DeFi 協議是我們飛向自由空間的飛船組件,DeFi 協議開發者們擔當的是飛船工程師角色,而 DeFi 的複雜性已經超過了 DeFi 的成熟度。

原文標題:《DeFi Review:休斯頓,我們有麻煩了》
撰文:曹寅,數字文藝復興基金會董事總經理

如果未來,全人類有機會使用各種自由開放的 DeFi 服務的時候,應該感謝在過去歷次黑客攻擊事件中受損的 DeFi 用戶,以及各位孜孜不倦,不忘初心的 DeFi 開發者們,這段激動人心的旅程永遠肇始於這些探險者和建造者們踏出的第一步,向他們致敬。謹以此文向各位 DeFi 用戶致敬。

Huston,We Have a Problem

1970 年 4 月 13 日 21 時 7 分,在前往月球的阿波羅 13 號發射 55 小時 52 分之後,位於休斯頓的地面控制中心向已經進入太空的飛船傳遞了打開風扇、攪動低溫氧氣箱的指令。

於是,阿波羅十三號的宇航員在飛船發射後的 55 小時 53 分 20 秒打開了低溫氧氣箱的風扇。

但只過了 2.7 秒,飛船就發生了猛烈爆炸。

阿波羅 13 號上的三個宇航員當時就懵了。宇航員斯威格特馬上向地面指揮中心報告並說出了那句被無數人借用的著名臺詞:

休斯頓,我們有麻煩了。 (Huston,we have a problem.)

曹寅:Lendf 事件如同阿波羅 13 號,向 DeFi 探險者致敬

DeFi 的休斯頓時刻

在阿波羅 13 號爆炸 50 年之後的今天,人類向數字空間的探索也到了休斯頓時刻。東半球最重要的 DeFi 借貸協議 Lendf.Me 今日遭受嚴重攻擊。

黑客攻擊利用了 ERC777 標準的 imBTC 在 Lendf.ME 協議組合產生的漏洞。

imBTC 是 imToken 推出的以太坊區塊鏈上的 BTC 代幣,ERC777 是在 ERC20 基礎上推出的代幣標準,兼容 ERC20,並在 ERC20 的基礎上增加了一些新的特性。

imBTC 本身並沒有安全問題。但 ERC-777 代幣與 Lendf.Me 合約組合,就會產生重入攻擊漏洞。

黑客利用漏洞,在 Lendf 上重複鑄造出了 6700 多枚假的 imBTC,並以此爲抵押,將 Lendf.Me 上的資產洗劫一空,並立即不斷通過 1inch.exchange、ParaSwap、Tokenlon 等 DEX 平臺將盜取的幣兌換成 ETH 及其他代幣,還將其餘部分贓款轉入了借貸平臺 Compound 和 Aave。

曹寅:Lendf 事件如同阿波羅 13 號,向 DeFi 探險者致敬Lendf 的借貸餘額中出現 6732.91 枚虛假 imBTC

據安全審計企業慢霧科技初步統計分析,Lendf.Me 被攻擊累計的損失約 24,696,616 美元,具體盜取的幣種及數額爲:

WETH: 55159.02134,
WBTC: 9.01152,
CHAI: 77930.93433,
HBTC: 320.27714,
HUSD: 432162.90569,
BUSD: 480787.88767,
PAX: 587014.60367,
TUSD: 459794.38763,
USDC: 698916.40348,
USDT: 7180525.08156,
USDx: 510868.16067,
imBTC: 291.3471

被攻擊後,Lendf 鎖倉資產美元價值瞬間下跌 100% 至 6 美元,而此前的鎖倉總價值超過 2490 萬美元。此次攻擊不僅造成了大量用戶損失(包括我在內),更是嚴重打擊了 DeFi 開發者和用戶對於 DeFi 應用的信心。

攻擊發生後,全球加密社區內充斥着恐慌和憤怒,而一些本來就因爲各種原因對 DeFi 有所偏見的人更是趁機落井下石,其中不乏一些根本對 DeFi 不瞭解的狹隘人士。

Lendf 的事故有其自身在責任原因,在調查結果出來之前,我無意在此展開,但 DeFi 本身的發展階段性問題是更關鍵的事故原因,我們必須認識到:DeFi 的複雜性已經超過了 DeFi 的成熟度。

自從去年上半年 DeFi 大爆炸以來,DeFi 世界的新資產和新協議如雨後春筍一樣冒出來,我每天都通過 Twitter 和媒體監測最新出現的 DeFi 應用。最近三個月來,我看到 DeFi 新應用和新資產正以至少每天兩三個的速度湧現,而 DeFi 協議之間的可組合性,使得 DeFi 的複雜性更是呈現指數級別增長,協議互相之間的影響已經超越了單純的樂高積木組合方式。

擴展閱讀 曹寅:DeFi 將超越樂高時代,進入「湧現」時代

但與此同時,全球 DeFi 團隊和用戶對於協議和操作安全的認識,還仍然以樂高積木的線性方式增長,所以,我們最近纔會看到越來越多的安全事故,包括但不限於 bzx 的閃電攻擊,MakerDAO 0DAI 拍賣。

而 Uniswap 和 Lendf 的 imBTC 重入攻擊,則僅僅是這種成熟度和複雜度增長曲線不匹配現象的又一必然結果,就如同當年阿波羅 13 號的事故。

據 NASA 的調查團隊事後發現,阿波羅 13 號發射前,指令艙進行過多項改進,其中之一是將氧氣箱中的加熱器電壓由 28 伏提高到 65 伏,但加熱器上的熱穩定開關沒有進行相應的修改,電壓仍然是 28 伏。當工作後,熱穩定開關就融化了,於是,悲劇就發生了。

這和 Lendf 的 imBTC 重入攻擊多麼的相似啊!都是由於新的系統組成部分同舊系統之間的不兼容而導致的災難,Lendf 根據開源的 Compound 協議開發,當初開發者並沒有意識到 ERC777 的出現,接入 ERC777 格式的 imBTC 的結果就像阿波羅 13 號的氧氣箱一樣發生了爆炸,但獨立的來看,imBTC 和 Lendf 的代碼,阿波羅 13 號的氧氣箱和加熱器開關都沒有問題。

阿波羅 13 號發射的時期,正是人類太空技術大躍進的時代,在依賴極度原始計算機設備甚至人工手算的年代,美國人傾盡國力,耗費上萬億美元,開發了上萬種航天設備和系統,並將其組合成阿波羅系列飛船以及承載飛船的土星五號火箭,以當時的技術水平,阿波羅計劃不可不謂之奇蹟。

但即使強大如美國,阿波羅計劃也難以避免複雜度指數曲線和成熟度線性曲線之間不匹配而導致的災難性結果,以社區開發力量爲主的 DeFi 又怎麼可能避免必經的發展階段挑戰?

擴展閱讀 曹寅:DeFi 繁榮生態背後的隱患與 2020 展望

向探險者致敬

我們不應爲 Lendf 或者 Maker 的事故而對 DeFi 失去信心,阿波羅 13 號的失敗之後,NASA 並沒有取消阿波羅計劃,美國人也沒有因此停下對太空探索的步伐,深刻反思之後,NASA 又發射進行了多次成功的阿波羅任務,之後還建造發射了更偉大的國際空間站。

區塊鏈和 DeFi 對於人類的意義並不亞於太空探索。太空探索是生產力的革命,讓我們可以離開地球,飛向太空,而區塊鏈和 DeFi 則是生產關係的革命,讓我們可以擺脫中心化的束縛,掌握自己的數據和財富主權。

DeFi 協議就是我們飛向自由空間的飛船組件,DeFi 協議開發者們擔當的是飛船工程師角色,而最重要的宇航員,則由 DeFi 用戶們擔任。所有參與者,無論開發者還是用戶都扮演了偉大的角色,無論結果,都值得尊敬。

在尊敬之餘,我們現在必須立刻意識到,DeFi 的發展已經進入了危險區域,開發者們應該放下各種門戶之見和利益立場,攜手合作,設計打造出更安全的 DeFi 飛船,爲飛船上的用戶負責。

在這次 Lendf 攻擊事件發生後,很多 DeFi 開發者和交易所都主動出手幫助 Lendf,但某些 Lendf 的競爭對手項目方不僅不願提供幫助,還第一時間發推諷刺 Lendf。

當年阿波羅十三號發生事故後,整個美國都在想辦法幫助三名宇航員,連美國的敵人,蘇聯,也主動向美國提供幫助。同蘇聯相比,Lendf 競爭對手這種行爲不僅刻薄,而且不智,現在的 DeFi 探索已經進入了深水區,全球所有項目方,無論是否有競爭關係,其實都是在一艘飛船上,即使不出手幫助,也不應該出言諷刺,最後傷害的是所有用戶對於 DeFi 的信心。

沒使用過 DeFi 的旁觀者也不必因爲頻發的黑客攻擊,而對 DeFi 開發者和用戶冷嘲熱諷。如果沒有 DeFi 開發者和用戶的努力和犧牲,何來安全高效的開放金融應用?更何況,現在的 DeFi 用戶很多本身都是 DeFi 開發者,工程師們自己也坐在飛船上。

如果未來我們的後代到達比月球遠得多的地方時,他們會想起阿波羅十三號的三名宇航員:詹姆斯-A-洛威爾、傑克-斯威格特和弗雷德-海斯,以及挑戰者號和哥倫比亞號航天飛機上犧牲的宇航員。

如果未來,包括南美,印度,非洲在內的全人類,有機會使用各種自由開放的 DeFi 服務的時候,也應該感謝在過去歷次黑客攻擊事件中受損的 DeFi 用戶,以及各位孜孜不倦,不忘初心的 DeFi 開發者們,這段激動人心的旅程永遠肇始於這些探險者和建造者們踏出的第一步,向他們致敬,Huston, we solved the problem。

擴展閱讀 曹寅:疫情下經濟危機或是 DeFi 崛起的重要契機