价值175亿元数字资产的48小时奇幻
事实证明,许多事情,不一定要“活久见”,而是要活在恰逢其时的年代。
年,我们与90岁的巴菲特一起,第一次经历了席卷全球的残酷病毒;第一次见识了史无前例的美国股市连续熔断;第一次看到了不可思议的“负油价”和“买油买到倒欠银行几百万”的欲哭无泪。
就在4月21日,我们又见证了一笔价值1.75亿元人民币的数字资产从被盗,到中转,最后“物归原主”的奇幻之旅。这注定是一个可以改编成电影剧本的故事。
“头孢配啤酒”式的致命伤害
首先,我们试图向圈外的读者来说明一下什么是“数字资产”。
我们知道上帝创造了黄金、白银这些不能吃、不能喝,作用也比较有限的石头,而人们在漫长的历史中,将这些石头“共同认为”是财富与价值的度量衡。
10年前,一个或者一群叫“中本聪”的人创造一个同样不能吃、不能喝,但是代表人类当前最高智慧结晶的数字货币,人们称之为比特币。比特币一经问世,就收获了一些人的共识,具备了价值,随后还有包括ETH、ETC、BCH在内的为数不多的数字货币,也取得了人们的共识,人们称之为数字资产。
这些数字资产,可以随时在火币、币安等交易所变现为等价的法定货币。这与大家身边每天有人推荐投资的“区块链”,那些可以让人“一夜暴富”的所谓“数字货币”,真的是完全不同的概念。
说完这个前提,我们可以开始故事了:
两天前的4月19日上午,亚洲地区最大的DeFi平台dForce旗下的贷款协议Lendf.Me遭到黑客攻击,导致价值约1.75亿元人民币的真正的数字资产被洗劫一空。
人们或许会问,区块链不是号称最牛逼最安全吗,为什么还会遭遇黑客呢?管理1.75亿元资产的区块链平台,为什么会如此不堪一击?
区块链虽然安全且牛逼,但是基于区块链的许多技术还是太年轻了。
具体技术方面的问题,讲多了实在枯燥。大致情况是,黑客利用ERC合约和DeFi平台的兼容性问题,在Lendf.Me上多次调用重入攻击,并以imBTC进行不断的重复抵押,将Lendf.Me上价值1.75亿元的资产洗劫一空。
整个事件中,ERC合约本身并没有问题,它是一个牛逼到可能颠覆现有银行体系的智能合约。dForce旗下的Lendf.Me本身也没有问题,他是由华人创办的当前最牛逼的DeFi平台之一,由全球首屈一指的安全机构PeckShield进行安全审计。
然而,当Lendf.me在加入了基于ERC的imBTC,由于ERC合约与DeFi协议的兼容性问题,黑客的机会就来了。
ERC标准扩展的功能之一是提供了“hook”机制,“hook”函数能够在一笔交易完成前后将通知发送给交易双方,并允许其取消交易,确保了交易相对的客观公正。因为“hook”函数通知是需要操作时间的,黑客就利用这一点,发起重入攻击,在用户一笔交易未完成的时候,又发起一笔新的交易,扰乱了原有的交易节奏。
形象来讲,就是头孢遇上了啤酒,头孢本身是好药,啤酒也是好酒,但是头孢配上了喝酒,就可能出现双硫仑样反应,严重者会致死。
头孢配啤酒,一喝到永久。
区块链圈的“拯救大兵dForce”行动
攻击事件发生后,搞砸了1.75亿的dForce团队并没有“甩锅”或者“跑路”,而是第一时间组织起圈内有史以来最声势浩大一次“追币行动”(不知道有没有代号)。实际上,dForce的两位创始人杨民道和许昕,都是业内的“教父”级人物,而dForce本身,也代表了DeFi领域至少中国范围内“全村人的希望”,它不能也不应该垮掉。
一时间,整个区块链圈开启了一场“拯救大兵dForce”行动:
首先,dForce通过其投资人(MulticoinCapital、CMBI、火币资本等)紧急联系了各大稳定币资产发行方和去中心化金融协议团队。
接下来,官方开始联系各大中心化交易所和钱包等合作方的高层,要求将黑客地址以及相关涉案账号加入监控并冻结被盗资产。
其中,dForce的意向合作方,Conflux项目的联合创始人张元杰通过个人关系联系到USDT发行方Tether的高层,希望他们能够设法冻结涉及该起事件的USDT资产。
4月19日下午,dForce、星火与imToken安全团队在线下集结,并与慢雾远程连线成立临时安全团队,开始进行资产追回。
另一方面,在杨民道和许昕的影响力之下,整个中国地区以太坊技术圈都默默行动起来,一张指向涉事黑客的天罗地网悄悄张开……
4月19日晚间,感受到压力的黑客在链上留下信息“BetterFuture”。随后,黑客向Lendf.MeAdmin地址转回大约价值万美元的数字资产。
4月20日,基于黑客在攻击前后留下的痕迹,联合安全团队成功确定了准确的黑客画像,并开始与国内外各方资源进行交叉对比,获得突破性线索。随后,dForce官方在推特上发布了一堆“符号码”,疑似通过“密码”向黑客喊话或者进行“谈判”。
4月21日13点33分,按照官方说法,“黑客在重重压力下,与我方主动沟通,所有资产被成功找回”。当天晚间dForce表示:“整个过程中,dForce团队未曾获得任何合作方向我方提供的用户敏感信息,向给我们提供了支持和帮助的合作伙伴、用户和投资人致以最诚挚的感谢。”
一个“重重压力”,道尽了黑客的艰难处境:真实身份接近被掌握,所有数字资产变现的渠道接近被完全封堵,仿佛听到四周都有人在喊话“里面的人听着,你已经被包围了……”
“中心化真香”的反思
事件已经有了一个良好的结果,但是留下影响,无疑是巨大的。除了老生常谈的“安全问题”,更值得反思的一点是,到底什么才是真正合适的“去中心化”?
整个“1.75亿”黑客事件中,我们看到这样一个场景,被业内人士戏称为“去中心化借贷、中心化抓人”,“中心化,真香”!试想一下,假如没有中心化的新加坡警方的介入,没有大型中心化交易所的“KYC认证”,没有中心化的“IP上网痕迹”等等,黑客还真有可能逍遥法外。
DeFi到底应该追求怎样的“去中心化”,这是一个非常深刻的问题。
在理想化的DeFi场景下,我们的绝大多数链下资产和个人信用,都将在政府法定背书的前提下实现“上链”。我们的借贷业务不再需要银行,而是藉由庞大的DeFi借贷市场,通过抵押数字货币、“上链资产”或藉由个人信用实时获取需要的法币资金。受监管的智能合约平台仅需要少量的维护人员,只需收取不到当前“息差”十分之一的手续费,从而为实体经济解放大量人力资源,降低巨额成本。
在这样的场景下,我们实际上反而更需要的是,更强有力、更智能高效的中心化政府与监管部门,来实现和执行“链上资产”与实物资产的映射和转移。
假设一下,在一个纯粹去中心化的系统里,如果没有人能够阻止作恶,假如真的是纯粹的“CodeisLaw”。那么是不是谁写代码最牛逼,谁就可以为所欲为?实际上,或许我们所需要的,只是中心的“透明可视化”,中心可以阻止作恶但自己无法作恶的一种机制。
进一步猜想,一切中心化的“恶”,大多源自信息的不对称和不透明,而区块链技术所要解决的重点,或许就是信息不对称的问题,从而共建一种群体性的“善的中心化”。
转载请注明:http://www.abuoumao.com/hyfw/1088.html