【1】全額返回
4月27日,dForce發佈公告稱:經過各方的努力,Lendf.Me的被盜資產已全數被追回,並遷移到冷錢包做後續分配。鑑於資產追回時,黑客已經將部分資產換成其它資產,我們出售這些資產,儘量恢復被盜時刻的資產組合(rebalancing),以便減少市場風險,確保用戶的全部資產都會獲得返還。
對於在Lendf.Me平臺內只有存款、無借款的用戶,只需要進行登記後,即可按照登記時間的先後順序進行返回。對於有借款的用戶,需要先行償還借款,才能返還抵押的數字資產。
根據官方消息,截至4月27日晚8點,dForce宣佈已經全額返回90%的用戶資產,並計劃在兩天內完成99%資產的返回,同時公佈dForce下一階段的開發計劃。
至此,這起轟動DeFi圈乃至整個區塊鏈圈的驚天“黑客事件”,終於即將落下帷幕。值得一提的是,由於近日來ETH價格強勢上漲,使得原本黑客盜走的價值1.75億元人民幣的數字資產,反而有了一定的增值。雖然整個過程令投資人擔驚受怕,但是能夠有這樣的結果,也算得上“大團圓”結局了。
【2】超級營銷?
令人意想不到的是,由於此次黑客事件不僅涉及金額巨大,而且事件極富戲劇性,使得事件很快“火出了圈”。不僅區塊鏈圈圈人盡皆知,也吸引了不少此前對區塊鏈毫不瞭解的圈外人士,反而使得dForce一下子“名聲大噪”,收穫了極高的知名度,以至於有陰謀論者懷疑,這個是不是一場“自編自導”的超級營銷。
當然,在筆者看來,“超級營銷”的可能性是幾乎不存在的,畢竟事情發展到今天,雖然有了大團圓的結局。然而對於dForce來說,評價方面也是譭譽參半的。
一方面,大家普遍認可dForce團隊負責任、有行動力和影響力,一次“追幣行動”幾乎調動了大半個圈子的技術力量;另一方面,安全性方面的問題,對於投資人的“心理陰影”是巨大的。通過這樣的大事件去搞“超級營銷”,肯定是得不償失的。
今天,由星空區塊鏈發佈的一份問卷調查結果顯示,當問到“假如的dForce產品重新上線,你是否還會投資?”有10%的用戶選擇了“絕不再投,害怕”;有32%的用戶選擇了“會慎重考慮後再投資”;58%的用戶選擇了“相信負責任、有能力的團隊,會繼續投資”。
初步調查結果來看,至少dForce在40%的用戶那裡,打上了一個問號。因此,假如事件真的是官方為了打響知名度的一起“超級營銷”,如此“走鋼絲”的營銷,我只能給一個大寫的“服”字。
【3】信仰黑客?
基本排除了“營銷”的可能性後,我們回過頭來看此次的“1.75億”黑客。
在區塊鏈和互聯網的世界裡,黑客一直是食物鏈頂端的存在,黑客盜幣已經算不上大新聞,然而黑客盜了1.75億的幣,然後又足額還回來,實在是聞所未聞。短短兩天時間,無論dForce項目方,還是成千上萬的DeFi投資者,甚至廣大吃瓜群眾,對於這位“不走尋常路”的黑客大哥,心裡不知道喊了多少遍“臥槽”。
據業內人士介紹,dForce的兩位創始人楊民道和許昕,都是業內的“教父”級人物,dForce的投資人也稱得上“背景通天”。在4 月 20 日,官方聯合安全團隊,基於黑客在攻擊前後留下的痕跡,成功確定了準確的黑客畫像,並開始與國內外各方資源進行交叉對比,獲得突破性線索。隨後,dForce官方在推特上發佈了一堆“符號碼”,疑似通過“密碼”向黑客喊話或者進行“談判”。
有分析人士指出,黑客的真實身份很可能已經被鎖定。不過,根據事後官方披露的信息,黑客是“在重重壓力下,與我方主動溝通,所有資產被成功找回。整個過程中,dForce 團隊未曾獲得任何合作方向我方提供的用戶敏感信息。”
根據此前媒體報道,這位“1.75億黑客”是在變賣數字資產時,洩漏了個人的IP地址,從而不得不“繳械投降”。然而,事實上,在筆者看來,一名如此優秀的黑客,犯下如此低級錯誤的可能性真的不大。同時,即便鎖定了IP,與鎖定個人真實身份,應當還是有很大差距的。
同時,由於數字貨幣的法律地位,目前在許多國家並沒有明確的規定。黑客大哥在整個操作過程中,使用的是“重入攻擊”,從技術上來講,可以理解為只是“用一串數據交換了一串數據”,很有可能即使本人身份暴露,最壞的結果無非是還幣。面對1.75億元人民幣的鉅額財富,大多數人可能都會選擇“多掙扎幾下”。
實際上,對於真正的“黑客”一詞,最初的定義是“高超的編程技術,強烈的解決問題和克服限制的慾望。”長久以來,存在一個專家級程序員和網絡高手的社群,其歷史可以追溯到幾十年前,黑客們建起了Internet,黑客們使Unix操作系統成為今天這個樣子,黑客們搭起了Usenet,黑客們讓WWW正常運轉。真正的黑客,是一種精神,一種解決問題,推動前進的精神,黑客們的終極願景,正是此次“1.75億黑客”所留言的“better future”。
因此,有不少人認為,此次出手的黑客,可能是一名真正有靈魂、有信仰的“黑客”,他只是在用這種看上去極端的方法,警告人們關注DeFi的重大安全漏洞。
【4】以太坊難以承受之重
一年來,以太坊鏈上的DeFi產品安全性上已經爆了好多次雷,有預言機問題導致的Synthetix被攻擊、bZx合約漏洞被攻擊、有極端行情下底層設施堵塞導致的MakerDAO “0出價拍賣”問題、還有像這次dForce出現的“重入攻擊”。
一個產品出現問題,我們可以認為只是產品的問題;一系列的產品出問題,我們不禁會懷疑,以太坊到底是否足夠安全?是否有能力承載起未來百萬億級規模的DeFi市場?現在看來,DeFi產品所面臨的最大問題,是底層基礎設施的安全性與性能問題,換言之,如今的DeFi,其地基是不夠牢固的。
DeFi必須構建在更安全、性能更高的底層設施之上。從當前市場來看,基於POW共識的國產下一代世界級公鏈Conflux(樹圖),是最有希望成為DeFi“新地基”的一條跨時代的公鏈。
Conflux通過創新的樹圖賬本結構和樹圖算法,成功解決了高併發網絡中,因分叉造成的計算資源浪費和隨之降低的安全性問題。從而在保證安全可靠和足夠去中心化的前提下,將公鏈的吞吐量提高到3000-6000TPS,打造了更加安全、高效的區塊鏈底層設施。
針對此次導致dForce被盜的“重入攻擊”,Conflux從底層做出了權衡,Conflux認為現階段重入機制帶來的安全風險要遠遠大於它帶來的便利,因此Conflux現階段將在虛擬機層面禁止“重入”行為。將來也有可能重新開放重入機制,但是Conflux會建議開發者在重要業務的合約代碼中都加入“重入鎖”,確保在執行過程中禁止重入調用,從根本上避免重入攻擊的可能性。
4月27日,也是Conflux網絡第一階段正式上線的日子。本階段,Conflux 將為網絡生態中的應用提供穩定、安全的測試環境。第一階段上線,意味著用戶可以正式參與並體驗到 Conflux 高性能底層網絡及生態服務。
Conflux 認為,對於任何技術來說安全都應該是第一位的,保障用戶及合作伙伴的資產和數據安全,亦始終是 Conflux 網絡的核心使命之一。第一階段的重要意義在於提供一個穩定的底層網絡環境,供 Conflux 生態之上的合作伙伴測試開發 DApp。
