弄清楚谁该为DeFi的持续安全问题负责

去中心化金融部门继续获得前所未有的普及，因为在7月份锁定在DeFi产品中的资产总值翻了一番，超过40亿美元，目前已接近50亿美元。

同时，由于吸引了直接获得资金的诱惑，用户和开发人员对此类应用程序的需求不断增长，使其成为不良行为者的目标。 在过去的几个月中，黑客从DeFi项目中窃取了超过2700万美元，并且预计在不久的将来还会有更多攻击发生。 如果是这种情况，DeFi部门是否在很大程度上依赖以太坊来确保安全性，并且ETH 2.0的发布是否会在该领域带来更多改进？

DeFi应用程序是黑客的新加密货币交易所

在2018年至2019年期间，加密货币交易所是黑客攻击的第一大目标，而在2020年，分散化的金融市场正在备受关注。 平台智能合约中的漏洞和技术上不完善的安全机制在很大程度上使这成为可能。 同时，正如黑客的历史所表明的那样，攻击者不仅使用漏洞，而且还使用区块链的各种合法功能来进行攻击。

这就是黑客在8月初攻击Opyn的方式，该协议讽刺性地声称处理DeFi保护。 由于利用该项目的本机令牌，大约37.1万美元被盗，从而对以太坊认沽期权实施了双花攻击，从而使用户的资金得以使用。

此前，智能合约代码中的漏洞导致了另一个DeFi项目黑客攻击，其中Lendf.me分散式贷款协议和分散式加密货币交易所Uniswap盗窃了2500万美元。 两组开发人员都在ERC-777协议的基础上构建了自己的附加组件，使智能合约容易受到重入攻击的影响。 在此类攻击期间，黑客会反复提取资金，直到其原始交易被批准或拒绝为止。

再次由于代码漏洞，在6月28日发生了另一次黑客攻击。 黑客通过利用其令牌通缩机制从Balancer平台窃取了超过500,000美元的ETH和其他山寨币，该机制在每次资金转移时都会破坏交易金额的1％。

以太坊应该受到谴责吗？

显然，DeFi项目的致命弱点是智能合约代码中的错误和漏洞，但是到底该由谁负责？ 是DeFi开发人员在启动应用程序之前未正确测试或审核代码，还是问题在于以太坊的体系结构，这意味着很少依赖平台？

一方面，正如DeFi借贷平台Kava Labs的首席执行官Brian Kerr先前对Cointelegraph所说的那样，以太坊区块链的体系结构无法满足DeFi部门的安全要求，因为在Solidity编程语言中几乎不可能测试可能的错误。

但是，大多数DeFi平台都建立在以太坊区块链框架上，因此正在尝试原始源代码，尤其是如果在产品最终版本发布之前未对这些实验的结果进行彻底审核的情况下，可能会为黑客打开大门。

ConsenSys Diligence的安全工程师兼审计员Shayan Eskandari告诉Cointelegraph，在大多数DeFi黑客攻击发生之前，开发人员在平台发布之前就进行了更改。 例如，ERC-20没有以标准方式实施，或者某些新的令牌设计增加了功能，这些功能改变了ERC-20令牌的行为，从而导致无法预料的问题。 根据Eskandari的说法，此类更改导致了Balancer池攻击和Lendf.me黑客攻击。

这表明在某些情况下，应该负责使用特定平台的团队。 在与Cointelegraph的对话中，Plutus DeFi的首席执行官Arnie Hill（全栈DeFi聚合器）指出，大多数DeFi开发人员对安全性的重视程度不高，因为他们处于产品开发的初期：“如今，开发人员正在付出代价更多地关注技术方面和资本化，重点在于如何在区块链上构建借贷服务，而不是智能合约的安全性。”

另外，数字货币集团（Digital Currency Group）的投资者拉里·苏克尼克（Larry Sukernik）表示，DeFi产品的复杂性给他们带来了残酷的笑话：“您需要动脑筋才能工作。 当它们投入使用时，结果通常是一个复杂，辉煌，但却无法使用的产品。”

莱特币（LTC）的创造者查理·李（Charlie Lee）此前曾声称，权力下放是一切的罪魁祸首。 权力下放实际上是破解Opyn选项协议的原因，因为一旦发生攻击，团队将无法控制或暂时禁用它。

但是，鉴于该行业还很年轻，因此黑客的出现是自然而然的事情。 不过，希尔表示，随着DeFi部门的发展，其开发人员应充分意识到不断增长的安全风险，并致力于降低安全风险。

“扩大市场规模需要使用更严格的保护机制，并与监管机构和审计师合作。 归根结底，这不再只是DApps的网络，而是一个数十亿美元的金融市场，处于其发展的初期，因此，黑客攻击是不可避免的，与数字广告一样几年前的银行业。”

根据研究公司Dgen与开源DeFi协议Aave合作发布的最新报告，自从DeFi项目成为黑客攻击目标以来，开发人员就开始致力于沙盒和清晰的框架以解决争端。 分析师还指出，只要将扩展作为DeFi开发人员的当务之急，类似于2016年DAO事件的重大黑客事件很可能会再次发生。

分散式金融项目背后的另一个可能问题是，它们依赖数据预言来提供关键数据，例如资产价格。 DeFi平台和产品的快速发展及其独特的可组合性造成了相互依??赖，并需要可靠的资产定价数据源，瑞士开放源代码DeFi甲骨文平台DIA的联合创始人Paul Claudius解释说：

“目前，大多数DeFi项目都缺乏透明，开源和可靠的定价数据解决方案。 许多人甚至没有分享Oracle用来定价数据的方法。 由于不良行为者可以利用不可靠的数据源利用技术和方法上的漏洞，因此会带来巨大的风险。”

审计，尽职调查和保险

那么，鉴于有许多产品可以成功地为自己和用户的资金维持高水平的安全性，DeFi团队可以采取任何措施来减轻安全风险吗？

Aave集成负责人Marc Zeller强调了在向DeFi平台添加新令牌以帮助避免协议中的重大黑客攻击之前进行尽职调查程序的重要性。 他还指出，涉及分散式金融的项目可能会使用保险公司的服务来进一步保护用户资金，尽管这并不总是足够的。

合成资产平台Synthetix的创始人Kain Warwick在谈到保险在抵御黑客攻击中的作用时说，DeFi保险非常有限，并补充说：“ DeFi仍然存在重大的尾巴风险，因此，短期内保险可能仍会非常昂贵，但是随着协议的成熟，成本应该会降低 […] 允许出现更简单，更有用的保险。”

如果攻击已经发生，则最好拥有保险，但是如果要阻止攻击，则DeFi项目需要审计和跟踪可疑交易，以便在黑客利用代码缺陷之前检测和修复网络中的漏洞。 分析人士指出，加密货币交易所在跟踪和锁定可能来自被黑平台的加密货币方面起着重要作用。

相关：DeFi黑客：应该和不应该进行什么分散式金融？

随着行业规模的扩大，DeFi开发人员与监管机构合作并在沙盒和清晰的框架上开展工作变得越来越重要，沙盒和清晰的框架允许在发生黑客攻击时解决争端和进行仲裁。 希尔说：

“扩大市场规模需要使用更严格的保护机制，并与监管机构和审计师合作。 归根结底，这不再仅仅是DApps的网络，而是处于发展初期的数十亿美元的金融市场。”

ETH 2.0会带来更多安全性吗？

一些人认为，随着可扩展性的提高，网络升级将为DeFi带来安全性，而另一些人则认为，以太坊2.0过渡到权益证明算法将使DeFi部门面临更大的危险。 根据分析师Tarun Chitra的研究，Dragonfly Capital的投资人Haseeb Qureshi得出的结论是，DeFi协议与基于PoS算法的网络安全机制背道而驰。 问题在于，锁定在DeFi贷款中的资金不参与抵押，因此是一种证券。

MolochDao的分析师证实，转向ETH 2.0可能会为DeFi应用程序打开新的攻击载体。 但是，它有一个积极的方面–对ETH 2.0的攻击比对ETH 1.0的攻击更容易扩展。

相关：善用：以太坊提供了大量数字以设定基准

根据Consensys分析师Tanner Hoban和Tom Borgers的说法，在推出之前，DeFi行业将面临许多新的攻击，尤其是在向以太坊2.0过渡的第一阶段。 原因是，在过渡开始时，验证者必须阻止其ETH，直到工作量证明链与权益证明链完全合并。 研究作者认为，这将减少流动性，并可能导致集中化。

因此，DeFi产品可能会再次面临重大黑客攻击，但是随着保险和审计工具的发展以及全球监管机构的市场进入，DeFi产品最终将变得更加安全。 以太坊2.0可能会在药膏中添加它自己的果蝇，但是随着新模型的缓慢逐步推出和足够的测试，风险可能会降到最低。

—-

原文链接：https://cointelegraph.com/news/figuring-out-whos-to-blame-for-defis-persistent-security-issues

原文作者：Cointelegraph By Julia Magas

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。