DeFi半年已發生50起安全事件，會成為區塊鏈發展的攔路虎嗎？

這是白話區塊鏈的第1410期原創

嘉賓 | 慢霧安全團隊&庫神錢包商務總監

Jessica

出品｜白話區塊鏈（ID：hellobtc）

據統計，僅僅是在2021年上半年，整個區塊鏈生態就發生了78起較大的安全事件，其中涉及DeFi安全50起左右。日益增長的安全漏洞事件對於行業用戶來說，無疑是一種巨大的威脅，為什麼會頻繁出現這樣的事情，現在有做什麼來改進呢？

上週五我們邀請了慢霧安全團隊和庫神錢包商務總監Jessica來我們分享相關內容。以下為內容提要：

DeFi安全中的常見類型有：精度計算錯誤問題、權限過大風險、經濟模型缺陷問題、兼容性問題、預言機操控風險、獎勵分配缺陷問題、滑點控制缺陷問題等等。 DeFi安全總是出現最底層的原因還是智能合約。 ——慢霧安全團隊區塊鏈行業核心問題就是安全。在保管加密資產方面，建議用戶“冷熱搭配”，經常使用的小資金放在有實力的大交易平台或者熱錢包，大資金一定存放在硬件冷錢包保管才能確保安全。短期來看，DeFi安全事件頻發會對投資者產生一定的“勸退”作用，但長期來看，在DeFi 高額收益的激勵下，這類安全事件對DeFi賽道的用戶參與率影響有限。 ——庫神錢包Jessica

01 慢霧&庫神

白話區塊鏈：歡迎慢霧安全團隊和庫神商務總監Jessica做客白話大咖說，先和大家打個招呼吧？

慢霧安全團隊 ：大家好，我們是慢霧安全團隊。慢霧(SlowMist)是一家區塊鏈安全公司，成立於2018 年1 月，已經服務了全球許多頭部或知名的項目，我們做了很多DeFi 方面的安全審計，這也是我們今天要聊的話題。

庫神Jessica ：大家好，我是庫神錢包Jessica。很開心和慢霧團隊一起做客白話大咖說。庫神於2016年11月成立，是一家專注於提供區塊鏈資產安全存儲解決方案的科技公司。

庫神錢包是全球知名高端的冷錢包品牌，擁有行業內最多高淨值用戶。產品遠銷日本、韓國、美國、新加坡、俄羅斯等多個國家和地區，在全球高端硬件冷錢包領域市場份額佔有重要地位。

02 DeFi安全常見類型

白話區塊鏈：8月10日當天，Poly Network遭到了成立以來最嚴重的攻擊，也是歷史上最大的去中心化金融安全漏洞，如此巨額的資產損失，引起了圈內人的關注。

之前慢霧團隊分析認為，攻擊者是通過精心構造的數據修改了以太坊跨鏈合約中keeper為攻擊者指定的地址，並非由於keeper私鑰洩漏導致。這屬於DeFi中的哪種類型呢，也請給大家詳細介紹一下DeFi安全常見類型有哪些呢？

慢霧安全團隊 ：Poly Network這屬於任意調用問題：合約存在任意外部調用接口，導致特權函數被調用。

DeFi安全中的常見類型有：精度計算錯誤問題、權限過大風險、經濟模型缺陷問題、兼容性問題、預言機操控風險、獎勵分配缺陷問題、滑點控制缺陷問題等等。

03 錢包可以在哪些方面幫到用戶？

白話區塊鏈：在去年年末的時候，就和吳總有做過一場“黑天鵝事件”相關的AMA，很高興這一次又可以深入聊一聊。在DeFi安全方面，庫神作為一家專注於提供加密資產安全存儲解決方案的公司，主打硬件錢包。

那麼在安全方面，庫神近來有什麼重要佈局嗎？類似於這次的攻擊類型，您認為錢包可以在哪些方面幫到用戶？

庫神Jessica ：近來庫神錢包還是以安全為主，不斷優化錢包功能，完善用戶服務。今年我們推出了最新款庫神冷錢包Pro3+， 此款錢包採用了CC EAL6+芯片，軍事化安全防護，徹底杜絕網絡黑客。

新增多種主流Token，支持BTC、ETH、XRP、BSV、TRX、LTC、FIL等以太坊，波場和EOS生態幣。此外，Pro3+支持隔離驗證地址，同費率費用更低，同費用速度更快。

DeFi從去年開始流行起來，但是資產安全問題也頻頻出現。庫神錢包作為區塊鏈資產的“保護神”，願意共同建設DeFi市場的安全壁壘,保護去中心化世界的安全,拒絕去中心化的胡作非為。

所以建議大家不要過多的追求高利，而忘了高利下的高風險，應該根據自身情況，把資產做個比例劃分，不動的資產放在冷錢包，收穫堅守成果。

事實上，庫神錢包也一直在做這件事，庫神運營馬上5年了， 截止目前從未出現過任何問題，在行業和使用過庫神錢包的用戶之間樹立了良好的信譽和口碑。

04 DeFi安全事故總是出現的底層原因

白話區塊鏈：Poly Network被攻擊是整個DeFi行業生態安全問題的一個縮影。據統計，2021年上半年，整個區塊鏈生態共發生78起較大的安全事件，涉及DeFi安全50起。相比傳統交易模式，兩位覺得DeFi安全事故總是出現的底層原因是什麼呢？

慢霧安全團隊 ：最底層的原因還是智能合約吧。智能合約並不像傳統APP可以隨時下架，合約一旦部署，便是不可撤回的。合約可能一創建就包含著錯誤，而錯誤卻無法被修改，導致事故的發生。

庫神Jessica ：區塊鏈上的智能合約是基於去信任(permissionless)來和用戶以及其他智能合約交互的，對於那些設計智能合約的人來說，很難考慮到未來有人可能與他們的合約進行交互的每一種方式。其他人可以構建一種智能合約，以一種原作者不希望看到的方式與合約進行交互。

白話區塊鏈：另外，在整個行業內黑客事件也層出不窮，他們的主要手法有哪些，目前市面上有採取什麼措施來防止或者應對DeFi 安全事故的發生呢？

慢霧安全團隊：手法還是很多的，有些手法經常出現，有些很少出現，我例舉幾個：Rug Pull、閃電貸、套利等等，可以檢查項目的流動性是如何鎖定的，是否有時間鎖，是否有多重簽名，用戶在參與DeFi前最好對項目做做調查，避免被騙。

另外一個就是項目方一定要有自己的安全的意識，上線前最好找業內專業的安全審計公司進行審計，至少可以把一些已知的攻擊手法盡量規避掉。

白話區塊鏈：DeFi因在諸如借貸、支付等金融科技領域，提供了獨具創新性的解決方案而備受讚譽，但突出的智能合約安全問題成為了DeFi行業的最大挑戰。

如果智能合約資產被盜或出現攻擊事件，如何讓投資者利益損失最小或無損？有哪些安全防護措施？

庫神Jessica ：是的，如果智能合約資產被盜或出現攻擊事件，首先，早發現早退出，第一時間聯繫項目所在平台，usdt聯繫泰達公司。投資者做好安全防護措施，防範大於未然：

1.使用硬件錢包參與DeFi，私鑰助記詞不觸網，學習錢包安全管理；2.不盲目衝高apr的項目，選擇通過專業審計的項目；3.不用瀏覽器搜索DeFi網站，核對正確的智能合約地址；4.不挖二池，做好對沖策略。

05 判斷一個項目是否安全的指標

白話區塊鏈：很多項目在進行全面的外部安全審計、原創的編碼和測試網絡環境下的模擬測試等步驟後還會存在風險，項目審計意味著什麼，判斷一個項目是否安全的指標有哪些呢？

慢霧安全團隊：很多人會有這樣的一個誤區，覺得經過審計的項目就是永遠安全的，但是所有的DeFi協議都存在著變數，就算是一個小小的更新也會導致巨大的問題，而且我們審計的範圍是有限的。

安全具體是沒有一個指標的，我們首先關注的是智能合約裡在計算用戶收益時，會不會存在溢出等問題。其次，我們會關注項目方是否留有後門，是否盜取用戶資金。

安全，永遠都是任重而道遠的。

06 用戶在加密貨幣的保管方面需要注意什麼？

白話區塊鏈：DeFi的爆炸性增長使其複雜性呈現指數級別增長，因此加強DeFi風險管理是目前DeFi生態建設的重中之重。您認為目前用戶在加密貨幣的保管方面，平時操作需要注意什麼以防止類似事件導致的資金損失？

庫神Jessica ：區塊鏈行業核心問題就是安全！在保管加密資產方面，建議用戶“冷熱搭配”，經常使用的小資金放在有實力的大交易平台或者熱錢包，大資金一定存放在硬件冷錢包保管才能確保安全。

選擇有實力的大品牌錢包產品，並且離線保存好私鑰和密碼，正確渠道下載app。一個錢包地址一個項目，結束參與及時取消授權。

07 MPC+TEE

白話區塊鏈：看到慢霧之前提到過，由於熱錢包還是單私鑰的，所以被黑是遲早的事，而MPC+TEE不僅可以去單點風險，還可以在關鍵策略上做好可信難篡改，最後加上資金與業務兩大全鏈路風控系統，可以99.99%擋住風險和攻擊。請問這是怎麼實現的，其中提到的MPC+TEE也請詳細介紹一下吧？

慢霧安全團隊：是的，我們在前不久上線了加密資產安全解決方案，這是慢霧在區塊鏈生態數年一線安全攻防實踐積累下，推出的第一個針對加密資產安全的解決方案。

其中給出了線上熱資產安全解決方案，這類資產由於放置在線上服務器中，被黑客攻擊的可能性大大增加，同時，線上的熱資產本身的場景需要適應多種鍊及Token種類，能兼容所有區塊鍊及Token種類的通用多簽方案是最好的方式，而目前最成熟的解決方案是MPC（安全多方計算）。

MPC主要針對一組計算的參與者，每個參與者擁有自己的數據，並且不信任其它參與者和任何第三方，在這種前提下，如何對各自私密的數據計算出一個目標結果的過程。

MPC是一種計算協議，數據持有方可以各自使用自己的數據進行訓練，最終通過協議匯總結果。而TEE提供安全性更高的執行空間，給可信軟件執行，其安全性比操作系統（OS）更強，機能性比安全元件（secure element）更多。

08 是否應該尋求中心化世界的幫助？

白話區塊鏈：在去中心化的環境下，您認為這樣的安全事故發生後誰應該承擔責任？是否應該尋求中心化世界的幫助？

慢霧安全團隊 ：黑客作為造成DeFi安全事件的罪魁禍首，毫無疑問是造成用戶資產受損的主體。

以PolyNetwork為例，事件發生第一時間，我們就開始研究分析，追踪被盜資產的流向，聯合各方面的力量，目前黑客已經歸還了4.27億美元，剩下的相信也很快會全部歸還，這是一個好的結局。

另外，可以看到中心化、去中心化平台都有非常慘重的被黑案例，都有很多被黑經歷，無論是中心化還是去中心化，我們都希望區塊鍊是往安全的方向去進化。

庫神Jessica ：到目前為止黑客已經基本歸還全部被盜資金，這也是多方努力的結果，隨著DeFi規模不斷發展，加密資產被盜和黑客攻擊在所難免，事故發生後應該協同多方力量盡快尋找原因，盡快找到被盜資產去向並彌補損失，必要時尋求中心化平台幫助可是無可厚非的事情。

09 DeFi未來的發展

白話區塊鏈：隨著類似事件越來越多，這不僅讓已經參與進來的團隊和投資者感到擔憂，同時也使DeFi與傳統金融的結合越來越難，很多人因為風險望而卻步，您怎麼看待DeFi在接下來的發展？

慢霧安全團隊 ：DeFi作為一個突然爆紅的當紅炸子雞，肯定還是有很多風險和未知的事情。

在早期，一個新事物出現一定是會有風險的，但是我們也不能說是因為有攻擊發生就去否定這樣的方向，任何事都是有兩面性，風險與機會是並存的，DeFi也帶來了很多便利性。

整個行業或者DeFi方向肯定是會越來越完善。

庫神Jessica ：短期來看，DeFi安全事件頻發會對投資者產生一定的“勸退”作用，但長期來看，在DeFi 高額收益的激勵下，這類安全事件對DeFi賽道的用戶參與率影響有限。

另外，去中心化領域的監管缺失在這次事件中暴露無遺，未來DeFi賽道引入第三方監管以及DeFi保險項目也是未來的必然趨勢。

DeFi很有可能成為金融系統的新基石，會有成長的陣痛，但我們有足夠的理由相信去中心化金融的未來是光明和繁榮的。