谁该为DeFi的持续安全问题负责？

去中心化金融继续获得前所未有的欢迎，7月份锁定在DeFi产品上的资产总值翻了一番，达到40亿美元以上，现在正接近50亿美元大关。

与此同时，用户和开发人员对这类应用程序的需求不断增加，考鉴于直接获得资金的诱惑，这类应用程序成为了不良行为者的目标。在过去的几个月里，黑客已经从DeFi项目中窃取了超过2700万美元，预计在不久的将来还会发生更多的攻击。如果是这样的话，DeFi是否会在安全上强烈依赖以太坊？ETH 2.0的发布是否会在这方面带来更多的改进？

DeFi应用程序成为黑客新的加密交换工具

在2018-2019年，加密交易是黑客攻击的头号目标，2020年，去中心化金融市场成为了关注的焦点。这在很大程度上是由于平台的智能合同存在漏洞，以及安全机制在技术上不完善。与此同时，黑客入侵的历史表明，攻击者不仅利用区块链的漏洞，还利用区块链的各种合法功能进行攻击。

黑客在八月初攻击了Opyn，讽刺的是，该协议声称可以处理DeFi安全保护问题。大约有371,000美元由于利用该项目的本地代币而被盗，利用该代币对Etalum PUT实施了双重攻击，从而获得了访问用户资金的权限。

在这之前，智能合约代码中的一个漏洞导致了另一个DeFi项目被黑客攻击，从Lendf分散式借贷协议和分散式密码交换协议窃取了2500万美元。两组开发人员都在ERC-777协议之上构建了自己的附加组件，使得智能合约容易受到重入性攻击。在这种攻击中，黑客会反复提取资金，直到他们最初的交易被批准或被拒绝。

6月28日也发生了一起黑客攻击，同样是因为一个代码漏洞。黑客利用比特币通货紧缩机制从Balancer 平台窃取了超过50万美元的以太坊和其他山寨币，在每次资金转移时破坏交易金额的1%。

显然，DeFi项目的致命弱点是智能合同代码中的漏洞，但究竟谁该对此负责呢？是DeFi开发人员在发布他们的应用程序之前没有对代码进行正确的测试或审计，还是以太坊的架构造成了错误？

一方面，正如DeFi借贷平台Kava Labs的首席执行官Brian Kerr之前所说，以太坊区块链的架构无法满足DeFi领域的安全需求，因为在Solidity编程语言中，测试可能的漏洞几乎是不可能的。

然而，大多数DeFi平台都是在以太坊区块链框架上构建的，因此正在对原始源代码进行试验，特别是如果这些试验的结果在产品的最终版本发布之前没有被彻底审计，可能会为黑客打开方便之门。

共识调查Consensus sys Diligence的安全工程师兼审计师Shayan Eskandari表示，大多数DeFi黑客入侵之前，都是开发人员在平台发布前不久做出的改动。比如没有以标准的方式实现ERC-20，或者一些新的代币设计添加了改变ERC-20行为的功能，从而导致不可预见的问题。这样的更改会导致Balancer 池攻击和Lendf黑客攻击。

这表明在某些情况下，在特定平台上工作的团队是罪魁祸首。Plutus DeFi的首席执行官Arnie Hill指出，大多数DeFi开发人员没有对安全性给予足够的重视，因为他们处于产品开发的早期阶段：“今天开发人员更关注技术方面和资本化，专注于如何在区块链上构建借贷服务，而不是智能合约的安全性。”

此外，数字货币集团的投资者Larry Sukernik表示，DeFi产品的复杂性给他们开了一个残酷的玩笑：“你需要让有头脑的人投入工作。而当它们投入使用时，其结果往往是一个复杂、出色、但大量无法使用的产品。”

莱特币(LTC)的创始人Charlie Lee曾声称，权力下放是责任的源头。去中心化实际上是攻击Opyn选项协议的原因，因为团队不能控制它，在受到攻击时也不能暂时禁用它。

但是鉴于这还是个比较新兴的行业，黑客的出现是很自然的事情。尽管如此，随着DeFi部门的发展，开发者应该对日益增长的安全风险有充分的认识，并努力减少风险：

“扩大市场规模需要使用更严肃的保护机制，并与监管机构和审计机构合作。归根结底，这不再只是一个DApps网络，而是一个数十亿美元的金融市场，它还处于发展的早期阶段，因此黑客攻击是不可避免的，就像几年前数字银行业一样。”

根据研究公司Dgen与开源DeFi协议Aave合作发布的最新报告，自从DeFi项目成为黑客攻击的目标后，开发者开始致力于解决争议的沙箱和清晰的框架。分析人士还指出，只要扩展是目前DeFi开发者的最高优先级，类似于2016年DAO事件的重大黑客攻击很可能会再次发生。

去中心化金融项目背后可能存在的另一个问题是，它们依赖数据预言来提供资产价格等关键数据。DeFi平台和产品的快速增长及其独特的可组合性产生了相互依赖性，需要可靠的资产定价数据来源，正如瑞士开源DeFi oracle平台的联合创始人Paul Claudius说的那样：

“目前，大多数DeFi项目缺乏透明、开源和可靠的定价数据解决方案。许多公司甚至不采用oracles用于定价数据的方法。这就产生了巨大的风险，因为坏人可以利用不可靠的数据来源的技术和方法上的弱点。”

审计、尽职调查和保险

那么，鉴于有许多产品成功地为自己和用户的资金维护了高水平的安全性，DeFi团队可以做些什么来降低安全风险呢？

Aave的整合主管Marc Zeller强调，在向DeFi平台添加新代币之前，必须进行尽职调查，以避免协议内发生重大黑客攻击。他还指出，涉及分散金融的项目可以利用保险公司的服务进一步保护用户资金，尽管这可能仍然不够。

在谈到保险在打击黑客攻击中的作用时，合成资产平台Synthetix创始人Kain Warwick说，DeFi保险是非常有限的，仍然会有很大的尾部风险，所以保险可能会在短期内仍然非常昂贵，但随着协议的成熟，成本应该会降低，允许出现更简单、更有用的保险。

如果攻击已经发生，保险是能起到一些好的作用的；但如果任务是防止攻击，审计和跟踪可疑交易是DeFi项目所需要的，以便在代码缺陷被黑客利用之前检测和修复网络漏洞。分析人士指出，加密货币交易所在追踪和锁定可能来自被黑客攻击平台的加密货币方面发挥了重要作用。

随着行业的发展，对于DeFi开发者来说，与监管机构合作，在沙箱和清晰的框架上工作变得越来越重要，这些框架允许在黑客攻击发生时能够解决争议和仲裁。根据Hill所说，扩大市场规模需要使用更严肃的保护机制，并与监管机构和审计机构合作。

ETH 2.0是否能带来更多的安全性？

一些人认为，除了可扩展性，网络升级将为DeFi带来安全，另一些人则认为，以太坊2.0向股权证明算法的过渡将使DeFi行业面临更大的危险。基于分析师Tarun Chitra的研究，Dragonfly Capital的投资者Haseeb Qureshi得出的结论，DeFi协议违背了基于PoS算法的网络安全机制。问题在于，被锁定在DeFi贷款中的资金不参与押注，因此是一种证券。

MolochDao分析师证实，迁移到ETH 2.0可能会为DeFi应用程序打开新的攻击载体。然而，它也有积极的一面——对ETH 2.0的攻击比对ETH 1.0的攻击更容易扩展。

根据consensus分析师Tanner Hoban和Tom Borgers的说法，在推出前，DeFi行业将面临许多新的攻击，特别是在向ETH 2.0过渡的阶段。因为在转换开始时，验证器必须阻止他们的ETH，直到工作证明链完全与股权证明链完全合并。这将减少流动性，并可能导致集中化。

因此，DeFi产品可能会再次面临重大黑客攻击，但随着保险和审计工具的发展，以及全球监管机构的市场进入，它最终将变得更加安全。Ethereum 2.0可能会增加它自己的不足之处，但是随着缓慢和逐步推出的新模式和充分的测试，风险很可能被最小化。

(原文可到币牛牛APP查看，原文链接：https://www.finbtc.net/news/detail.html?newsId=73923&appType=normal&change_color=false）

本文来源：币牛牛行情分析
原文标题：谁该为DeFi的持续安全问题负责？

—-

编译者/作者：币牛牛行情分析

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。