免責聲明:本文旨在傳遞更多市場信息,不構成任何投資建議。文章僅代表作者觀點,不代表火星財經官方立場。
小編:記得關注哦
來源:星空區塊鏈
事實證明,許多事情,不一定要“活久見”,而是要活在恰逢其時的年代。
2020年,我們與90歲的巴菲特一起,第一次經歷了席捲全球的殘酷病毒;第一次見識了史無前例的美國股市連續熔斷;第一次看到了不可思議的“負油價”和“買油買到倒欠銀行幾百萬”的欲哭無淚。
就在4月21日,我們又見證了一筆價值1.75億元人民幣的數字資產從被盜,到中轉,最後“物歸原主”的奇幻之旅。這注定是一個可以改編成電影劇本的故事。
“頭孢配啤酒”式的致命傷害
首先,我們試圖向圈外的讀者來說明一下什麼是“數字資產”。
我們知道上帝創造了黃金、白銀這些不能吃、不能喝,作用也比較有限的石頭;而人們在漫長的歷史中,將這些石頭“共同認為”是財富與價值的度量衡。
10年前,一個或者一群叫“中本聰”的人創造一個同樣不能吃、不能喝,但是代表人類當前最高智慧結晶的數字貨幣,人們稱之為比特幣。比特幣一經問世,就收穫了一些人的共識,具備了價值,隨後還有包括ETH、ETC、BCH在內的為數不多的數字貨幣,也取得了人們的共識,人們稱之為數字資產。
這些數字資產,可以隨時在火幣、幣安等交易所變現為等價的法定貨幣。這與大家身邊每天有人推薦投資的“區塊鏈”,那些可以讓人“一夜暴富”的所謂“數字貨幣”,真的是完全不同的概念。
說完這個前提,我們可以開始故事了:
兩天前的4月19日上午,亞洲地區最大的DeFi平臺dForce旗下的貸款協議Lendf.Me遭到黑客攻擊,導致價值約1.75億元人民幣的真正的數字資產被洗劫一空。
人們或許會問,區塊鏈不是號稱最牛逼最安全的嗎,為什麼還會遭遇黑客呢?管理1.75億元資產的區塊鏈平臺,為什麼會如此不堪一擊?
區塊鏈雖然安全且牛逼,但是基於區塊鏈的許多技術還是太年輕了。
具體技術方面的問題,講多了實在枯燥。大致情況是,黑客利用ERC777合約和DeFi平臺的兼容性問題,在Lendf.Me上多次調用重入攻擊,並以imBTC進行不斷的重複抵押,將Lendf.Me上價值1.75億元的資產洗劫一空。
整個事件中,ERC777合約本身並沒有問題,它是一個牛逼到可能顛覆現有銀行體系的智能合約。dForce旗下的Lendf.Me本身也沒有問題,他是由華人創辦的當前最牛逼的DeFi平臺之一,由全球首屈一指的安全機構PeckShield進行安全審計。
然而,當Lendf.me加入了基於ERC777的imBTC,由於ERC777合約與DeFi協議的兼容性問題,黑客的機會就來了。
ERC777標準擴展的功能之一是提供了“hook”機制,“hook”函數能夠在一筆交易完成前後將通知發送給交易雙方,並允許其取消交易,確保了交易相對的客觀公正。因為“hook”函數通知是需要操作時間的,黑客就利用這一點,發起重入攻擊,在用戶一筆交易未完成的時候,又發起一筆新的交易,擾亂了原有的交易節奏。
形象來講,就是頭孢遇上了啤酒,頭孢本身是好藥,啤酒也是好酒,但是頭孢配上了啤酒,就可能出現雙硫侖樣反應,嚴重者會致死。
頭孢配啤酒,一喝到永久。
區塊鏈圈的“拯救大兵dForce”行動
攻擊事件發生後,搞砸了1.75億的dForce團隊並沒有“甩鍋”或者“跑路”,而是第一時間組織起圈內有史以來最聲勢浩大的一次“追幣行動”(不知道有沒有代號)。實際上,dForce的兩位創始人楊民道和許昕,都是業內的“教父”級人物,而dForce本身,也代表了DeFi領域至少中國範圍內“全村人的希望”,它不能也不應該垮掉。
一時間,整個區塊鏈圈開啟了一場“拯救大兵dForce”行動:
首先,dForce通過其投資人(Multicoin Capital、CMBI、火幣資本等)緊急聯繫了各大穩定幣資產發行方和去中心化金融協議團隊。
接下來,官方開始聯繫各大中心化交易所和錢包等合作方的高層,要求將黑客地址以及相關涉案賬號加入監控並凍結被盜資產。
其中,dForce的意向合作方,Conflux項目的聯合創始人張元傑通過個人關係聯繫到USDT發行方Tether的高層,希望他們能夠設法鎖定或凍結涉及該起事件的USDT資產。
4 月 19 日下午,dForce、星火與 imToken安全團隊在線下集結,並與慢霧遠程連線成立臨時安全團隊,開始進行資產追回。
另一方面,在楊民道和許昕的影響力之下,整個中國地區以太坊技術圈都默默行動起來,一張指向涉事黑客的天羅地網悄悄張開……
4月19日晚間,感受到壓力的黑客在鏈上留下信息“Better Future”。隨後,黑客向 Lendf.Me Admin地址轉回大約價值200萬美元的數字資產。
4 月 20 日,基於黑客在攻擊前後留下的痕跡,聯合安全團隊成功確定了準確的黑客畫像,並開始與國內外各方資源進行交叉對比,獲得突破性線索。隨後,dForce官方在推特上發佈了一堆“符號碼”,疑似通過“密碼”向黑客喊話或者進行“談判”。
4 月 21 日 13 點 33 分,按照官方說法,“黑客在重重壓力下,與我方主動溝通,所有資產被成功找回”。當天晚間dForce表示:“整個過程中,dForce 團隊未曾獲得任何合作方向我方提供的用戶敏感信息,向給我們提供了支持和幫助的合作伙伴、用戶和投資人致以最誠摯的感謝。”
一個“重重壓力”,道盡了黑客的艱難處境:真實身份接近被掌握,所有數字資產變現的渠道接近被完全封堵,彷彿聽到四周都有人在喊話“裡面的人聽著,你已經被包圍了……”
“中心化真香”的反思
事件已經有了一個良好的結果,但是留下的影響,無疑是巨大的。除了老生常談的“安全問題”,更值得反思的一點是,到底什麼才是真正合適的“去中心化”?
整個“1.75億”黑客事件中,我們看到的種種情形,被業內人士戲稱為“去中心化借貸、中心化抓人”,“中心化,真香”!試想一下,假如沒有中心化的新加坡警方的介入,沒有大型中心化交易所的“KYC認證”,沒有中心化的“IP上網痕跡”等等,黑客還真有可能逍遙法外。
DeFi到底應該追求怎樣的“去中心化”,這是一個非常深刻的問題。
在未來理想化的DeFi場景下,我們的絕大多數鏈下資產和個人信用,都將在政府法定背書的前提下實現“上鍊”。我們的借貸業務不再需要銀行,而是藉由龐大的DeFi借貸市場,通過抵押數字貨幣、“上鍊資產”或藉由個人信用實時獲取需要的法幣資金。受監管的智能合約平臺僅需要少量的維護人員,只需收取不到當前“息差”十分之一的手續費,從而為實體經濟解放大量人力資源,降低鉅額成本。
在這樣的場景下,我們實際上反而更需要的是,更強有力、更智能高效的中心化政府與監管部門,來實現和執行“鏈上資產”與實物資產的映射和轉移,來防止作惡的發生。
假設一下,在一個純粹去中心化的系統裡,如果沒有人能夠阻止作惡,假如真的是純粹的“Code is Law”。那麼是不是誰寫代碼最牛逼,誰就可以為所欲為?實際上,或許我們所需要的,只是中心的“透明可視化”,一種中心可以阻止作惡但自己無法作惡的理想機制。
進一步猜想,此前一切中心化的“惡”,大多源自信息的不對稱和不透明,而區塊鏈技術所要解決的重點,或許就是信息不對稱與信息透明的問題,從而由此共建一種群體性的“善的中心化”。
