什么是分散金融应该和不应该

继MakerDao和Compound的估值之后，两家公司从总部位于硅谷的风险投资公司Andreessen Horowitz进行了相当大的一轮融资之后，去中心化融资（简称DeFi）在2019年成为流行语。

对于加密DeFi部门而言，2020年是艰难的一年-它一直在绞尽脑汁。上周末，dForce生态系统协议Lendf.me通过黑客攻击损失了99.95％的资金。几天后，黑客泄露了有关其身份的信息，导致他归还了大部分被盗资金。这是继3月12日DeFi进行的最大测试之后的消息，当时以太（ETH）价格急剧下跌，导致系统压力过大并出现故障。当天最大的输家是MakerDao，其以太坊网络的局限性暴露了其糟糕的架构和基础架构。

领先的分散式金融平台MakerDao应计债务，必须由其风险投资公司的资金来纾困。一个月后，DAI的美元钉住了汇率问题，并向加州北部地区法院的Maker基金会提起了总额为2830万美元的集体诉讼，理由是过失。用户想要退款。

早在4月18日，贷款协议Lendf.me的用户就盗走了2500万美元的以太坊和比特币（BTC）。 Lendf是一个存在安全问题的协议，是dForce Foundation生态系统的一部分。出人意料的是，它实际上能够从攻击者那里收回几乎所有资金，该攻击者利用了协议中的重入漏洞，因为他最终归还了几乎所有他偷来的钱。在耗费了2500万美元之后，黑客退还了2400万美元，自己留了100万美元……也许是因为汽油费和这些困难的COVID-19倍。

具有讽刺意味的是，黑客没有返回被盗资产的相同组合，而是以不同组合的加密货币令牌返回了2400万美元。紧接着有消息传出后，dForce基金会完成了由Multicoin Capital牵头的150万美元融资，上周有Huobi Capital和CMB International参与。我们可以假设这些资金将弥补黑客的损失。

我采访了两位DeFi的Compound Finance首席执行官和Kava Labs首席执行官，向他们询问了他们在dForce方面的经验以及黑客可以教给DeFi社区哪些关键知识。

DeFi借贷平台Kava Labs的首席执行官Brian Kerr向Cointelegraph讲述了dForce出了什么问题，从而使这种黑客得以传播。在2019年中，Kava宣布了其稳定币USDX。不久之后，dForce发行了自己的稳定币代号USDx。使用Kava的USDX代码显示了dForce的创造力有限，这很可能会扩展到其代码和技术人才。 DeFi借贷公司Compound Finance的首席执行官罗伯特·莱什纳（Robert Leshner）在接受采访时亲自与Cointelegraph进行了访谈，他在推文中谈到了2500万美元的黑客攻击，并声称该公司偷走了可以识别为Compound的代码。

在接受Cointelegraph的电话采访时，Leshner解释说：

“在链上建设是无情的；安全需要团队的全神贯注。当团队重新部署他们尚未编写的代码时，就无法知道代码的工作方式或原因，或者风险是什么……少了对用户是不公正的。用户应该有更好的要求。”

令人遗憾的是，dForce已成为DeFi不应该成为的典范。

那么，您需要知道什么？

对于MakerDao和dForce而言，从灾难开始的事情现在正在解决中。尽管仍有大量资金无法说明，但这种体验使用户不得不寻找他们可以信赖的替代DeFi贷款平台。这些天，许多用户已经损失了资金，即使是MakerDao或dForce都没有损失他们的钱，许多其他人仅仅通过阅读DeFi新闻也感到警惕。作为加密领域的子领域，DeFi还很年轻。

dForce真的有责任吗？

莱什纳说，dForce公司“复制/粘贴了化合物v1，没有任何更改。”根据莱什纳的说法，该公司声称Compound v1代码“没有缺陷”，但根据他的推文，该组织对其所列资产持谨慎态度。根据Leshner的说法，dForce团队复制了无法从Compound完全理解的代码，并非法部署了代码，同时更改了一些部分，却没有意识到所涉及的安全问题。

克尔也参与其中。 Kava Labs —一个类似于MakerDao的DeFi借贷平台，但MakerDao仅接受ETH令牌，而Kava平台接受任何资产，包括比特币，Ripple（XRP），Binance Coin（BNB）和Cosmos（ATOM），这些资产可用于铸造USDX，平台的稳定币。平台开发的这些里程碑是在dForce为自己的稳定币取消股票代码USDX之前。 Kerr表示，Kava的目标是让USDX成为全球金融体系的主要参与者。

根据Kerr对Cointelegraph的陈述，并在Twitter上对Leshner的回复中指出，dForce无需先进行非常基本的审核就向全世界大力推广Lendf.me：“任何知名公司的基本审核都会发现这一点–再入是一个已知问题并轻松检查。除了窃取Compound的代码外，DForce还偷走了Kava的USDX代币名称和代码-尽管我们在他们的平台还没有建立之前就宣布了代币。克尔（Kerr）坦言：“这是DeFi不应成为的可怕例子。”

由于信任是人与金钱之间关系的最重要和最重要的基础，因此Kerr认为责任在于“ dForce团队和应用程序的用户”。他继续：

“ dForce不了解他们在做什么，并销售了不安全的产品。用户没有对团队或代码库进行自己的尽职调查来确定产品是否可以安全使用。”

DeFi不应该大胆

正如Cointelegraph先前报道的那样，dForce的黑客将imBTC令牌用作攻击的“特洛伊木马” —用作比特币的以太坊包装。 Leshner解释说，该安全错误来自一个已知的重入攻击：“这是昨天对imBTC Uniswap攻击的后续攻击。”他继续说：“ imBTC是ERC-777代币，不是正常的以太坊资产。包括imBTC的智能合约必须格外谨慎，并编写额外的代码以防止再次进入攻击。”

这被认为是通用ERC-20标准的一个众所周知的漏洞，尤其是在DeFi上下文中使用时。

DeFi不应该在以太坊上

Kerr认为，以太坊网络的架构无法满足DeFi部门的扩展和安全需求，因为要实现所有结果所需的测试水平在Solidity编程语言中是无限的。他说：“由于这些原因以及许多其他原因，包括Binance，Cosmos和Kava在内的领先项目已选择离开以太坊生态系统，以种植更绿色的牧场。”

“在以太坊网络上建立任何金融服务对于安全性都是成问题的。测试Solidity的可能结果和错误几乎是不可能的，因为它几乎可以作为图灵完整语言来完成任何工作。 Kerr表示，尽管功能强大，但这可能是构建金融基础架构的最糟糕的环境。他认为，Kava的价值主张之一是，它根植于安全标准中，作为针对所有需要安全DeFi服务的资产的专用平台。

DeFi应该是安全的

Lendf自称为“迄今为止最大的由法令支持的稳定币DeFi贷款协议。”有问题的是，Lendf过于专注于筹集资金，增长和扩张，以维持其最大，最好和“最大的由法令支持的稳定币”的名声。该公司没有专注于提高安全性代码，了解其代码库，修复错误并发布安全产品，而过分关注利润和可感知状态。

例如，基本审核完全丢失了，并且团队过快地克服了障碍，从而导致安全漏洞尚待解决。

Leshner说，该事件本可以预防，用户应该已经预见到这种情况。他在推特上详细介绍了该公司如何窃取Compound的代码：“如果一个项目不具备开发自己的智能合约的专业知识，而是窃取了并重新部署他人的受版权保护的代码，这表明他们没有能力或无意考虑安全性。”后来，他鼓励开发人员和用户学习宝贵的经验教训：不要将钱捐给您不信任的公司。

Kava Labs的Kerr继续引用Facebook首席执行官Mark Zuckerberg的座右铭“快速行动，打破常规”，他阐述了：

“对于基本软件和初创公司来说，这是一个很好的说法，但正如上周末所显示的，在建立金融基础设施时，绝对是最糟糕的建议。”

DeFi应该专注于用户

Kerr还分享道：“在Kava，我们所有的代码都是在Golang中完全由谨慎的模块构建的，这些模块的范围仅限于我们可以审核和验证的非常具体的操作。这意味着我们可以对其代码的准确性和安全性进行完全测试，从而获得很高的信心。”他继续：

“我们重视用户资金的安全性，并将其置于我们所做一切工作的最前沿。我们运行测试网，进行第三方审核，并在Kava平台上发布任何代码之前进行大量的同行评审。此外，所有新代码都必须由验证者小组审查并投票通过，以确保并使用$ KAVA，其中包括技术精湛的运营商，例如Binance，OKEx，Huobi，Bitmax，Hashkey，Lemniscap，SNZ，Dokia Capital和Framework Ventures。

DeFi应该验证信任

仅仅因为一家公司拥有大名鼎鼎的投资商，仅仅依靠一家公司是不够的，正如我们所看到的，dForce和MakerDao就是这种情况。但是，当我们可能应该从DeFi社区听到“验证并信任”时，我们经常听到“信任并验证”。

莱什纳（Leshner）是化合物（Compound）的首席执行官时，他还是卡瓦实验室（Kava Labs）以及其他顶级支持者（例如Arrington XRP Capital）的私人投资者。审计师在谈论他们的代码时，就是Kava优秀的技术团队和对安全措施的严格遵守。在Kava Labs推出之前，借贷平台已经由领先的正式验证和审计公司CertiK进行了专业审计。在关于审计结果的博客中，CertiK表示：“ Kava是Certik从迄今为止的项目中发现的最好的代码库之一，特别是在分散式金融领域。”

最后，Kerr总结道：“我强烈鼓励任何考虑使用DeFi协议的人首先检查团队的技术能力，检查技术上勤奋的投资者，并检查审计和同行评审是否完成。即使这样，假设涉及DeFi协议时总会有技术风险和市场风险。这是一个年轻的空间，将来还会有更多痛苦的学习。”

本文表达的观点，想法仅代表作者个人，不一定反映或代表Cointelegraph的观点。

安德鲁·罗索（Andrew Rossow）是关于隐私，网络安全，AI，AR / VR，区块链和数字货币的千禧年律师，法律教授，企业家，作家和演讲者。他曾为许多媒体撰稿，并为网络安全和技术出版物做出了贡献。 Rossow充分利用其千禧年的背景，对社交媒体犯罪，技术和隐私的影响提供了全面的视角。

—-

原文链接：https://cointelegraph.com/news/the-defi-hack-what-decentralized-finance-should-and-shouldnt-be

原文作者：Cointelegraph By Andrew Rossow

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。