作者| Joyce

DeFi 黑客數量佔2020 年盜竊量的21％，而在去年該數量幾乎可以忽略不計。

11 月12 日晚間，各個加密數字交易平台的實時數據顯示，比特幣一舉衝破16000 美元大關。截至11 月12 日，比特幣總市值突破2915 億美元，相當於全球最大市值銀行中國工商銀行A 股的總市值。

主流幣紛紛大漲的時候，DeFi 項目表現不一，截至本文發出，平均下跌2.18%。而在昨晚，去中心化金融平台Akropolis 遭遇黑客攻擊，造成了200 萬美元的損失。

DeFi 概念走勢，來源：非小號

黑客攻擊Akropolis，竊走200 萬美元

11 月12 日，Akropolis官方發布推特，表示：我們最近在“儲蓄池”中發現了一次針對智能合約主體進行的黑客攻擊，該智能合約經過了兩次審核。據悉，被攻擊的為Delphi 合約，一次由CertiK 審計，另一次由未公開的團隊審計。

“但是，在兩次審計中都沒有發現利用漏洞利用的攻擊媒介，”該漏洞利用的實質是重新進入攻擊與dYdX 快速貸款起源的結合。

根據The Block 研究員Steven Zheng 和Andrianova 的說法，攻擊者從該項目的yCurve 和sUSD 儲蓄池中取出了5 萬美元的DAI。攻擊者在耗盡這些儲蓄池前，收集了價值200 萬美元的穩定幣。黑客沒有長時間保留被盜的資金，立即將其轉移到了另一個錢包，如下所示：

來源：Etherscan

Akropoli 後續發推文表示，抵押池是安全的，黑客只會影響yCurve 和sUSD 儲蓄池。截至本文發出，被盜資金尚未轉移。

下半年，近一半的攻擊目標為DeFi

今年年初，DeFi 的總價值鎖定（TVL）已達到10 億美元大關，在接下來的9 個月中，TVL 躍升至135 億美元，其增長速度令人咋舌。

儘管在10 月許多項目（如YFI，UNI，COMP，UMA 等）下跌了50％以上，但DeFi 強大的基本面似乎仍在支撐著這些代幣價格，直到11 月又因對YFI 和COMP 等重新出現看漲情緒而再次上升。

根據CipherTrace 發布的最新報告，DeFi 熱潮不僅引起了投資者的興趣，同時也吸引了犯罪黑客的關注，導致迄今為止的DeFi 項目遭到的黑客最多。該報告突出顯示：

“在2020 年的前六個月中，所有盜竊事件中有45％是DeFi 黑客，造成約5,150 萬美元損失，佔該時期黑客數量的40％。到目前為止，在2020 年下半年，DeFi 在所有盜竊案中佔了50％的份額，平均大約為4,770 萬美元，占同期被盜案數量的14％。”

總體上，DeFi 黑客數量佔2020 年盜竊量的21％，而在2019 年，DeFi 黑客數量幾乎可以忽略不計。

根據Longhash 的最新報告，“9 月1 日，當大部分DeFi 代幣的市場價格到頂時，DeFi 的TVL 為96.6 億美元。實際上，自那時以來，儘管DeFi 代幣經歷了回調，DeFi 中鎖定的價值已經實現增長。”

但是，CipherTrace 報告強調，如果犯罪率繼續保持不變，DeFi 可能會引起監管審查。

10 月份，在洛杉磯區塊鏈峰會上，談及許多DeFi 平台使用的治理代幣是否可以像證券發行一樣對待時，美國證券交易委員會（SEC）專員、“加密媽媽”Hester Peirce 表示，儘管這些代幣具有某些類似股權的好處，但有關監管結構以及這些代幣如何影響公司治理的問題仍然存在。

Peirce 在接受采訪時表示，DeFi 雖然現在還處於初期階段，但委員會已經開始注意到這一點，因為DeFi 表現出了能夠改變遊戲規則的問題，“我認為它將挑戰我們的監管方式。”

鑑於DeFi 項目在國外，如果沒有採取正確的步驟來確保這些項目智能合約的安全性，則DeFi 可能只會繼續遭受因反洗錢和安全性不足而造成的後果。

審計需求提升，但小項目可能付不起費用

經過審核的項目與未經審核的項目在DeFi 的繁榮時期（通常稱為“ DeFi Summer”）中的區別顯而易見，很多未經審計的項目中的代碼缺陷非常容易被黑客利用，如Yam.Finance。

隨著黑客事件的增多，DeFi 項目對審計的需求也越來越多。

審計公司OpenZeppelin 已對Compound、Augur 等主要DeFi 項目進行過審計。該公司表示，市場對審計的需求巨大，並透露其客戶已經預定到了2021 年第一季度。審計公司Quantstamp 也表示，申請審計的項目太多，導致其公司已經拒絕了很多項目。

但是，審計公司質量層次不齊，好的審計公司收費也相對較高。

DeFi 項目bZX 今年前後遭遇了三次黑客攻擊，但在這之前審計公司已經審核過兩次。 bZX 聯合創始人Kyle Kistner 表示，bZX 團隊對金融領域的安全審計並不了解，後來認為ZK Labs 非常有名，其創始人Matthew DiFerrante 也與以太坊基金會往來密切，並在基金會中擔任過安全工程師，是值得信賴的。後來才知道Matthew 在安全審計行業的名聲很差，同行們都認為他們不夠專業。

bZX 的審計工作由Matthew DiFerrante 獨立完成，並收取了約50000 美元的費用。 “對於我們這樣一家小公司來說，這絕對是一筆巨款了，但我們仍然盡了最大努力籌集資金。但這50000 美元花得實在很糟心。當年3 月初左右，我們已經準備好了所有材料，但直到接近9 月，審計工作才在爭吵與扯皮當中磕磕絆絆地完成。”Kistner 在採訪中說道。

bZX 團隊在審計報告中甚至發現了錯別字，某處是Chainlink 的名字而非bZX。團隊也心生疑惑：你這審計用了多長時間？到底是真做了審計還是在騙我們？但審計公司還是提出了一些重要的建議，並發現了其中有一項嚴重bug。 “不能說他們什麼都沒做，只是最終出爐的審計結果還不夠有說服力。“

“雖然OpenZeppelin、Traikl of Bits 等其他安全公司更權威，但開價更高，大約在20 萬美元左右，bZX 實在承受不起。”Kistner 表示。