导 LEAD 语

作者：海伦

近两日，DeFi 项目 Uniswap 和 Lendf.Me 接连遭受重入攻击。尤其是 Lendf.Me 被洗劫一空，累计损失约 2500 万美元。关于攻击详情，自有安全团队解答。笔者想和诸位探讨的是，攻击发生之后，加密社区的舆论风向与应对态度。孰对孰错，请各位看官自行评判。

“盗亦有道”？黑客归还部分代币

今日， dForce 官方发布公告称：1. 与顶尖安全团队合作，对 Lendf.Me 进行更为全面的安全评估；2. 与合作伙伴积极探讨可行的解决方案；3. 与主流交易平台、OTC 交易商、公安机构积极配合展开相关调查，竭尽全力追索被盗款项，追踪黑客动态。

不知道出于什么原因，黑客似乎主动联系了 dForce，表达沟通意愿，并开始归还一些币。更进一步的情况 dForce 创始人杨民道将于北京时间 2020 年 4 月 20 日 23:59 分前，向社区作出说明解释。

重蹈覆辙：用户不满 lendf.me 未及时自查

让用户不能理解的是，前车之鉴犹在耳畔，lendf.me 为什么没有及时自查。从时间线上来看，第一次针对 Uniswap 的攻击发生在 4 月 18 日 8 点 58 分，3 个小时后，Tokenlon 观察到异常并建立紧急处理小组。4 月 19 日 9 点 28，Lendf.me 又反馈称遭遇与 Uniswap 类似的攻击。安全公司慢雾从攻击手法上判断，很可能是同一拨人所为。

“我想不通，这些 Defi 项目方，好像也跟我一样毫无警惕……看到别人被黑客攻击，不自查一下风险的么。” 一位笔名为「白特幂」的受害者发文质问道。「得瑟小缪」也指出过错在 lendf.me 自身。他提出 3 点不满：“1．直接 folk compound v1 的代码过来又不审计？负责安全的人是不是应该引咎辞职？2．把 erc777 的 imBTC 接入 erc20 的协议中，谁负责的商务？谁负责的技术对接？这么明显的错误，为啥不处理？3．不反省自己的责任说自己是受害者？先谈如何补偿用户 OK？这是拿行业在开玩笑么？”

抱团取暖：加密社区纷纷表示鼓励

事件发生后，加密社区一片祥和温暖，纷纷对 DeFi 的遭遇表达同情和鼓励。

数字文艺复兴基金会董事总经理曹寅：“我们不应为 Lendf 或者 Maker 的事故而对 DeFi 失去信心，阿波罗 13 号的失败之后，NASA 并没有取消阿波罗计划，美国人也没有因此停下对太空探索的步伐，深刻反思之后，NASA 又发射进行了多次成功的阿波罗任务，之后还建造发射了更伟大的国际空间站。”

原力协议 COO 许超：“看到这个消息非常心痛。希望 dForce 团队可以度过难关。这是中国最优秀的 DeFi 团队之一。DeFi 还在早期阶段，代码安全和金融产品风控安全非常重要，DeFi 的可组合性又使得系统安全风险成倍的增长。”

星火矿池市场负责人邱晓栋：“历史的趋势不可阻挡，我们都在探索未来的可能性，并在这一进程中发光发热，每一次重击都会让我们更坚强。”

以太坊黄皮书翻译者杨镇：“这是伟大事业发展历程中几乎难以避免的事故。”

加密社区是个挺割裂的存在，有投机套利的赌徒、追逐风口的逐利者，也有技术高超的极客、理想主义的探路者。DeFi 社区无疑属于后者，因此他们常呈现出一种惺惺相惜、抱团取暖的姿态。有开发者感慨道“这两天在风暴中心见证探索者们被暴雨淋漓。”

进退两难：雪崩时没有一片雪花是无辜的

现在 DeFi 社区呈现出一个氛围，不喜欢批评的声音，有人批评就会被认为是黑，但所有项目的成功都理应面对质疑和批评。另一方面，行业的抱团取暖也带来两面性。笔者曾经在采访一个 DeFi 项目时，碰巧从它的平台上截取到了另一 DEX 穿仓的数据。两个项目负责人将笔者拉到同一个群里，希望不要对此进行报道，因为这个漏洞已悄悄修补好，并未造成任何损失。 但安全事件频发之时，温柔鼓励为政治正确，包庇开脱成惯常动作，指责批评反而要谨小慎微的时候，社区就需要多一些反思了。

无论我们把 DeFi 的意义描绘的多么深远，比拟阿波罗登月也好，作为取代马车的汽车也罢。它对于用户来说，本质始终是金融。效率的提升是其次，至少要保证别让用户丢钱。金融服务的首要前提是风控和安全，即使 DeFi 也是一样。而在代码世界里，任何一个小疏忽造成的损失都是致命的。

当前，DeFi 对大多数人而言门槛仍然很高，因此 DeFi 用户实际上是一批具有较高技术和金融素养的理想主义者。一位受害者表示：“我躲过了爆仓，躲过了 Fcoin，躲过了各种资金盘，却没躲过 Defi 这个黑客提款机。”如果这样一群人都在遭受损失，DeFi 的安全性从何谈起呢？“如果不能保证开源系统的资金安全，你甚至没有能力证明自己不是一剂毒药。DeFi 在证明自己真的是一场变革之前，至少需要摆脱暴雷阴影。”RenrenBit CMO 梓岑表示。

IOSG Venture 创始人 Jocy Lin 也表示：“这个行业令人惊喜的地方在于多元化的组成和包容属性，在 DeFi 圈子里的对峙博弈也是一样。DAO 事件之后的黑客攻击事件仍然频发，却一直没有引起行业重视。这些攻击虽然让行业各种协议如临大敌甚至面临生死，但仍然是很有意义的。它让人们认识到协议的安全审计、用户的投资认知，以及社区的多元化共存至关重要。雪崩时，没有一片雪花是无辜的，是时候重新反思 DeFi 里价值最大的部分在哪里了。大部分过得好的公司道阻且长，MKR 很糟糕，Compound 也是。从小众到大众市场的跃升，需要在资本市场助力之后，思考如何降低用户的使用门槛、提升体验，以及更高的安全性。”

灵魂拷问：DeFi 项目有办法自证吗？

这起攻击事件发生后，DeFi 恐怕会遭遇重创。从年初到现在，DeFi 发生的几起安全事件，都是黑客在利用 DeFi 系统性风控漏洞实施的攻击。此次也是同理，ERC777 本身没有问题，但是和其他合约组合起来后产生了非预期的结果。 这仿佛成为了一个证实相当困难，但证伪却异常容易的命题。哪个开发者敢拍着胸脯保证，自己的协议没有漏洞，和别人的协议组合之后依然安全呢？

除了安全性，DeFi 可能还面对一个“道德”难题，币信研究院院长熊越表示：想象我们在大航海时代里造一艘船去寻找新大陆，这是一件勇气可嘉、意义非凡的事情，但也有可能遇到风浪葬身海底。但在这种情况下，冒险的发起人是和大家风险共担的，并且全船的人都清楚自己面对着什么。这就是冒险家的精神（entrepreneurship）。

但 DeFi 项目的创始人并不一定要去风险共担，他可以融一笔资开启项目，不把自己的钱放在 DeFi 项目里。赚了当然自己名利双收，如果被黑客攻击，巨额损失的是投资人和用户。 更重要的是，我并没看到哪个 DeFi 项目在提醒用户：‘把钱存过来赚百分之几的利息，你可能会损失全部的本金。’ 相反，它们都说自己有各种安全机制，通过了各种审计，很多用户因此稀里糊涂地亏掉数十万美金级别的钱。

在区块链行业，无论是 CeFi 还是 DeFi，都有各自的风险。中心化借贷面临的是强监管风险，去中心化借贷面临的是系统安全稳定运行的风险。这两个风险都在加大。如果监管缺位，这种攻击防不胜防，是无解之题。

通证通研究院创始人宋双杰表示：“任何一个行业，当正规军进来的时候，非正规军都将面临清理，所以中心化借贷之困在于如何获得牌照。去中心化借贷在于行业无监管，一片蛮荒，权责利不清。

一些造成违法的行为甚至都称不上违法，因为没有相关的法律，导致大量借贷合约被攻击，这几天爆出的 uniswap 和 dforce 事件就是明证。如果监管缺位，这种事情是防不胜防的，除非使用极简化的合约，采用极简单的功能，像比特币那样，把附加的其他的功能都抽离，才可能保证极大的安全。要不是，功能越复杂，被攻击的可能性越高。但如果不革新，不增加功能，那去中心化借贷又没有存在的必要，这是无解之题。”

来源链接：mp.weixin.qq.com
来源：信链社