『巴比特』DeFi最大黑客事件的背后:资产安全与用户隐私的平衡

【『巴比特』DeFi最大黑客事件的背后:资产安全与用户隐私的平衡】4月19日 , dForce的去中心化借贷协议Lendf.Me遭到黑客攻击 , 价值约两千五百万美金的加密数字资产被黑客盗走;当晚 , 黑客向Lendf.Me账户归还了12614枚PAX , 并附言BetterFuture;4月20日 , 黑客再次陆续归还代币 , 最终悉数归还了全部被盗资产 。 由于资产已被追回 , dForce团队向警方提交撤案请求 。
『巴比特』DeFi最大黑客事件的背后:资产安全与用户隐私的平衡
文章图片
这是DeFi有史以来最大一次黑客事件 。 虽然被盗资产失而复得 , 这期事件本身依旧值得大家思考 。 用户在选择DeFi产品时 , 是否默认已完全信任代码 , 并自愿承担风险?披露黑客IP是否违背去中心化的保护隐私的原则?中国技术团队什么时候才能投入更多研发精力 , 不再过度依赖国外开源代码?DeFi毫无疑问是未来的创新 , 但如何协议组合风险任重道远 。 4月30日上午 , Tokenlon业务负责人Lucas、成都链安科技创始人&CEO杨霞、TrailofBitsCEO以及联合创始人DanGuido做客链节点AMA , 就主持人牛头大哥整理的话题与社区用户一同展开了关于DeFi资产安全相关的讨论 。
『巴比特』DeFi最大黑客事件的背后:资产安全与用户隐私的平衡
文章图片
DeFi即去中心化金融(DecentralizedFinance) , 也称为开放式金融 , 是近两年来区块链生态圈热门的领域之一 。 杨霞在讨论中提到 , DeFi试图用区块链技术来解决传统、中心化金融存在的天然短板 , 比如:审查流程繁琐、缺乏透明性、金融体制不平等、和潜在的交易风险等 。 而在DeFi上也容易产生一些安全漏洞——DeFi应用程序依赖复杂的数学 , 最严重的问题其实都与算数有有关 。 例如 , 许多DeFi应用程序都会不适当地舍入数值 。 对此 , Dan表示建议使用诸如安全属性测试仪Echidna和符号验证程序Manticore之类的工具进行检查 。
回到文章开头提到的dForce黑客事件 , 一个DeFi项目最终靠着中心化的力量追回资产 , 保护隐私和保护用户如何做到平衡也成为本次讨论的热门话题 , 关于这一点 , Dan提出:
实际上 , 如今真正去中心化的DeFi项目很少 , 我认为这是一件好事 。 DeFi应用程序使用不成熟的工具构建在未经验证的新技术上 , 因此他们必须计划应对一路上遇到问题 。 这种中心化使他们能够响应事件并在应用程序出现故障或被黑客入侵时对其进行纠正 。 项目所有者有责任正确保护自己对DeFi应用程序的访问权限 , 并向用户披露他们拥有的访问级别 。 如果源代码可用 , 则Slither之类的工具可以验证它们可以执行哪些操作 。 创建更强大的去中心化系统的研究将继续进行 , DeFi项目应在可用并经过验证的情况下采用这些新技术 。 这需要时间 。V神曾表示DeFi产品有越来越复杂的趋势 , 呼吁大家做简单并且稳定运行的东西 , Dan在讨论中对于这点表示认同 , 关于DeFi协议之间的可组合性使其复杂性超越了成熟度的观点 , Dan补充道:DeFi应用程序的紧急行为很难建模 , 当今最好的解决方案是仅将你信任的内容列入白名单 , 以限制你接触未知的第三方合约 。 重要的是 , 项目应采取细微且经过仔细衡量的步骤来构建新技术 。
『巴比特』DeFi最大黑客事件的背后:资产安全与用户隐私的平衡
文章图片
CeFi和DeFi?应当是「合作」 , 而非「合并」关于DeFivsCeFi的辩论似乎从未停止 。 如上文提到的 , 目前真正去中心化的DeFi项目其实很少 , 而去中心化其实是一个循序渐进的过程 , 目前DeFi的在去中心化进程正处于青黄相接的阶段 , 但这并不意味着所有的CeFi都在朝着一样的方向转化 , 两者其实是依赖共存的“合作”状态 , 关于这一点Lucas表示:
项目在发展的过程中 , 不同阶段也会有不同的去中心化节奏 。 比如在产品技术上 , 早期往往是核心团队进行开发 , 快速试错寻找product/marketfit;增长期核心团队则会开始邀请社区开发者参与开发 , 后期核心团队则会逐步退出主导地位 , 完全交由社区进行迭代 。 对于CeFi和DeFi的关系 , 我更倾向于说「合作」 , 而非「合并」 , 相信CeFi和DeFi会是行业中越来越互相依赖的组成部分 。 而且两者都有各自的优势和劣势 , 能够为市场提供差异化的服务 。朝着去中心化的方向 , DeFi的发展仍是任重而道远的 。 那么在目前的阶段 , 如何选择靠谱的审计团队 , Dan给出了一些参考维度: