还原Lendf.Me黑客攻击事件始末 2020年4月19日,dForce生态里的货币市场Lendf.Me遭遇黑客攻击,导致市值约两千五百万美金的资产从合约里被取出。关于Lendf.Me黑客攻击事件详情回顾,请点击这里。 01 真相还原 Lendf.Me的攻击事件,是以太坊历史上仅次于theDAO和Parity hack的第三大黑客事件 我们陆续通过链上信息、加密邮件、Twitter密文等方式与黑客持续沟通 基于黑客在攻击前后留下的种种痕迹,我们成功地确定了黑客画像,但直至全部被盗资产被追回前,我们尚未掌握黑客的身份信息 鉴于现已追回全部被盗资产,我们已撤销相关的立案申请,dForce不会继续追查黑客的身份信息,也不会对外公开与黑客的加密交流内容 我们未从任何DeFi协议方获得用户的重要信息 我们欢迎有责任的白帽黑客对dForce协议进行各种漏洞和压力测试,这将有助于我们不断提高网络的安全性能。 02 AMA互动 1. 在被盗之前,dForce的薄弱环节在哪里?(碳链/律动) imBTC和Lendf.Me两个合约本身代码完全没有问题,但是二者合在一起就产生了漏洞——这就是DeFi协议的可组合性风险。 目前的代码审计无法识别所有安全问题,也无法完全规避所有风险,这是任何DeFi协议都必须面对的现实问题。例如,假设USDC的铸币协议被黑客攻击并恶意增发,黑客可以将虚增的资产存入支持USDC的DeFi协议并借走抵押物,这将对下游的协议(支持USDC的各类DeFi协议)造成极大的风险和威胁。因此,我们提议资产类协议平台(如imBTC, USDC,HBTC等)应与下游协议之间形成一套完善的风险机制,用于防范此类的恶性事件。例如MakerDao为每种资产设有债务上限作为风控指标,未来我们的借贷协议会增加类似的机制。 2. 这次黑客攻击峰回路转,结局皆大欢喜,固然离不开团队的努力,但也缺不了幸运女神的眷顾。假设dForce团队未能成功追回所有被盗资产,你们是否还有备选的方案B?(dForce社区) 我们的重点就是永远不启动方案B,虽然我们同时备有方案B和方案C(包括并不限于债转币重新资本化、分发DF进行补偿等),但团队始终以保护投资人的利益为首任,我们全力追踪被盗资产,最终目标就是达成方案A,在事情没有尘埃落定之前,永远不去考虑方案B和方案C。 3. dForce在重建资金安全逻辑的时候,是否认为部分中心化机制会更安全可靠?(链闻) 如前文所提,完全自由、无任何限制的DeFi协议在目前这个阶段尚有很多无法解决的问题。因此,我们未来的借贷协议在不影响用户免准入、免授权的基础上,可能会考虑增加部分较为中心化的风控模块,也有可能会同时开放双模式(去中心化和半中心化)的借贷市场。 国内社区和国外社区在意识形态方面存在很大差异,国外用户追求极致和纯粹的去中心化精神,而国内的用户更加务实和关注产品本身的优势,对于是否去中心化可能不是特别在意。比如对于Lendf.Me用户来说,他们使用我们产品,并不是因为足够去中心化,而是因为协议本身更灵活、高效,能更好地满足大家的需求。个人而言,我同意潘超所说的话,目前尚不是DeFi的最终形态。所有产品都是在探索新的方向,过早、过度的去中心化会阻碍团队快速找到精准的市场定位。对于不能真正满足用户需求的产品,去中心化本身是没有任何意义的。我们一辈子,很少有机会找到一个事业或者一份工作,让个人的历史可以成为行业的历史,加密货币和DeFi恰恰就是这样的机会——这才是最激动人心的地方,现在我们每一个DeFi产品的开发者和使用者都是在自己个人的历史里创造行业的历史。 4. dForce是否会考虑通过多次审计来提高安全性?除此之外还有哪些具体措施?(链闻/律动/星球) dForce的所有产品都进行了代码安全审计和百分百的单元测试,但安全审计无法确保完全规避所有风险问题,团队本身的安全测试也就变得尤为重要。同时,我们呼吁所有资产发行方和DeFi项目进行合作,形成一套完善的协调机制(包括在极端情况下如何应对风险),共同抵御恶意攻击,防范系统性风险。 对于DeFi协议而言,开源至关重要。允许任何人fork代码的同时,其实也是在邀请别人帮你的产品做测试,因此我们非常欢迎社区基于dForce的代码进行再开发。 同时,我们还设立了“BetterFuture”赏金计划,以此来鼓励负责任的白帽黑客对dForce在运行的协议和产品做漏洞和压力测试。 5. 之前海外的DeFi协议以及社区人士称Lendf.me的代码有借鉴「开源且有版权」的代码,未来dForce对于该模块的开发是如何考量的?如果代码重构是不是开发周期会比较长?(链闻) 对于「开源」的定义,行业普遍认为包括代码可以被任意fork和修改。Lendf.Me用价值2500万美金的资产为所有DeFi项目带来了宝贵的经验教训,这其实就是开源的意义所在——所有fork了源代码的项目都在帮你进行压力测试,从别人的教训中吸取经验,有利于行业的健康发展和迅速迭代。同理,受版权保护的DeFi,由于压力测试范围小,安全性可能会更差,因此,我们不建议大家去使用不开源或者伪开源的DeFi产品。 Compound自称为「开源」项目,在知道Lendf.Me使用其开源代码后,他们把“开源”的字眼删除,声称受「版权」保护,其实是自相矛盾的做法。迄今为止,我们并未收到过任何来自Compound的邮件或者信函,Compound也未采取任何法律手段主张所谓的“版权”,而是通过媒体和社区攻击Lendf.Me,这进一步说明他们所谓的“开源”版权主张是没有法律依据的。另外,基于安全考虑,最终我们将不会采用Compound这样主张版权的代码,而是在市场现有的成熟框架(开源协议)的基础上进行二次开发,重构资产、风险等方面的框架。 6. 就算资产全部找回,dForce依旧有不小的损失,团队后续对于重进前十有什么规划吗?(律动) 对于dForce来说,产品的安全性高于锁仓排名。我们未来的借贷协议将弃用Lendf.Me现有的合约,重点关注安全性能方面的提升,因此需要更多的时间反复进行测试和审计,我们也衷心感谢Lendf.Me用户的耐心等待和大力支持。 在黑客攻击事件发生前,我们有几个协议都已在排期上线的过程中,包括稳定币互换协议。目前我们对产品路线图重新进行了调整,对于涉及用户资金池的协议会率先进行安全升级,例如未来的借贷协议。我们将于近期发布的产品包括dForce Trading(稳定币互换协议)、dToken协议(生息代币)、杠杆交易及衍生品协议等。 我们将潜心打磨产品,通过好的产品重获用户信任,敬请期待! 7. 这次被攻击事件再次暴露了DeFi的系统性单点风险点,在dForce团队来看,DeFi项目方该如何应对DeFi的系统性风险?(星球/碳链) 系统性风险无疑对DeFi的行业发展带来了极大的安全隐患,目前看来大部分的风险都发生在资产协议层面(例如bZx和Lendf.Me黑客攻击事件),很遗憾的是暂无妥善的解决方案。因此我们呼吁,资产协议发布方(如USDC, DAI)和下游功能性协议(如借贷协议、DEX)之间应该加强协作,比如增加对资产发行量的监控并在发生异常情况时启动应急机制,将下游功能性协议开放为铸币方(利益协同)等,彼此之间相互联盟,相互制衡,这将会较好地解决资产的单点风险。 8. 对本次黑客攻击事件,海外和国内社群的态度大相径庭,中国的DeFi项目走出国门是否真的阻碍重重?对dForce来说,打算如何改变这一局面?(区块链网络) 与传统互联网不同的是,DeFi天然具备跨国界性,产品发布在公链之上,任何人都可以接入和使用,但大多数国内项目普遍缺乏国际曝光度,重要原因是海外投资机构、Twitter上的KOL仿佛是一只“看不见的手”,不断为海外项目发声造势,国内项目因此处于相对劣势。 然而作为中国项目,我们要充分利用本土优势——目前大部分的交易需求都来自于中国用户。DeFi产品在全球层面的竞争最终是流动性和资产沉淀的竞争,只要产品有用户支持和流动性优势,自然会有产品接入进来,现在很多DeFi产品的用户都是自动化机器和合约,只要流动性够好,不管东方、西方,无论文化背景,自然会有用户接入。币安就是最好的例子——海外用户并不因为币安的中国基因而排斥它,因为币安拥有最好的流动性、最优的价格和最多的资产/产品。因此我们的口号一直是Global Protocol with China Launchpad(全球协议,中国启航),充分的利用中国的主场优势作为起跳板,做全球开放金融协议。 9. 黑客到底是谁?(dForce社区) 基于黑客在攻击前后留下的种种痕迹,我们成功地确定了黑客画像,但直至全部被盗资产被追回前,我们尚未掌握黑客的身份信息。通过备选方案B和C,我们有极大的概率可以找到黑客本人,但鉴于现已追回全部被盗资产,我们已撤销相关的立案申请。dForce不会继续追查黑客的身份信息,也不会对外公开与黑客的交流的内容。 10. dForce的下一个产品会是什么?(dForce社区) 我们即将发布服务于稳定币互换的交易类产品(dForce Trading),可以支持稳定币之间的大额零滑点交易,汇率极具市场竞争力;另外我们会重点推出一个通用的dToken 协议(生息协议),支持大部分的主流稳定币生息。出于系统安全考虑,dForceTrading初期仅对少数中心化团队开放做市服务(流动性提供商),后期会逐步对市场开放流动性提供权限;dToken部分的功能也会采用混合模式。 11. dForce会推出交易类产品吗?(dForce社区) 交易类产品将是dForce团队在2020下半年的开发重点,马上推出的是稳定币的交易协议,另外也会开发杠杆交易、衍生品交易等产品(暂定)。 12. 投资人对国产DeFi的信心有受到影响吗?(dForce社区) 从4月19日Lendf.Me遭遇黑客攻击,到五十三小时后之后失窃资产被离奇追回,团队在黑客攻击发生后的十五天内,将被盗资产全额退还给所有投资人,创造了史无前例的奇迹,也引起了不少投资机构对中国DeFi产品的浓厚兴趣。当然,投资人最关注的仍是DeFi产品本身以及团队的运营推广能力。 13. dToken与Compound的cToken有什么区别?(dForce社区) Compound的cToken仅支持存入Compound借贷协议的资产及存款利息,而dForce的dToken通过将资产分配到不同的借贷协议赚取利息,同时还将获得dForce生态里的其它DeFi协议(包括dForce Trading)的部分手续费分红,dToken是一个更通用的货币市场协议,同时兼容多种模式的借贷市场的接入(去中心化和半去中心化)。 举例说明,用户将USDC兑换成dUSDC,除了将获得USDC的存款利息,还将获得USDC在dForce Trading里产生的部分交易手续费。通过不完全绑定dForce系统的形式,我们希望可以进一步分散风险、提高财务回报率。同时,我们也将更多地聆听社区的意见和建议,最终建立一个更为通用、开放、兼容的生息代币模型。 14. 可以评价一下FutureSwap吗?(dForce社区) 我们对永续合约已研究了很长时间,个人认为,目前最大的问题是大部分衍生品团队对交易本身缺乏足够的认知或实操经验,低估了市场风险,对极端情况下的风险对冲、流动性等问题准备不够充分。我们自己的量化团队来自于华尔街顶级投行,从业经验超过十年,熟悉交易业务,但目前我们尚处于观察和学习的阶段,未来将会从杠杆产品开始,逐步拓展衍生品业务。 对Defi及开放式金融有兴趣的朋友,可以加下面微信,有一个专门的讨论群哦 —- 编译者/作者:dForceNetwork 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
dForceAMA还原Lendf.Me黑客攻击事件始末2020-05-09
2020-12-21 dForceNetwork 来源:区块链网络
LOADING...
相关阅读:
- BetterFuture计划和倡议2020-04-302020-12-21
- FaxMSN(社交化多链钱包)本周将开启全面公测上线在即2020-12-21
- eCell已于2020年12月21日上线六大交易所2020-12-21
- Binance Coin(BNB)集会达到关键关口,为何可以测试$ 402020-12-21
- 维护加密资产行业稳健有序发展:币安参与联合国与国际刑警组织分享2020-12-21