立于DeFi头上的达摩克里斯剑

链趣学园｜2020-08-08 16:56

DeFi火爆的原因，在于人对理财的需求以及对掌控自己资产的欲望

来源：链趣学园

今年DeFi 在过去六个月里，也是掀起了一阵发币狂潮，DeFi许多项目也出现了让人拍断腿的行情，当前DeFi中锁定资产总价值超过了40亿美元。成为了当前火热话题。

但DeFi目前来说还处于发展前期，很多机制都还需要完善，这让黑客开始盯上了DeFi。

7月1日，加密货币项目Vether（VETH）遭到闪贷攻击，黑客仅仅用了0.9 ETH（约合200美元）便盗走了Uniswap平台资金池91万VETH，在6月30日Balancer流动性池便遭到闪电贷攻击损失50万美元，据悉遭遇损失的为STA和STONK两个代币池，目前这两个代币池的流动性已枯竭。

事实上在2月份便发生了两次BZX盗窃案。数据显示，犯罪分子通过该平台赚取了约360000美元的以太币，空手套取百万美金的攻击事件让“闪电贷”进入了大众视线。

DeFi项目被盗事件频发，这也让DeFi项目成为投资者口中的“黑客提款机”

根据 PeckShield 态势感知平台数据显示，过去一个月，整个区块链生态共发生 32 起较为突出的安全事件，危害程度评级为「中级」，涉及 DeFi 5 起、钱包安全 2 起，公链安全 3 起，交易所相关 2 起，勒索相关 4 起，诈骗跑路 16 起等。

7月份便发生了5起 DeFi 相关安全事件，具体如下：

1）便是上文提到的Uniswap平台被盗91万VETH

2）知名区块链安全研究员Sam Sun在小组讨论中表示，自己似乎发现一种盗取yearn.finance yusdc资金池资金的方法。官方回应称这个问题已经得到解决，但依然提示用户暂时不要投入资金。7月26日，yearn.finance公布V2 版本的更新将添加USDC合约的资金池，但V2版本还没有完全部署，尚在实验测试阶段，官方也已经提示该合约仍为实验性质且具有高度风险，建议不要立即投入资金。

3）samczsun在yearn.finance新部署的yVault中发现了一个漏洞，初步分析是由于flashloan 中产生滑点导致。

4）网络安全公司OpenZeppelin已发布Compound的开放式预言机（Open Oracle）集成Uniswap V2的审计报告。指出，开放式预言机旨在允许受信任的汇报者在链上发布一系列资产价格，这些价格将以Uniswap V2的市场价格作为基础，发布价格的人只能在一定程度上偏离Uniswap V2的价格（具体由部署者决定），这可以很大程度上限制汇报者操纵预言机的权力。

5）DeDi门户网站DefiPrime识别了目前最流行的DeFi骗局：Uniswap上的伪造代币列表。骗子正试图在目标协议实际推出其加密货币之前，在Uniswap上列出“官方”协议代币。DefiPrime至少确定六个被这些诈骗者锁定的协议：Uniswap、Tornado Cash、BZRX（Fulcrum）、Curve、dYdX 和1inch。甚至已经有人因此受骗。

DeFi协议目前主要做的是资产托管或借贷理财服务，作为一种创新技术还尚未成熟，都是开源的，很容易成为黑客眼里的一块肉。且不少开发者低估了漏洞的风险——目前主流的DeFi协议都基于以太坊搭建起来的，以太坊过往出现的各种漏洞，DeFi上都有可能再复现。