文|嚯嚯
編輯|文刀
距離DeFi借貸協議bZx資產被盜過去6天,而此事趨生的信任危機仍未平息。
2月15日和18日,攻擊者分別兩次利用DeFi借貸協議bZx的「合約漏洞」,在不足15秒內,成功「套利」近百萬美元。
儘管bZx協議開發者採用了緊急管理權限,成功將攻擊者的部分收益鎖住,但開放著擁有一鍵暫停功能的操作也引來了市場質疑。
不僅如此,在bZx第二次遭受攻擊當天,DeFi生態中鎖定資產價值在數小時內下跌1.42億美元,DeFi生態的信任危機爆發。
有人將此事視為「DeFi喪鐘」,也有人將它視為成長的陣痛。不可否認的事實是,bZx事件讓幣圈注意到了還未成氣候的DeFi生態。同時,也給每個從事DeFi應用開發的創業者帶來了警示。
bZx攻擊者三天套利近百萬美元
「匿名借別人的錢來攻擊項目,最後再歸還脫身,這在傳統金融體系下是不可能實現的。」2月24日,智能合約審計公司Quantstamp聯合創始人Richard Ma的一番話在推特上引發不少討論。
距離DeFi借貸協議bZx資產被盜已過去6天時間,事情造成的負面影響仍在延續。
2月15日,在不足15秒的以太坊單位區塊時間內,有攻擊者利用DeFi借貸協議bZx的「合約漏洞」,在5個DeFi產品間來回調用智能合約機制,以零資金成本成功「套利」了價值35萬美元的代幣。三天後,bZx 再次遭遇類似攻擊,價值64萬美元的代幣被成功套走。
「兩次攻擊根本原因都是因為去中心化交易協議Uniswap共享了池中的交易對價格,當攻擊者通過多種方式操控市場價格時,就會產生套利空間。」 慢霧安全團隊Yudan告訴蜂巢財經。
以第一次套利為例,「攻擊者」先將借貸來的1萬個以太坊中的5500枚存入了抵押借貸DApp Compound中,借出了112 個WBTC。WBTC是比特幣的Token化代幣,與比特幣間的兌換比例是 1:1。
之後,攻擊者從剩下的4500個ETH中拿出了1300個,存入借貸協議bZx,並以5倍槓桿借出了5637個ETH,之後馬上兌換為WBTC。由於bZx接入了代幣交易協議Kyber,而該協議又可連結至去中心化交易協議Uniswap 里的WBTC交易池,導致WBTC價格被拉高。
攻擊者通過一系列操作獲得了51.34WBTC,不過這一步尚未產生任何收益。此時,WBTC的價格已經在 Uniswap上拉高3倍多。
套利發生在最後一步。攻擊者把Compound借出來的112個WBTC,通過bZx高價賣出,進而獲得了6871.4個ETH,不僅清了5000ETH的原始債務,還成功套利了約1271ETH,按當時ETH 280美元價格計算,攻擊者獲利約35萬美元。
攻擊者套利示意圖
Yudan認為,「在DeFi生態中,價格共享本該是一件好事,大家共享一個市場,防止每個 DeFi應用中的價格出現不一致而產生其他風險。但這同時也引入了過度依賴第三方價格的問題。當第三方價格市場被人為操縱,依賴這些第三方數據的 DeFi 項目就有可能出現損失。」
事件引發的眾多討論聲中,不少人都將此次攻擊當成是針對DeFi生態問題的精準伏擊。雖然兩次攻擊損失的金額不敵中心化交易所一次被盜的規模,但從bZx兩次攻擊只相差了3天時間,DeFi項目的安全問題引發了業界及用戶的擔憂。
DeFi生態鎖定資產蒸發2億美元
2月18日,bZx再遭攻擊當天,據分析平台DeFi Pulse統計,DeFi生態中鎖定資產價值在數小時內下跌1.42億美元。
DeFi生態鎖定資產跌至10.8億美元
數據顯示,本月初時,DeFi協議中鎖定的資產總價值首次突破10億美元大關,並於2月15日創下歷史新高,達到12.2億美元。bZx事件後,生態中鎖定資產價值已從高點的跌至如今的10.72億美元。
bZx事件導致DeFi生態出現了信任危機,「大家害怕鎖定的資產會丟失。」有業內人士稱。
如今, bZx協議開發者採用了緊急管理權限,成功把攻擊者的部分收益鎖住了。但項目方擁有「一鍵暫停」功能的操作又引來了市場質疑——這是否有悖去中心化的理念?有人認為,這讓整個Defi生態暴露了「原罪」。
「這就是我不相信DeFi的原因。」萊特幣創始人李啟威(Charlie Lee)在推特上直言,大多數DeFi可以被一個中心化的部門關閉,所以它只是一個去中心化的「戲院」,「除非我們增加更多的中心化,否則沒有人能避免黑客攻擊或漏洞被利用。」
面對外界對DeFi生態的質疑,長期觀察DeFi生態的機構投資者Blockpower創始人楊民道給出了另一種解讀。他告訴蜂巢財經,「相比於DeFi去中心化金融,我更喜歡開放金融(open finance) 這個說法。開放金融的特點是開放、透明和信任最小化,非去中心化的權限管理並不意味著中心化的運作。」
Yudan也持相同看法,他認為,外界不應該就此次安全事件而否定整個DeFi生態,「DeFi的初心是開放金融,一個 DeFi產品上線,也意味著存在很多未知風險。而項目方的管理員私鑰則是在遭遇『黑天鵝』事件後的最後一道防火牆,這個管理員操作在鏈上也是公開的,公眾可以通過鏈上交易進行監督。」
Yudan認為,未來只要項目方合理利用好這樣的超級權限,一定程度上有利於項目更好的發展,並且在引入這種中心化的超級權限時,完全可以將這樣的權限進行分權,「比如使用多重簽名,來降低項目方內部作惡的風險。」
DeFi市場規模增3倍 安全迎挑戰
bZx事件在幣圈鬧得沸沸揚揚,有人將它視為「DeFi喪鐘」,也有人將它視為成長的陣痛。但這次攻擊事件,也讓幣圈開始顯露對DeFi生態及應用的興趣。「不學習Defi,真的跟不上節奏。」有業內從業者在轉發bZx事件時感慨。
如果說2018年是 DeFi 的萌芽初期,那麼過去的2019年稱得上是DeFi發展元年。據DAppTotal 數據顯示,DeFi全行業的鎖倉總值大幅增長,從2019年1月1日的3.02億美元,飆升至年底的9.31億美元,漲幅近300%。
DeFi 是Decentralized Finance(去中心化金融)的簡稱,也稱為開放式金融,目前主要在以太坊網絡生態內較為活躍,經過兩三年的探索發展,衍生出了穩定幣、借貸平台、衍生品、預測市場、保險、支付平台等多種金融創新。
中央系統控制和調節金融系統是現存的主流狀態。DeFi則希望通過分布式開源協議,建立一套具有透明度、可訪問性和包容性的點對點金融系統,將信任風險最小化。
目前,DeFi 在以太坊網絡中出現了MakerDAO、Compound 等知名度較高的應用, EOS 網絡上也已經有EOSREX這樣的平台,此外不少新興公鏈,如Cosmos、Polkadot、Nervos也曾表示未來會在DeFi應用領域中做重點布局。
DeFi應用頭部排行榜
不過,bZx事件讓外界注意到,致力於解決中心化金融信任風險的DeFi如今也因安全問題而面臨信任危機。
「MakerDAO 並未受此次事件的影響。」該項目的中國區負責人潘超對蜂巢財經表示,這類攻擊對MakerDAO無效,「因為Dai不依賴算法儲備池類的 DEX 提供流動性,也沒有使用 DEX 價格作為預言機喂價。」
潘超認為,bZx事件也給每個DeFi從業者都帶來了警示,設計產品時要謹慎考慮所接入的其他協議,因為這些外接協議可能隱藏著⻛險,影響自身系統,「DeFi本身不是問題,問題是協議之間的耦合。」潘超也指出,此次bZx被攻擊的漏洞對於獨立的單個協議無效,但是幾個協議聯繫起來,就會產生套利風險,用戶應該選擇經過時間檢驗的產品。」
當DeFi市場不斷壯大之時,也給行業安全帶來全新挑戰。因為,如果DeFi生態是一個所有人都能看到的透明金融池,那麼黑客也必是窺視者之一。
互動時間
bZx後,你還會使用DeFi應用嗎?