DEF:DeFi 頻遭攻擊 真的足夠「去中心化」嗎？_Yearn Finance Bit2

DeFi——去中心化金融，不同于過去中心化的傳統金融需要許多中介機構如銀行、證券交易所的參與，DeFi利用了區塊鏈的技術，逐漸發展出有別于傳統金融的金融商品，瘋狂受到追捧。根據DeFiPulse的數據，DeFi鎖倉量已飆升了200%以上，從2021年1月份的$320億到12月份的$980億。DeFi作為去中心化世界的明星產物，憑其去中心化、不可篡改、無需信任、開放透明可組合等特性為用戶打開了開放式金融的大門。

不過，DeFi真的足夠「去中心化」嗎？

從協議層面以及交互方式來看，DeFi的確足夠去中心化。但從一些攻擊事件上看，DeFi似乎顯得不那么去中心化。

2021年7月14日，波卡數字收藏品市場平臺BondlyFinance遭到攻擊，導致373,088,023美元的BONDLY代幣從BondlyStakingRewards合約中轉出，據官方調查，攻擊者通過精心策劃獲得了屬于Bondly首席執行官BrandonSmith的密碼帳戶的訪問權限。密碼帳戶包含Smith的硬件錢包的助記符恢復短語，復制后允許攻擊者訪問BONDLY智能合約，以及被泄露的公司錢包。

Layer2 DAO基礎協議Metis與OpenDeFi達成戰略合作伙伴關系:官方消息，美東時間6月4日，Layer 2 基礎協議Metis宣布與去中心化金融項目 OpenDeFi 達成戰略合作伙伴關系，并將合力推動 DeFi 生態系統的技術完善， Metis Rollup 將為DeFi項目提供高性能和低gas費。

OpenDeFi提供 100% 資產支持的銀行業務，而沒有傳統銀行帶來的風險、隱性收費和低效率。

Metis將幫助 OpenDeFi 資產的可用性從Web2.0擴展到Web3.0上，并為OpenDefi提供易于使用、高擴展性、低成本、全功能的Layer2框架。[2021/6/4 23:11:42]

有趣的是，該黑客似乎在四個月后又以相似的方式攻擊了另一個DeFi項目。

Indexed Finance：將NCH、LRC和SUSHI添加至CC10和DeFi5候選池的提案已通過:Indexed Finance在推特上表示，有關將INCH、LRC和SUSHI添加到CC10和DeFi5候選池提案的投票已達到法定人數。這意味著，一旦這些代幣完全稀釋的市值超過指標（indice）中當前任何代幣的市值，它們就有資格進入這些指標。這個過程（稱為重新索引）將在滿足所有條件后每個月在鏈上自動進行一次。注：Indexed Finance是專注于以太坊被動投資組合管理的去中心化協議。[2021/2/10 19:24:42]

2021年11月5日，DeFi協議bZx發推稱控制Polygon和BSC部署的私鑰已被泄露，導致資金損失。據官方調查，黑客使用的錢包之一參與了BondlyFinance的攻擊。同時，本次漏洞利用與BondlyFinance的非常相似：黑客獲得了開發人員的密碼，然后從協議中操縱了一個智能合約。不久，bZx在更新的事故報告表示：“我們聘請了一家名叫Kaspersky的安全公司，該安全公司調查后認為這次攻擊很可能是由朝鮮黑客組織Lazarus執行的。”據慢霧AML旗下反洗錢追蹤系統MistTrack?分析，攻擊者初始資金來自Tornado.Cash轉入的0.9ETH，接著攻擊者一番操作將被盜資金分散到多個地址。然后攻擊者將多種代幣換為ETH，最后通過Tornado.Cash轉出10960ETH，以太坊部分的洗幣基本完成。

伏泰昊：JUST主動思考如何在波場上建立完善的DeFi體系:據最新消息顯示，波場大航海時代4.0全球線上發布會正在進行中，JUST項目負責人伏泰昊在發布會中表示：“JUST旨在打造基于波場TRON的穩定幣借貸平臺，一個好的金融產品離不開下面應用層的穩定輸入與輸出，會有多個協議與應用的交叉集合，長期來看，JST代幣作為整個治理體系的代幣，我們會提供多種底層借貸協議和報價協議等，為用戶提供全面的金融服務。作為DeFi明星項目，JUST不僅致力于開拓波場的穩定幣市場，也在主動思考如何在波場上建立完善的DeFi體系。”[2020/7/7]

媒體：韓國監管機構或禁止DeFi平臺:韓國金融監管機構正在嘗試微調《在線投資關聯金融法》（Online Investment-Linked Finance Act），又稱“P2P法案”，預計將會在2020年第三季度通過。如果一切順利的話，意味著從今年八月開始韓國將無法使用加密貨幣作為貸款和投資產品進行抵押。目前尚不清楚該法案將如何應用到DeFi平臺，但按照當前版本來看，將會禁止DeFi平臺在韓國運營。韓國金融服務委員會（FSC）表示，韓國禁止使用加密資產和衍生品作為抵押品關聯投資產品，因為這會使投資者難以理解風險。新法案是否會影響韓國本地人使用MakerDAO、BlockFi和Dharma等還過DeFi平臺，還有待觀察。（decrypt）[2020/4/1]

以上兩個事例都是無關合約問題，而是開發人員遭到釣魚攻擊致私鑰泄露從而影響用戶資金。回顧近期，私鑰泄露似乎變得非常熱門：Levyathan損失150萬美元、8ightFinance損失175萬美元、VulcanForged損失1.4億美元……我們不禁想，這是不是表示著線下實體實際掌管著控制權呢？

除了釣魚攻擊，前端攻擊也是引發DeFi安全問題的高危據點。

2021年12月2日，據官方Discord消息，去中心化組織BadgerDAO遭遇黑客攻擊，用戶資產在未經授權的情況下被轉移。12月9日，Badger?發布了詳細的事故報告，報告稱此次事件是CloudflareWorkers上的惡意注入代碼片段導致的。CloudflareWorkers是一個運行腳本的界面，這些腳本在流經Cloudflare代理時對Web流量進行操作和更改。攻擊者在Badger工程師不知情或未授權的情況下獲取了項目方在Cloudflare后臺的APIKey，以此在網站的前端代碼里面注入一系列的惡意代碼。當用戶訪問前端網站時，觸發惡意代碼后會發起交易讓用戶去確認。用戶確認了那筆惡意交易，就會將代幣授權給攻擊者，然后攻擊者就可以在用戶不知情的情況下將代幣轉走。據慢霧AML旗下反洗錢追蹤系統MistTrack分析，黑客將部分獲利的加密貨幣換成renBTC，并通過renBTC將約2100BTC跨鏈轉移到14個BTC地址，目前暫無異動。

在DeFi世界，合約一旦部署不可篡改不可撤回，理論上來說是不會受到人為的干預，這點確保了其去中心化的特點，但目前絕大多數前端仍是通過傳統架構實現，雖然網頁自身也在不斷在進化和發展，但是仍存在很多潛在的威脅，同時針對前端的攻擊往往容易被開發者忽視，這些錯誤因素使得攻擊者飽餐了一頓又一頓。

2021年9月17日，SushiswapCTO在推特上表示，SushiswapIDO平臺Miso的前端遭受攻擊。承包商的一名匿名員工將惡意代碼注入Miso前端，把拍賣錢包地址替換成了自己的錢包地址，導致864.8ETH被盜。

當前端問題開始影響資金的安全性，作為用戶不得不深思如何才能做到安全地參與DeFi項目，簡直如履薄冰。

總結

不管怎樣，“DeFi是否完全去中心化”這個問題也許會一直存在。與其說去中心化是DeFi最大的特性，不如說是DeFi世界的終極目標。而不論是作為用戶、審計機構還是作為項目方，我們經歷過如此多的DeFi安全事件后，是否仍然只將注意力聚焦到智能合約上呢？答案不言而喻。

參與DeFi項目本質上是把手中的資產轉移或授權給DeFi項目方，存在個人極大程度上不可控的安全風險。那我們普通用戶能做什么？慢霧為您準備了一份“DeFi資產安全解決方案”，點擊原文即可查閱。

Tags：DEFEFIDEFINCEDeFiStarterYEFIkingdefi幣歸零Yearn Finance Bit2

FTT