defi黑客背后的故事,defi 黑客

DeFi安全事故频发，但6.1亿美元被盗不是终点

9月1日，DeFi项目Cream Finance 发布报告，其官方表示在8月31日中午12点发生的黑客攻击事件中，损失共 4.6 亿枚 AMP 代币和 2804 枚 ETH ，约合 1800万美元。这已经不是Cream Finance之一次出现安全事故了，2021年2月14日，Cream Finance曾因代码漏洞被黑客攻击损失3750万美元资产。

而这还不是近期DeFi领域内的更大安全事件。

8月26日深夜，区块链跨链协议团队Poly Network 正式宣布已经为用户恢复了此前黑客归还的所有资产，总价值为 6.1 亿美元。该消息标志着8月10晚发生的DeFi史上更大金额的攻击事件最终化险为夷，一场巨额资金被盗的悲剧事件在多方努力下以一个体面的方式结尾。

历时16天，白帽黑客、项目方、交易平台、安全团队等等区块链各群体轮番登场，一场神奇的博弈和合作在链上世界通过转账信息一一展开，该事件将注定被写入区块链发展的 历史 中。

8月10日晚间，全球加密货币社区被一则消息震动，随后各方开始了一系列行动。专攻跨链技术的Poly Network宣布主网被黑客攻击，其用户在BSC（币安智能链）、以太坊、Polygon（以太坊侧链）三条区块链上的资产总计被转移6.1亿美金，该金额超越此前DeFi的安全事故，成为迄今金额更大的DeFi安全事件。连圈内知名的DeFi参与者，F2pool创始人毛世行事后都确认个人资金参与其中。

8月11日，界面新闻从Poly运营方获悉，整个团队彻夜未眠，除了最重要的资产被盗，社区内爆发的各类猜想和原因分析让该团队背负巨大压力，加密货币社区中甚至有人质疑Poly作为项目主导方“监守自盗”。

下为整理后的事件始末图。

但DeFi安全事故频发的背后并不是偶然的集中爆发，其背景是一个正在爆发增长的区块链新方向。

如果说2021年是“NFT”大热之年，那么2020年则被区块链世界认为是DeFi爆发的年度，这一年的夏天也被社区称为“DeFi Summer”。

所谓DeFi，全称“Decentralized Finance”，译为去中心化金融，在区块链世界里，它是指通过在区块链上部署有代码组成的智能合约来提供各类金融服务，由于和“传统机构”依靠中心化的机构和人来促成服务不同，DeFi提供的服务从进入到退出全部由代码执行，所以被称为去中心化金融。

如果从广义来说，DeFi的发展可以追溯到数十年之前，比如比特币都算是DeFi的一种。而它所迸发的能量在近几年被认为是区块链的又一大创新，并且有望在某些领域做一次颠覆级的变革。

以目前更大的DeFi项目Uniswap为例，这是一个去中心化交易所，即其流动性并非通过传统金融的撮合交易来实现，而是通过较为复杂的“流动性质押资金池”，简单理解为用户自己注入资金为交易平台提供流动性并得到奖励，同时又可以使用该平台服务来满足自身金融需求，而这一切全部由区块链上的智能合约执行，不由机构或个人来进行执行。

目前，借贷、交易是目前最主流的“DeFi”项目。CoinMarketCap数据显示，头部DeFi项目Uniswap市值已超162亿美元，而其团队规模仅数十人。而相比之下，世界知名的证券交易所纳斯达克的整体市值是331亿美元，但其雇员规模达到五千人。

而此次6.1亿事件的主角Poly Network则是另一种DeFi项目，由于DeFi项目往往涉及到不同资产的转换，所以有一种协议主攻资产跨链。简单来说是将两条链的币相互发给对方。区块链中涉及的跨链技术有很多，有双向锚定（two-way-peg），哈希时间锁，原子交换，资产质押转移，网关，联邦签名等等，非常复杂。而Poly这种则是使用合约跨链，即一条链上的智能合约，能够读取另外一条链上的特定信息，来执行合约代码，并给出确定性的结果，这也属于DeFi的一种类型。

Poly Network就是一个异构链跨链互操作协议，它能够实现从协议层一举打通各个异构链之间甚至各个主流公链之间的通信和交易。比如比特币、以太坊、BSC等主流公链。

所以DeFi被视为是对传统金融的再创新，通过智能合约衍生出了各类新生态，在这个世界，“代码即法律”成为越来越多人的共识。

截止8月30日，DeBank数据显示，目前Defi总锁仓量已达到1122.3亿美元，净锁仓量为829.8亿美元，而2021年初，该数字仅为170亿美元。仅半年过去，DeFi市值增长近十倍。

但随着DeFi爆发式增长的同时，各类安全事故频发，公开数据显示，近两个月，DeFi 领域发生了 19 起安全事故，跨链协议占 6 起，涉及了 Poly Network、Anyswap、ChainSwap 等协议。

F2pool创始人毛世行近日公开表示，“本次黑客盗币事件其实是对 DeFi 行业的反思，由于涉案金额巨大，我们事后也在思考在 DeFi 领域的投资方式，特别是挖矿，投入的是本金，面临是的不确定的安全风险。”

Parity亚洲负责人贾瑶琪对界面新闻表示，因为DeFi协议本身是跟金融直接打交道的，关乎用户的资金，所以DeFi协议的设计和实现需要从一开始就将安全考虑进去，而且无论多严谨都不为过。任何DeFi协议更好通过至少两家安全审计公司进行审计，从而减少安全风险。不引入非必要的管理员身份，同时限制协议部署者和管理员的权限，防止因为单个账户泄露而导致整个协议的全部资金陷入安全隐患。

而在本次事件中，发挥了重要作用的安全审计公司慢雾 科技 创始人余弦曾则发文表示：“这已经是慢雾第N次动用洪荒之力，这也让很多朋友知道慢雾有能力做到这个。但不好意思，这种能力太过消耗，成本也非常高，也有运气成分。”余弦对于DeFi的安全曾表示：“DeFi安全不仅仅是指智能合约安全，还包括区块链基础安全、前端安全、通信安全、新增功能安全、人性安全、金融安全、合规安全。 ‘代码即法律’是一句不切实际且不负责任的话。”

甚至Poly 事件中的黑客也撰写了长长的反思文：“安全是一项艰巨的工作，无论是在现实世界还是加密世界。在大多数情况下，我们的安全专家只会在事件发生后作为体检医师被传唤。我们所做的只是撰写验尸报告，有时会追踪坏人。这在加密世界几乎是一样的，除了有些项目不是很急于拿回钱，因为这不是他们的钱，他们只会告诉真正的受害者‘对不起，我们尝试过，但从来没有保证’。”

毫无疑问，DeFi 在过去一段时间里，在区块链领域已经充分证明自己的价值。并且有了重要的底层基础设施例如算法稳定币、底层借贷、丰富的衍生品，但其面临的资金安全，用户拥堵的性能瓶颈，监管对其合规化的担忧，都将是未来需要解决的问题。

Defi有什么风险？

DeFi所面临的风险之一是项目方跑路。不是每个DeFi都是想把项目做好的，过去有很多DeFi项目都是快速圈钱后，就关闭直接消失。其次是智能合约出现漏洞，DeFi项目出现漏洞被黑客攻击是最常见的DeFi风险之一。由于DeFi整体运行都是由智能合约运作，所以当智能合约出现漏洞被黑客找到时，往往都会被盗走大量金额。而FINTOCH研发出多重签名以及零知识证明结合的慧壁（HyBriid）技术，利用权力分散的机制，避免了项目方卷款，以及智能合约出现漏洞、资产被卷走的风险。

币圈答案，价值40亿元加密货币被盗，黑客究竟是如何操作的？

黑客利用区块链数据协同平台Poly Network中的一个漏洞进行攻击，成功的把这40亿加密货币给盗走，转到了其他的账户当中，目前整个平台正在紧锣密鼓地扎捕这些黑客，因为一旦这些货币流入到币圈市场当中，肯定会给市场造成非常大的破坏，甚至还会影响整个大盘的波动。那么币圈将会导致一定的价格下跌情况出现。

从这一个事情上，我们可以看出现在区块链技术也非常的不成熟，而且黑客的技术明显要比防御技术高出很多，如果防御技术非常强大，那么黑客根本没有办法盗取40亿的加密货币。加密货币的诞生在法律上没有任何的合法性，只是被一些人拥有并且赋予了金钱价值而已，但由于这种技术并不是非常完善，而且这种技术破解程度比较高，因此很多国家担心这种加密货币会影响本国安全，所以对于这种货币都是拒绝的。

但因为这种货币已经形成了独特的金融市场，并且价值正在不断的攀升，因此很多人都会选择用现实中的金钱购买这种虚拟货币，从2021年上半年的形势来看加密数字货币的总体价值是在不断上升的，包括一些著名的货币：以太币、比特币等。这些加密货币整体的价值也拉动了很多人的投资热情，但是由于这种货币风险性比较高，所以很多人在投资之后血本无归。

总结：虚拟货币的出现无疑于给人们的金融提供了一条可以发展的途径，但是这条发展的途径势必会充满风险和艰辛，尤其是现在各个国家 *** 对这种货币不承认，导致这种货币完全没有合法性。所以我们要选择投资这种货币时，一定要擦亮眼睛，经过深思熟虑之后才可以确定是否要投资。

投资defi的建议

1、年化收益率（APR) 高，可不意味着真实回报率高APR 怎么样？这是人们首先关注的。许多项目初始 APR 都高到离谱，看起来似乎是增加你收入的好 *** 。但是先问自己两个问题：高收益可以持续么？刚开始时候，矿币大量分发、热度高企，挖头矿的收益确实可观，但是，短时间内也会大幅下降。获得的代币，是否能卖个好价？许多 DeFi 项目中，刚开始大量代币锁定状态导致市值会虚高，但是不久之后价格就会急转直下。2、使用场景很重要一个 DeFi 项目的代币，是否真有价值？实际上，许多项目中治理代币的价值被高估了。除了治理之外，还有什么其他的代币用途？比如，Uniswap 的平台代币 UNI 可以用作抵押物，在其他平台获得借款，这是使用场景的真实体现。这样为 UNI 赋予了额外的价值，然而许多其他的 DeFi 代币，只是一时价格虚高，并没有真实的使用场景支撑，注定了不久就会下跌。3、警惕未审计的项目在金钱面前，没有审计支持的信誉，有时候根本经不起考验。要记得检查项目是否由知名的审计团队经过安全审计。项目的代码必须被审计。比如，曾经 Andre Cronje 透露他和某个正在开发中的项目有关联，人们信任他的良好声誉，也因此投入了大量的资金。不过，项目未经审计，而黑客从项目盗走了 1500 万美金。4. 计算利润时，记得将 Gas 费用考虑其中经历过以太坊高昂 Gas 费用的时期，DeFi 投资者们应该对此并不陌生。尤其是涉及到复杂的合约时候，如果交易量小，往往赚到的蝇头小利还不足以覆盖高昂的 Gas 费。计算利润时，一定记得考虑这一点。5、什么时候进入市场很关键什么时候开始挖矿？进入的时间点很关键。抢头矿成为了许多人心照不宣的共识，在最初上线的几天之后，市场的收益率往往会开始下跌，如果是此时才留意到该项目的话，要特别当心，免得成为接盘侠。6、认真考虑无常损失随着参与做市的代币交易对价格波动，你参与做市的代币对的数量也会变化。无常损失来自于代币的剧烈波动引起，慎重选择做市的交易对，有助于减少不必要的损失。对无常损失的认识，应当成为每个参与 DeFi 的交易者都应当知晓。有一些 DeFi 会提供对比数据，可供查看。在交易池中，长期提供流动性可能会有助于解决这一问题。7、记得计算项目总市值刚开始流通量小、代币价格高，而未来几天随着流通代币量增加，DeFi 代币的价格会下降。一个可供参考的 *** 是,根据 Coingecko 等网站的统计信息，找出来你投资项目的排名，然后根据另外一个类似项目的代币供应量来进行比较，作为未来价格波动的参考。这种计算有助于你从当前项目的虚高假 High 之中冷静下来，因为经过计算后你往往会发现，项目的单价会降到很低。高速发展的 DeFi， 尽管收益可观，但往往是高风险的游戏。投入之前做好功课管理好风险。只投入你亏得起的资产。只投自己信得过的项目。避免 FOMO。投入一小部分钱，就当做是学习的费用，怀着这种心态参与其中，在 DeFi 项目会更加游刃有余。

价值40亿元加密货币被盗，到底是不是黑客所为？

近日，微博热搜上出现了一则非常恐怖的新闻，Poly Network居然遭遇了黑客的袭击，而且黑客直接在Poly Network盗窃了价值四十亿元的加密货币，此举引起了全世界的关注，而Poly Network很快就发布了“通缉令”，而黑客很显然是怂了，目前已经全数归还给Poly Network了，而此举也说明了这件事情的确是某国的黑客所为。

首先，了解国际货币的读者，想必对Poly Network这个网站都不陌生，本来大家都以为Poly Network是非常安全的，没想到Poly Network居然也出现了“漏洞”。在2021年8月初的时候，号称是安全性能爆棚的Poly Network居然也遭到了黑客的袭击，而且黑客成功在Poly Network拿走了价值四十亿元的加密货币，此举也直接震惊了全世界。

其次，Poly Network本身也不是吃素的，在发现加密货币被盗以后，之一时间就将网站修复了，并且提升了网站的安全性能。Poly Network还直接对黑客发布了“最后通牒”，要求他们在规定时间内将所有的货币归还，否则Poly Network将会联系各国的警方，黑客将会遭到全世界的追捕。

最终，黑客很显然是被Poly Network的“最后通牒”吓唬到了，所以乖乖跟Poly Network建立了联系，并且逐渐归还了加密货币。值得注意的是，Poly Network要求黑客将货币往三个地方放置，而黑客们也都乖乖执行了，这也是令人没有想到的。

围读web3.0，什么是Defi

DeFi就是去中心化的金融，Decentralised Finance的意思。

在创造了基本的「Token」之后，加密数字货币界希望能够把金融交易的一部分，也给去中心化，这就是DeFi的由来。

把金融去中心化更大的难点，不在于技术，而在于用什么来取代「信用衍生」。

基础的比特币和以太坊的转账，是「所有权」的转移，我「拥有」一个比特币，我转给你了，那么这个比特币的所有权就归你了。这种转账的性质赋予了加密货币「资产」的特性，具有很强的抗审查、抗监管的能力。因为借贷关系 *** 是很容易控制的，只要宣布冻结张三的帐户，那么银行里面的这些钱其实张三就无法动用了。

但是除非有人用物理手段逼着张三转账，否则张三有几个比特币，他始终就有几个，不会受到其他外在力量的干预。

但是，把这一套挪到金融上,就会出现一个问题：怎么把所有权玩出乘数效应来？我们找银行借贷，明知道银行里的钱是客户的，我们相信银行不滥借，因为银行有准备金，有央行监管。所以银行手里有100万，能够借出去300万，我们也不担心，反正一切都是数字。

但是所有权不是这样。我有一个照相机，借给你用可以，你现在要找我贷三个相机，说拍完之后还给我五个，我哪里去变？我就算有，借给你了怎么保证你能还给我，怎么保证你还得起？之前作为优点的反审查、监管，现在就变成阻碍了。

而DeFi要解决的就是这个问题，要在区块链上模拟出我们平常见到的金融交易，像最基本的借贷和各种高级的金融衍生品。

高级金融衍生品，从区块链的角度来看并不复杂，因为本质上都是合约，在智能合约里面总可以分解成最基本的借贷、抵押和所有权转移，所以核心就成中心化的「信用衍生」，解决了这个问题，其他的就都是计算机系的人做的事情了。

DeFi目前来是通过跨链来解决抵押，通过保证金制度来解决杠杆，最终实现了类似信用衍生一样的操作。

我们拿比特币和以太坊作为例子，假如跨链的名字叫XX链，XX链上的货币叫做XX币。

比如我想抵押比特币换取以太坊，我就可以：

1. 把比特币锁定在一特定的地址，此时会在XX链上生成一个代表这个比特币通证Pseudo-

*** C,

2. 然后我在XX链上用智能合约抵押这个Pseudo- *** C,生成了相应的XX币；

3. 然后拿着XX币购买了一定数量的Pseudo-ETH,

4. 然后把这些Pseudo-ETH所对应的抵押物ETH释放出来，交易结束。

整个过程都是智能合约来完成的，没有人的参与。而如果我到期不还，那么我抵押的比特币就没有了。智能合约到期执行执行，把我抵押的这个比特币进行违约处理。

这样能实现了等额抵押,但是金融的魅力在于以小博大，所以我们需要超额抵押。 也就是希

能够抵押1个比特币，临时的借2个，乃至于10个比特币来进行投机。

假定XX链上有一个银行，大家没事可以把比特币锁定了，然后Pseudo- *** C送到这个银行里。现在的难题是，资金池有了，这个银行怎么来进行借贷，产生利息，还不产生坏账呢？

去中心化借贷，对坏账是零容忍的 ——因为有一点点坏账的可能，那么在一个没有信用的世界，这个0就会变成100%。这其实蛮道家的：大道废，有仁义；智慧出，有大伪；六亲不和，有孝慈；国家昏乱，有忠臣。正是因为有了「武德」这个东西，才会有人不讲武德，才会出现坏账。

如果制度设计的就是把任何人都当作奸贼来防，那就没有坏账的空间了。

怎么才能没有坏账昵，那就是智能合约强制平仓。

智能够的优势就是一切都在链上，在链上就可以自动化。你拿1个 *** C抵押，我可以借你10个，但是借给你之后，如果你的任何操作，导致帐户上的资产价值小于9.05个 *** C,那么对不起，合约自动执行，你的抵押物充公。

这个其实和股票、期货、外汇的保证金是一样的，只是在链上去中心化的执行了。

当然，这个真要做起来，技术上还是有很多暗坑的，比如黑客完全可以人为的制造区块链的阻塞，让智能合约的执行延迟。而在延迟的过程中，价格可能就发生了变化了，这样是会出坏账和亏空的。