給出了很多安全建議，這次攻擊也使得DeFi開發者嚴肅正視DeFi業務組合可能存在的系統性風險問題。因DeFi協議之間的可組合性和互操作性，使得各DeFi協議之間的相互影響逐漸加深、也更為復雜：就算單個協議運行起來是安全的，不代表這些安全的協議組合在一起使用也是安全的。所以，開發者們不可以只追求DeFi樂高的“龐大”，更應該在系統的兼容性和安全性方面多做努力，畢竟對于金融產品來說，「安全」才是重中之重。追責不是目的，而是希望找出問題所在后，不再被類似的問題打倒。世界不是非黑即白的，DeFi本來就處于半中心化治理階段

Salto X完成520萬歐元種子輪融資，ByFounders和Blockwall領投:金色財經消息，Salto X完成520萬歐元種子輪融資，ByFounders和Blockwall領投，加密金融技術公司3Commas以及Liu Jiang（紅杉資本 前GP）和Alex Gluchkowski（ZkSync的創始人）等天使投資人也加入了這一輪融資。

Salto X是一家泛歐創業公司，通過連接Web2和Web3世界，重新構想歐洲的股票期權。本輪融資資金將用于向希望保留和招聘高質量人才的公司介紹其激勵代幣計劃。[2022/7/10 2:03:26]

4月21日，Lendf.Me被盜的劇情開始出現“神反轉”，許多圍觀者都感嘆這情節如同電影。根據etherscan鏈上數據，從4月21日6:00UTC開始，黑客從標有“Lendf.MeHack”的地址到Lendf.Me項目的管理地址發起了多次交易，包括57992枚ETH，以及USDT、BUSD、TUSD等穩定幣，此外，還歸還了581枚WBTC、HBTC和imBTC，合計2400萬美元。

圖片來源于：etherscan根據1inchCEOSergejKunz向媒體透露，黑客因為使用了基于Web的內容分發網絡，所以才泄漏了關于他本人的重要元數據頭部信息，而且所有三個交易請求都來自一個中國的IP地址，這表明黑客沒有使用Tor之類的去中心化網絡。此外，信息中還有黑客使用的電腦類型、屏幕分辨率和系統語言等內容。

RPG鏈游Crypto Raiders獲得600萬美元融資:金色財經報道，Polygon鏈上RPG鏈游Crypto Raiders周三宣布獲得600萬美元的融資，該輪融資由加密貨幣投資公司DeFiance Capital和研究公司Delphi Digital領投，GuildFi、Merit Circle和Yield Guild Games參投。

這筆資金將幫助該公司積極擴大團隊規模，目前有超過20人，并投資于NFT。（coindesk）[2022/3/30 14:27:25]

SergejKunz評價這個黑客，“他應該是一名優秀的程序員，但卻是沒有經驗的黑客。”因此，雖然官方沒有公布細節，從已知信息，也可以推斷出，和dForce團隊掌握了黑客信息，從而迫使黑客退還資產。無論過程如何，被盜資產成功追回本對于dForce和用戶都是難得的happyending，但是1inch配合新加坡協助dForce團隊追回被盜資，披露黑客的IP地址，卻引發了社區對DeFi“保護用戶隱私”和“純粹去中心化”的討論。去中心化的DeFi借貸平臺依靠中心化的執法機關將被盜資產追回，支持者認為披露黑客的IP地址天經地義，無可厚非，雖然具有抗審查性，但DeFi畢竟不是法外之地。反對者認為1inch作為去中心化交易平臺有悖于DeFi“保護用戶隱私”的初衷。

去中心化交易所ParaSwap在Telegram的DeFi群中向用戶表明不會披露任何用戶的信息，即使用戶是黑客。1inch也迅速做出了解釋：「去中心化和隱私沒有關系」，1inch在監管合規范圍內辦事，并且1inch網站披露了自己的隱私政策：

BG Group千萬美金收購Bitkeep CTO Yan Yun團隊留任:據官方消息，BG Group已于近日完成對去中心化多鏈錢包Bitkeep的全資收購，本次交易金額近千萬美金，CTO Yan Yun團隊留任。Bitkeep錢包將并入BG Group，團隊仍保持獨立運營并擁有對核心產品的自主開發權。Bitkeep在去年的DeFi熱潮中DAU曾突破4萬+。

本次收購完成后Bitkeep也迎來全球CEO Alex Shek。Alex Shek曾就職于中幣、BW擔任COO及co-founder，于倫敦證券交易所LSE旗下Crypto Exchange任Pacific-Asia VP , 并曾在阿里集團任職資深運營專家。Alex Shek的加入將助力Bitkeep全球版圖擴張，打造下一代聚合金融平臺。[2021/4/14 20:18:42]

ParaSwap雖然拒絕了向dForce披露黑客IP地址的請求，但根據TheBlock的報道，ParaSwap自己的產品也在收集用戶郵箱和IP地址，而且ParaSwap官網也沒有任何隱私政策的說明。還有一些反對者認為此舉違背了DeFi“去中心化”的原教旨主義。他們認為真正的DeFi，向黑客發起追討或者法律訴訟的應該是DeFi用戶，而不是開發者；而Lendf.Me開發者團隊在以公司主體的名義通過法律途徑追回資產，說明這家公司在承擔代理風險。他們潛意識里認為DeFi的存在就是為了消除代理風險，如果有一家公司在承擔DeFi協議的代理風險的話，那這個DeFi就和CeFi沒什么區別了。

霍比特平臺通證HBC流動性挖礦上線Plouto 1小時充值金額近600萬USDT:據官方消息，去中心化資管協議Plouto.finance 今日18:00正式開啟HBC流動挖礦，上線1小時HBC充值數量超220萬枚，鎖定資產價值近600萬USDT。Plouto自9月26日21:00開啟流動性挖礦以來，目前鎖定資產超1300萬USDT，其在Balancer上流動性礦池達20萬USDT。

Plouto.finance是一個去中心化資產管理協議，在行業首次提出了開放金庫的概念，支持主流穩定幣及Uniswap LP抵押挖礦，其治理代幣PLU完全實行“三無”的無預挖，無私募，無分配方案，目前Plouto合約代碼已通過鏈安科技的安全審計。

HBC是霍比特HBTC推出的全新通證模型的平臺幣。霍比特HBTC創新地推出了10倍PE定價回購模型和霍比特隊長激勵模型，此外還開設了DeFi專區，并設立DeFi專項基金，助力DeFi生態發展，推進DeFi在全球范圍內布局與落地。[2020/10/10]

其實，在Odaily星球日報看來，這些討論多為偏頗和“站著說話不腰疼”。借助中心化執法機構的力量找回被盜資產是年輕DeFi必須走的路，沒必要上升到“去中心化的和中心化”的矛盾層面。而且，“世界很復雜”，不只有白或黑，也不只有明或暗，他是多維度、多層次、多元的，真實的世界沒有這么二元。今天我們的所有生活和資產并不都在鏈上，追責更是都發生在線下，智能合約的世界是一個尚不完整的世界，也絕對不是法外之地。同時，區塊鏈追求的本來就是保護個人隱私，而非實現絕對匿名。DeFi的世界也并不是只有代碼，事實上，從剛過去不久的那場“3.12暴跌”事件中，我們也能感受到去中心化的DeFi加入中心化人為調控之后，能夠更大程度減少極端行情給用戶帶來的資產損失，去中心化合約交易協議dYdX兩次調高最小交易量，合成資產交易平臺Synthetix臨時將費用追償延長到了一小時，這些都有效地緩解了交易的延遲和阻塞情況，避免了給用戶帶來資產上的損失。1inch協助同樣可被理解為一次宏觀的人為調控。無論是對開發者還是平臺用戶來說，黑客盜幣帶來的損失可謂是”滅頂之災“，如果開發者團隊不及時與inch和溝通配合，用戶的資產根本不可能找回，資產都沒了，又何談金融呢？代碼是死的，人是活的。年輕的DeFi加入人為調控以應對極端情況無可厚非。而且嚴格意義上來說，如今的DeFi產品實際上本來就處于混合模式，資產上鏈層面是中心化，而在可編程性是去中心化，治理上是半中心化的。因此，Odaily星球日報想說：今天的DeFi本來就處于半中心化的治理+去中心化的協議的階段，很多DeFi原教旨主義者以去中心化意識形態一概而論，以偏概全，其實缺乏DeFi在應用層面的思考。創業者的實踐總是一步一步的，說風涼話并不能推動行業發展。為DeFi行業敲響警鐘：全面評估和抵御系統性風險

雖然這次Lendf.Me被盜事件以追回全部資產收尾，但客觀地說，從黑客“留下尾巴”一路找到線索，還是有一定“僥幸”因素的。所以更重要的自然是，“這一次”過去了，如何預防“下一次”。DeFi開發者和從業者必須認真思考DeFi業務組合可能存在的系統性風險問題。DeFi是由一個個相關的協議和應用模塊所組成的“積木組合”，其整體的安全性，取決于所有的積木中安全性最差的那一個。幣乎創始人咕嚕根據應用/協議/資產級別的安全性，將DeFi產品風險分為以下方面：智能合約代碼安全性引入的風險：咕嚕認為這是目前DeFi應用最主要的風險，占了總風險的大多數。智能合約AdminKey引入的運營風險：什么是智能合約的AdminKey？智能合約作為一個提供服務的「機器人」，很多時候運營方需要留有人工的權限去控制這個「機器人」，例如關停「機器人」，再例如凍結智能合約中某個賬戶的資產等。如果存在這樣的AdminKey人工權限，就會引入額外的風險。持有特定資產本身的風險：持有的資產本身具有價格波動的市場風險、資產被Token合約本身的AdminKey凍結/沒收的風險等。抵押借貸類DeFi本身的市場風險。智能合約平臺的風險。用戶自身私鑰管理的風險。對于以上這些風險，DeFi平臺方不僅要確保在產品上線前有過硬的代碼審計和漏洞排查，還要在不同產品做業務組合時，考慮因各自不同業務邏輯而潛在的系統性風控問題。另外在應對風險時，DeFi平臺應和安全公司及時合作，做好代碼和系統風險的安全審計工作，因為Lendf.Me的代碼是fork的CompoundV1的，而CompoundV1是trailofbits這家公司審計的，所以后來就沒有再找安全公司去做審計，這就為后面遭遇黑客攻擊埋了隱形炸彈。dForce團隊也認識到了問題的嚴重性，在最新發布的公告中宣布永久關閉現有合約，新產品將推出新合約。

其實在事件發生和解決后，用戶和dForce社區都給予了團隊很大的精神支持，許多損失慘重的用戶依舊表明了“被盜事件不會擊潰DeFi，相信dForce團隊”的立場，足可以看出行業對優質創業團隊的包容和友好。但更重要的是，這次事件能夠引起DeFi開發者們的足夠重視，加大在安全方面的投入，安全團隊也應該增強對DeFi產品審計的多樣性和全面性，也可以研發更多供C端用戶使用的可以評估DeFi安全性的工具和產品，讓DeFi成為所有人都能放心使用的金融工具。安全永遠既是行業的底線，也是至高無上的準則。

Tags：EFIDEFDEFIENDOneFinBank CoinDefilancer tokenWorld of DefishTENDIE

FTT