GENS:DeFi 频遭攻击，真的足够「去中心化」吗？

DeFi——去中心化金融，不同于过去中心化的传统金融需要许多中介机构如银行、证券交易所的参与，DeFi利用了区块链的技术，逐渐发展出有别于传统金融的金融商品，疯狂受到追捧。根据DeFiPulse的数据，DeFi锁仓量已飙升了200%以上，从2021年1月份的$320亿到12月份的$980亿。DeFi作为去中心化世界的明星产物，凭其去中心化、不可篡改、无需信任、开放透明可组合等特性为用户打开了开放式金融的大门。

不过，DeFi真的足够「去中心化」吗？

从协议层面以及交互方式来看，DeFi的确足够去中心化。但从一些攻击事件上看，DeFi似乎显得不那么去中心化。

?

波卡DeFi项目Equilibrium将在Kusama发布DeFi平行链Genshiro:4月17日消息，波卡DeFi项目Equilibrium将在Kusama上推出DeFi平行链Genshiro，并将参与平行链插槽拍卖。

据悉，不同于其平台Polkadot版本，Genshiro从一开始就会支持大量ERC-20代币；其治理模式的工作原理是让用户质押GENS（Genshiro基于Kusama的实用型代币）针对新系统参数进行提议和投票。用户的资金质押时间越长，其投票对提案的影响就越大。关于GENS代币经济学，EQ：GENS=1:10，EQ初始供应量为1.2亿枚，Kusama上GENS代币总供应量为12亿枚。

关于Polkadot上现有EQ持有者的Lockdrop，在Polkadot上分配并归属EQ的用户可以获得Kusama上GENS代币数量10倍的代币。不过他们将需要在三个月内质押未解锁的EQ代币，而GENS将被自动计入锁定的分配额度（在Genshiro创世区块被归属）。如果用户解锁了代币，需要将其锁定3个月，未解锁的每枚代币才能获得10枚GENS。

Equilibrium还表示，希望Equilibrium和Genshiro可以在Kusama和Polkadot以外的地方使用。[2021/4/17 20:31:17]

2021年7月14日，波卡数字收藏品市场平台BondlyFinance遭到攻击，导致373,088,023美元的BONDLY代币从BondlyStakingRewards合约中转出，据官方调查，攻击者通过精心策划获得了属于Bondly首席执行官BrandonSmith的密码帐户的访问权限。密码帐户包含Smith的硬件钱包的助记符恢复短语，复制后允许攻击者访问BONDLY智能合约，以及被泄露的公司钱包。

PayYoda生态亚太地区CMO：PayYoda作为Defi板块的重要聚合器，将专注于为投资者提供完整的生态聚合服务:据官方消息，2021年4月13日下午，由澳亚财经主办的直播专访邀请到了PayYoda生态亚太地区CMO Dine直播分享近期PayYoda生态的最新发展。直播期间Dine与主持人就面对PayYoda生态成长三部曲等发展规划行了问答与交流。Dine 表示，PayYoda团队已经发布了生态成长三部曲计划，目前正在加速产品落地。预期将在本月二十日之前上线部分钱包基础功能供社区用户测试回馈。

PayYoda生态在应用落地上是长远性布局的，稳扎稳打，逐步推进，无论是DeFi领域的涉足，还是社区基金的建立，都是为了能够实现真正聚合的PayYoda开发生态。为此，项目团队首先规划的是具有DeFi聚合应用模块的多链钱包应用，在进一步巩固DeFi市场地位的同时，也为PayYoda生态用户带来稳定、便捷、优质体验的链上钱包服务，让所有关注信任PayYoda生态的用户可以早日用上自己的产品，让所有持有HYOT的用户可以早日参与社区共治。[2021/4/13 20:14:56]

有趣的是，该黑客似乎在四个月后又以相似的方式攻击了另一个DeFi项目。

OKEx DeFi播报：DeFi总市值97.6亿美元，OKEx平台MEME领涨:据OKEx统计，DeFi项目当前总市值为97.6亿美元，总锁仓量为137.5亿美元；

行情方面，今日DeFi代币普涨，OKEx平台DeFi币种涨幅前三位分别是MEME、DHT、MLN；

截至17:00，OKEx平台热门DeFi币种如下：[2020/11/5 11:43:37]

2021年11月5日，DeFi协议bZx发推称控制Polygon和BSC部署的私钥已被泄露，导致资金损失。据官方调查，黑客使用的钱包之一参与了BondlyFinance的攻击。同时，本次漏洞利用与BondlyFinance的非常相似：黑客获得了开发人员的密码，然后从协议中操纵了一个智能合约。不久，bZx在更新的事故报告表示：“我们聘请了一家名叫Kaspersky的安全公司，该安全公司调查后认为这次攻击很可能是由朝鲜黑客组织Lazarus执行的。”据慢雾AML旗下反追踪系统MistTrack?分析，攻击者初始资金来自Tornado.Cash转入的0.9ETH，接着攻击者一番操作将被盗资金分散到多个地址。然后攻击者将多种代币换为ETH，最后通过Tornado.Cash转出10960ETH，以太坊部分的洗币基本完成。

动态 | 数据：锁定在DeFi中的ETH已达293.1万枚，再创历史新高:DeFi Pulse数据显示，12月22日，锁定在DeFi应用中的ETH总量现已达293.1万枚，再创历史新高。（AMBCrypto）[2019/12/22]

以上两个事例都是无关合约问题，而是开发人员遭到钓鱼攻击致私钥泄露从而影响用户资金。回顾近期，私钥泄露似乎变得非常热门：Levyathan损失150万美元、8ightFinance损失175万美元、VulcanForged损失1.4亿美元……我们不禁想，这是不是表示着线下实体实际掌管着控制权呢？

除了钓鱼攻击，前端攻击也是引发DeFi安全问题的高危据点。

2021年12月2日，据官方Discord消息，去中心化组织BadgerDAO遭遇黑客攻击，用户资产在未经授权的情况下被转移。12月9日，Badger?发布了详细的事故报告，报告称此次事件是CloudflareWorkers上的恶意注入代码片段导致的。CloudflareWorkers是一个运行脚本的界面，这些脚本在流经Cloudflare代理时对Web流量进行操作和更改。攻击者在Badger工程师不知情或未授权的情况下获取了项目方在Cloudflare后台的APIKey，以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时，触发恶意代码后会发起交易让用户去确认。用户确认了那笔恶意交易，就会将代币授权给攻击者，然后攻击者就可以在用户不知情的情况下将代币转走。据慢雾AML旗下反追踪系统MistTrack分析，黑客将部分获利的加密货币换成renBTC，并通过renBTC将约2100BTC跨链转移到14个BTC地址，目前暂无异动。

在DeFi世界，合约一旦部署不可篡改不可撤回，理论上来说是不会受到人为的干预，这点确保了其去中心化的特点，但目前绝大多数前端仍是通过传统架构实现，虽然网页自身也在不断在进化和发展，但是仍存在很多潜在的威胁，同时针对前端的攻击往往容易被开发者忽视，这些错误因素使得攻击者饱餐了一顿又一顿。

2021年9月17日，SushiswapCTO在推特上表示，SushiswapIDO平台Miso的前端遭受攻击。承包商的一名匿名员工将恶意代码注入Miso前端，把拍卖钱包地址替换成了自己的钱包地址，导致864.8ETH被盗。

当前端问题开始影响资金的安全性，作为用户不得不深思如何才能做到安全地参与DeFi项目，简直如履薄冰。

总结

不管怎样，“DeFi是否完全去中心化”这个问题也许会一直存在。与其说去中心化是DeFi最大的特性，不如说是DeFi世界的终极目标。而不论是作为用户、审计机构还是作为项目方，我们经历过如此多的DeFi安全事件后，是否仍然只将注意力聚焦到智能合约上呢？答案不言而喻。

标签：DEFDEFIEFIGENSEVAL DEFInSights DeFi TraderRio DeFiGenshin Impact Token

酷币热门资讯