曹寅:Lendf事件如同阿波羅13號,向DeFi探險者致敬

tsai
分享
曹寅:Lendf事件如同阿波羅13號,向DeFi探險者致敬

DeFi 協議是我們飛向自由空間的飛船組件,DeFi 協議開發者們擔當的是飛船工程師角色,而DeFi 的複雜性已經超過了DeFi 的成熟度。

原文標題:《DeFi Review:休斯頓,我們有麻煩了》
撰文:曹寅,數字文藝復興基金會董事總經理

如果未來,全人類有機會使用各種自由開放的DeFi 服務的時候,應該感謝在過去歷f次黑客攻擊事件中受損的DeFi 用戶,以及各位孜孜不倦,不忘初心的DeFi 開發者們,這段激動人心的旅程永遠肇始於這些探險者和建造者們踏出的第一步,向他們致敬。謹以此文向各位DeFi 用戶致敬。

Huston,We Have a Problem

1970 年4 月13 日21 時7 分,在前往月球的阿波羅13 號發射55 小時52 分之後,位於休斯頓的地面控制中心向已經進入太空的飛船傳遞了打開風扇、攪動低溫氧氣箱的指令。

於是,阿波羅十三號的宇航員在飛船發射後的55 小時53 分20 秒打開了低溫氧氣箱的風扇。

但只過了2.7 秒,飛船就發生了猛烈爆炸。

阿波羅13 號上的三個宇航員當時就懵了。宇航員斯威格特馬上向地面指揮中心報告並說出了那句被無數人借用的著名台詞:

休斯頓,我們有麻煩了。(Huston,we have a problem.)

曹寅:Lendf 事件如同阿波羅13 號,向DeFi 探險者致敬

DeFi 的休斯頓時刻

在阿波羅13 號爆炸 50 年之後的今天,人類向數字空間的探索也到了休斯頓時刻。東半球最重要的 DeFi 借貸協議 Lendf.Me 今日遭受嚴重攻擊。

黑客攻擊利用了 ERC777 標準的 imBTC 在Lendf.ME 協議組合產生的漏洞。

imBTC 是 imToken 推出的以太坊區塊鏈上的 BTC 代幣,ERC777 是在 ERC20 基礎上推出的代幣標準,兼容ERC20,並在ERC20 的基礎上增加了一些新的特性。

imBTC 本身並沒有安全問題。但 ERC-777 代幣與 Lendf.Me 合約組合,就會產生重入攻擊漏洞。

黑客利用漏洞,在 Lendf 上重複鑄造出了6700 多枚假的 imBTC,並以此為抵押,將 Lendf.Me 上的資產洗劫一空,並立即不斷通過 1inch.exchange、ParaSwap、Tokenlon 等DEX 平台將盜取的幣兌換成 ETH 及其他代幣,還將其餘部分贓款轉入了借貸平台 Compound 和 Aave。

曹寅:Lendf 事件如同阿波羅13 號,向DeFi 探險者致敬Lendf 的借貸餘額中出現6732.91 枚虛假imBTC

據安全審計企業慢霧科技初步統計分析,Lendf.Me 被攻擊累計的損失約 24,696,616 美元,具體盜取的幣種及數額為:

WETH: 55159.02134,
WBTC: 9.01152,
CHAI: 77930.93433,
HBTC: 320.27714,
HUSD: 432162.90569,
BUSD: 480787.88767,
PAX: 587014.60367,
TUSD: 459794.38763,
USDC: 698916.40348,
USDT: 7180525.08156,
USDx: 510868.16067,
imBTC: 291.3471

被攻擊後,Lendf 鎖倉資產美元價值瞬間下跌 100% 至 6 美元,而此前的鎖倉總價值超過 2490 萬美元。此次攻擊不僅造成了大量用戶損失(包括我在內),更是嚴重打擊了 DeFi 開發者和用戶對於DeFi 應用的信心。

攻擊發生後,全球加密社區內充斥著恐慌和憤怒,而一些本來就因為各種原因對DeFi 有所偏見的人更是趁機落井下石,其中不乏一些根本對DeFi 不了解的狹隘人士。

Lendf 的事故有其自身在責任原因,在調查結果出來之前,我無意在此展開,但DeFi 本身的發展階段性問題是更關鍵的事故原因,我們必須認識到:DeFi 的複雜性已經超過了DeFi的成熟度。

自從去年上半年DeFi 大爆炸以來,DeFi 世界的新資產和新協議如雨後春筍一樣冒出來,我每天都通過Twitter 和媒體監測最新出現的DeFi 應用。最近三個月來,我看到DeFi 新應用和新資產正以至少每天兩三個的速度湧現,而DeFi 協議之間的可組合性,使得DeFi 的複雜性更是呈現指數級別增長,協議互相之間的影響已經超越了單純的樂高積木組合方式。

擴展閱讀曹寅:DeFi將超越樂高時代,進入「湧現」時代

但與此同時,全球DeFi 團隊和用戶對於協議和操作安全的認識,還仍然以樂高積木的線性方式增長,所以,我們最近才會看到越來越多的安全事故,包括但不限於 bzx 的閃電攻擊,MakerDAO 0 DAI 拍賣。

而 Uniswap 和 Lendf 的imBTC 重入攻擊,則僅僅是這種成熟度和復雜度增長曲線不匹配現象的又一必然結果,就如同當年阿波羅13 號的事故。

據NASA 的調查團隊事後發現,阿波羅13 號發射前,指令艙進行過多項改進,其中之一是將氧氣箱中的加熱器電壓由28 伏提高到65 伏,但加熱器上的熱穩定開關沒有進行相應的修改,電壓仍然是28 伏。當工作後,熱穩定開關就融化了,於是,悲劇就發生了。

這和Lendf 的imBTC 重入攻擊多麼的相似啊!都是由於新的系統組成部分同舊系統之間的不兼容而導致的災難,Lendf 根據開源的Compound 協議開發,當初開發者並沒有意識到ERC777 的出現,接入ERC777 格式的imBTC 的結果就像阿波羅13 號的氧氣箱一樣發生了爆炸,但獨立的來看,imBTC 和Lendf 的代碼,阿波羅13 號的氧氣箱和加熱器開關都沒有問題。

阿波羅13 號發射的時期,正是人類太空技術大躍進的時代,在依賴極度原始計算機設備甚至人工手算的年代,美國人傾盡國力,耗費上萬億美元,開發了上萬種航天設備和系統,並將其組合成阿波羅系列飛船以及承載飛船的土星五號火箭,以當時的技術水平,阿波羅計劃不可不謂之奇蹟。

但即使強大如美國,阿波羅計劃也難以避免複雜度指數曲線和成熟度線性曲線之間不匹配而導致的災難性結果,以社區開發力量為主的DeFi 又怎麼可能避免必經的發展階段挑戰?

擴展閱讀曹寅:DeFi繁榮生態背後的隱患與2020展望

向探險者致敬

我們不應為Lendf 或者Maker 的事故而對DeFi 失去信心,阿波羅13 號的失敗之後,NASA 並沒有取消阿波羅計劃,美國人也沒有因此停下對太空探索的步伐,深刻反思之後,NASA 又發射進行了多次成功的阿波羅任務,之後還建造發射了更偉大的國際空間站。

區塊鏈和 DeFi 對於人類的意義並不亞於太空探索。太空探索是生產力的革命,讓我們可以離開地球,飛向太空,而區塊鏈和DeFi 則是生產關係的革命,讓我們可以擺脫中心化的束縛,掌握自己的數據和財富主權。

DeFi 協議就是我們飛向自由空間的飛船組件,DeFi 協議開發者們擔當的是飛船工程師角色,而最重要的宇航員,則由DeFi 用戶們擔任。所有參與者,無論開發者還是用戶都扮演了偉大的角色,無論結果,都值得尊敬。

在尊敬之餘,我們現在必須立刻意識到,DeFi 的發展已經進入了危險區域,開發者們應該放下各種門戶之見和利益立場,攜手合作,設計打造出更安全的DeFi 飛船,為飛船上的用戶負責。

在這次Lendf 攻擊事件發生後,很多 DeFi 開發者和交易所都主動出手幫助 Lendf,但某些 Lendf 的競爭對手項目方不僅不願提供幫助,還第一時間發推諷刺 Lendf。

當年阿波羅十三號發生事故後,整個美國都在想辦法幫助三名宇航員,連美國的敵人,蘇聯,也主動向美國提供幫助。同蘇聯相比,Lendf 競爭對手這種行為不僅刻薄,而且不智,現在的DeFi 探索已經進入了深水區,全球所有項目方,無論是否有競爭關係,其實都是在一艘飛船上,即使不出手幫助,也不應該出言諷刺,最後傷害的是所有用戶對於DeFi 的信心。

沒使用過DeFi 的旁觀者也不必因為頻發的黑客攻擊,而對DeFi 開發者和用戶冷嘲熱諷。如果沒有DeFi 開發者和用戶的努力和犧牲,何來安全高效的開放金融應用?更何況,現在的DeFi 用戶很多本身都是DeFi 開發者,工程師們自己也坐在飛船上。

如果未來我們的後代到達比月球遠得多的地方時,他們會想起阿波羅十三號的三名宇航員:詹姆斯-A-洛威爾、傑克-斯威格特和弗雷德-海斯,以及挑戰者號和哥倫比亞號航天飛機上犧牲的宇航員。

如果未來,包括南美,印度,非洲在內的全人類,有機會使用各種自由開放的DeFi 服務的時候,也應該感謝在過去歷次黑客攻擊事件中受損的DeFi 用戶,以及各位孜孜不倦,不忘初心的DeFi 開發者們,這段激動人心的旅程永遠肇始於這些探險者和建造者們踏出的第一步,向他們致敬,Huston, we solved the problem。

本文經鏈聞同意授權轉載,文章來源:鏈聞 ChainNews(ID:chainnewscom)

衍伸閱讀


立即加入 Telegram 獲得最精準的區塊鏈新知、加密貨幣動態!