dForce黑客事件思考

Lendf.me的攻击事件终于在黑客全部退款后落下帷幕，成为了币圈有史来最大一笔黑客退款，这种180度的剧情逆转让币友们大跌眼镜，简直难以置信。受害投资人和项目方终于可以松口气，算是挺过难关了，值得欢喜一把。项目方不怕打倒，计划返还资产，大概是要重整营业，但用户应该有点受伤了，对未来DeFi的投资态度也许会打上问号。DeFi之路漫长，项目方要通过如何的方式来赢回用户的信心，DeFi整个生态需要重新思考。既然黑已经是被黑过了，链上数据的透明度已足够自证清白，但如何自证安全也许会成为个话题，专业机构审计，还是去中心化审计。就算严格审计后照样被黑，如何保全用户资产，如何补偿用户损失，这些都有必要深思。如果这些措施不完善，估计一部分受伤离开的DeFi用户，再也不会想回头。

再来思考一下黑客退款这一举动，有文章已提到黑客是迫不得已的，因为已泄露了作案痕迹，用官方web方式进行1inch兑换时，交易所估计已有可能锁定到黑客的IP地址，浏览器信息，使用语言等很多信息，如提交给警方，必能把黑客抓捕归案，黑客此刻估计是心里慌得一P,因此全部如数归还了。这种说法不知实不实锤，不过看起来的确还真像这么一回事。假如真是如此的话，真让人感觉有点后怕。有点不敢通过官方web页面去访问1inch了，因为在上面的一举一动已被记录在案，随时都可以分析你的行为，不知其他的dex是否也会如此，这看起来有点中心化，如果站在DeFi的角度来看这有点难以接受。这次如果是通过中心化的方式解决了黑客的问题，那只能说是比较庆幸的，也侧面反映了黑客还比较生手，也许是刚转过来的程序猿。如果是碰到一些老辣的黑客，提前做足了计划，把来源隐藏，然后慢慢下手，估计要退款还是比较难了，毕竟一些明眼的跑路都比较难追查了。所以DeFi这块“打铁还是需要自身硬”，提高自身安全性才是“硬核”防护措施，不要抱有侥幸的幻想，下一次也许真没机会了。

研究安全，当然是有必要研究黑客的一些手段，知己知彼才能百战百胜，也可以给咱小白提高更多的安全意识，技术就是把双刃剑，看你是用来切菜还是s人，作恶不是研究的目的，更多是鼓励币友去转“红客”。假如黑客为避免暴露，不用官方web访问使用dex，那有什么手段可以使用呢？这就是我下面要说的，直接使用Ethereum的接口去调用dex的智能合约的功能，这一般都是有技术的币友会玩的，比如是用Ethereum的命令行，web3的js 或python sdk等等，这对于小白来说还是太难了，今天就来介绍一款比较简单一些的工具来使用，这个就是justsmartcontracts，地址：https://github.com/olekon/justsmartcontracts，看名字不过就是智能合约嘛，它是个nodejs做的一个web服务，可以用npm运行或编译来使用，之前说过很多类似的，就看你会不会玩了，自己跑起来就可以通过它在本地的web页面去直接和Ethereum的智能合约进行交互使用了，首先是添加智能合约，需要填入合约地址，地址对应ABI等信息，然后添加好后就可以看到它的属性，查询，操作和事件等内容了，其实etherscan上也有类似功能类似，但是这个是自建的，不担心操作被记录。合约的操作都是完整的，只要填入相应的信息就可以执行了，还支持Metamask，还是比较方便的。通过这个操作的话，虽然没有官方的web好用，但是用来保证个人隐私安全还是有用的，同时也可以很方便地学习Ethereum区块链使用知识。更多使用说明可以看这里，https://hackernoon.com/new-web-tool-for-interacting-with-ethereum-smart-contracts-ew5nf3g0e。其实不止调dex的智能合约，只要是Ethereum上的智能合约，应该都是通吃的。

演示地址：https://justsmartcontracts.dev/

最后提醒一下，市场有风险，本文只是个研究，不作为投资建议，请合理控制风险。

点赞就是对传教士最大的鼓励，谢谢支持。

—-

编译者/作者：DeFi传教士

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。