4 月 19 日,dForce 的去中心化借贷协议 Lendf.Me 遭到黑客攻击,价值约两千五百万美金的加密数字资产被黑客盗走;当晚,黑客向 Lendf.Me 账户归还了 12614 枚 PAX,并附言 Better Future;4 月 20 日,黑客再次陆续归还代币,最终悉数归还了全部被盗资产。由于资产已被追回,dForce 团队向警方提交撤案请求。

DeFi 最大黑客事件的背后:资产安全与用户隐私的平衡 | 链节点 AMA

这是 DeFi 有史以来最大一次黑客事件。虽然被盗资产失而复得,这期事件本身依旧值得大家思考。用户在选择 DeFi 产品时,是否默认已完全信任代码,并自愿承担风险? 披露黑客 IP 是否违背去中心化的保护隐私的原则?中国技术团队什么时候才能投入更多研发精力,不再过度依赖国外开源代码?DeFi 毫无疑问是未来的创新,但如何协议组合风险任重道远。4 月 30 日上午,Tokenlon 业务负责人 Lucas、成都链安科技创始人 &CEO 杨霞、Trail of Bits CEO 以及联合创始人 Dan Guido 做客链节点 AMA,就主持人牛头大哥整理的话题与社区用户一同展开了关于 DeFi 资产安全相关的讨论。

DeFi 最大黑客事件的背后:资产安全与用户隐私的平衡 | 链节点 AMA

Dan:实际上,如今真正去中心化的 DeFi 项目很少,我认为这是一件好事

DeFi 即去中心化金融 (Decentralized Finance) ,也称为开放式金融,是近两年来区块链生态圈热门的领域之一。杨霞在讨论中提到,DeFi 试图用区块链技术来解决传统、中心化金融存在的天然短板,比如:审查流程繁琐、缺乏透明性、金融体制不平等、和潜在的交易风险等。而在 DeFi 上也容易产生一些安全漏洞——DeFi 应用程序依赖复杂的数学,最严重的问题其实都与算数有有关。例如,许多 DeFi 应用程序都会不适当地舍入数值。对此,Dan 表示建议使用诸如安全属性测试仪 Echidna 和符号验证程序 Manticore 之类的工具进行检查。

回到文章开头提到的 dForce 黑客事件,一个 DeFi 项目最终靠着中心化的力量追回资产,保护隐私和保护用户如何做到平衡也成为本次讨论的热门话题,关于这一点,Dan 提出:

实际上,如今真正去中心化的 DeFi 项目很少,我认为这是一件好事。 DeFi 应用程序使用不成熟的工具构建在未经验证的新技术上,因此他们必须计划应对一路上遇到问题。这种中心化使他们能够响应事件并在应用程序出现故障或被黑客入侵时对其进行纠正。项目所有者有责任正确保护自己对 DeFi 应用程序的访问权限,并向用户披露他们拥有的访问级别。如果源代码可用,则 Slither 之类的工具可以验证它们可以执行哪些操作。 创建更强大的去中心化系统的研究将继续进行,DeFi 项目应在可用并经过验证的情况下采用这些新技术。这需要时间。
V 神曾表示 DeFi 产品有越来越复杂的趋势,呼吁大家做简单并且稳定运行的东西,Dan 在讨论中对于这点表示认同,关于 DeFi 协议之间的可组合性使其复杂性超越了成熟度的观点,Dan 补充道:DeFi 应用程序的紧急行为很难建模,当今最好的解决方案是仅将你信任的内容列入白名单,以限制你接触未知的第三方合约。重要的是,项目应采取细微且经过仔细衡量的步骤来构建新技术。

DeFi 最大黑客事件的背后:资产安全与用户隐私的平衡 | 链节点 AMA

CeFi 和 DeFi ?应当是「合作」,而非「合并」

关于 DeFi vs CeFi 的辩论似乎从未停止。如上文提到的,目前真正去中心化的 DeFi 项目其实很少,而去中心化其实是一个循序渐进的过程,目前 DeFi 的在去中心化进程正处于青黄相接的阶段,但这并不意味着所有的 CeFi 都在朝着一样的方向转化,两者其实是依赖共存的“合作”状态,关于这一点 Lucas 表示:

项目在发展的过程中,不同阶段也会有不同的去中心化节奏。比如在产品技术上,早期往往是核心团队进行开发,快速试错寻找 product/market fit;增长期核心团队则会开始邀请社区开发者参与开发,后期核心团队则会逐步退出主导地位,完全交由社区进行迭代。 对于 CeFi 和 DeFi 的关系,我更倾向于说「合作」,而非「合并」,相信 CeFi 和 DeFi 会是行业中越来越互相依赖的组成部分。而且两者都有各自的优势和劣势,能够为市场提供差异化的服务。

朝着去中心化的方向,DeFi 的发展仍是任重而道远的。那么在目前的阶段,如何选择靠谱的审计团队,Dan 给出了一些参考维度:
1. 他们是否有相关的安全经验?2. 他们在你的领域发表过原创研究吗? 3. 他们会和你分享他们的工具吗? 4. 你将得到什么样的结果?5. 他们能否解决与被调查产品相邻区域的风险?

与一个合格的安全团队进行一次大型审查比两次小型审查更有价值。这样可以获得更具战略性的结果,更好地集成自动化测试和验证工具,并有机会发现只有拥有专业领域知识的团队才能发现的更严重的错误漏洞。

DeFi 最大黑客事件的背后:资产安全与用户隐私的平衡 | 链节点 AMA

dForce 的黑客事件作为这条路上一次插曲再一次将 DeFi 推上话题热点。实际上自 19 年年初就有一些 DeFi 安全事件冒头,包括 Nuo、MakerDAO、Synthetix、Edgeware、0x、AirSwap 等很多项目都存在合约或 Oracle 的问题,但好在并没有造成直接的安全损失。问题的存在是困难喝挑战,但也反映出了 DeFi 的迅猛发展,以至于组合过程中潜在的安全问题被提前激活了——而这也正是 DeFi 未来发展的机遇和挑战。

希望 DeFi 从业者能够吸取教训,敬畏创新,脚踏实地,不要冒进,越来越好。

以上就是本次 AMA 的内容整理。