你的币是怎么被人拿走的｜Harvest 项目是怎么被撸的2000万美元的｜ 投道492

独立思考，复利思维

01

When one teaches, two learn.

●18万波场不翼而飞

最近群里有个朋友的币被人偷了，是18万个波场，被人盗走了。

他先是怀疑是不是签名了很多项目，所以被黑店项目给黑了。牛币认为不会，因为这里涉及到一个技术问题。

不管是波场，币安智能链上的BNB、还是EOS、YAS、NEO、BTS、ETH，BTC它们都是主网币，和其它的币是不同的。

拿币安智能链上的BNB来说，它要换成WBNB，就和ETH一样，也需要换成WETH才能实现很多合约上的功能。

也就是说，不管怎么签名，合约也没有办法直接拿走你的主网币，唯一的可能性就是你的私钥泄漏了。

后来，这个朋友找到了一个技术高手，之后发现，他的私钥原来是因为下载了一下在火狐浏览器上的插件　波　宝　钱　包　丢的。

牛币认为这种现象可能是一个普遍现象，所以有必要写文章在这里提醒大家一下。

在火狐浏览器的应用下载里下载的钱包未必是安全的，这一点要请大家注意了。一般钱包只是开源的都是有官方github地址的，在那个地方去下载才是最安全的。

有些不怀好意的人，在github下载了钱包源码后，在代码里加上了木马，然后上传到应用里守株待兔。如果你下载了他改了的钱包，私钥就会发给他了，这样你的钱就成了他的了。

而且这种情况报警都没有用，因为根本就不知道是谁。币被转走后，如果在去中心化交易所里反复交易存一下，再取出来，换成门罗币等匿名币转到其它钱包，根本无法追踪。

门罗币等匿名币本身就有混币功能，它在设计上就是为了反追踪。交易的时候门罗会随机选择世界上的任意几个人，把币放在一起，然后交易完成后，大家的数量都不会有问题，但是就不知道谁的币是谁的了。

今天思考的问题是：中心化安全还是去中心化更安全

如果我们把钱存在银行里，有人知道你的密码和账号，那么会被盗走所有的财产吗？

我看不太可能，因为银行里超过了５万元就要先预约，到柜台上去取大额现金的时候会验证身份。

在自动取款机上取钱，数量有限，而且还有摄像头监控。

所以，中心化未必就不安全。反而是中心化更有安全保障。那么问题来了，我们为什么要把钱放在这些去中心化的不安全的地方？

当然我们知道，中心化银行里其实是没有那么多钱的，他们的钱都用来贷款了，如果没有准备金率来限制，银行其实是相当于无限印钱的。所以才会有这些聪明的人想去改变旧的世界的一些规则。

不用怀疑，区块链去中心化的世界，现在是在早期，很多的东西都还不完善，区块链的去中心化世界里目前就像是原始黑森林，处于规则形成的阶段。和旧的世界的规则也会时不时地发生冲突，但是这些地方存在很多机会，不会像旧的体制里，每个人都被限制得死死的，只能按即得利益者的游戏规则来玩。也许这就是很多人宁愿冒着巨大的风险，也要来这里的原因吧？

终生学习，共同进步

02

●Harvest 项目是什么

关于这次事件的过程和分析，大白高国的这篇文章写得非常完整：

Harvest事件深度剖析：

本文的目标是介绍事件中的主要工具，闪电贷的一些基本情况，现在发现有许多文章里都只对闪电贷的功能进行了描述，却没有实际操作的方法。

根据创始人兼 CEO Stani Kulechov 的说法，闪电贷主要面向构建金融产品的开发者。

也就是目前还没有供给大众使用的产品。

Stani Kulechov 和团队的背景

Aave 的创始人 Stani Kulechov 并非经济科班出身，而是法律背景，一直以来他对金融十分感兴趣，现年 29 岁，早在青少年时期就已经自学开发，着迷于有智能合约功能的以太坊平台，并基于以太坊开发了去中心化借贷市场 ETHLend。

和 MakerDao 一样，这支团队同样有北欧背景。Aave 发起于芬兰，现已将总部搬到伦敦，目前有 18 名团队成员。Aave 有一个颇具童趣风格的「幽灵」logo 而 Aave 在芬兰语中是「幽灵」的意思，背后代表的意思是，Aave 专注于为去中心化金融创造透明、开放的基础架构。

Harvest和YFI差不多，都是做策略的池子。而这一次的又是通过的闪电贷干的好事。大家一定奇怪了，这个闪电贷到底是什么？怎么这么牛？它的工作原理是什么？

大家应该还记得在上次有一个13秒赚35万美元的闪电贷攻击的事件BZX吧。

某个操纵人通过「闪电贷 Flash Loan」从去中心化数字货币衍生品交易平台 dYdX 借出了 1 万枚 ETH，使用其中 5000 ETH 在 Compound 借出 112 wBTC，另外 5000 ETH 到 bZx 上开了 wBTC 的空单，再利用 Compound 借到的 wBTC 去 Uniswap 砸盘，导致 bZx 空仓大赚，然后归还了最初借到的 1 万枚 ETH，在这个过程中，获得了价值 35 万美元的 ETH 的收益。

而所有这一切，在一个 区块 时间完成，也就是十几秒的事情。

这就是「闪电贷」的魅力——这种产生于 DeFi 世界的新物种，不需要任何抵押物，只要借贷和还款在一个区块时间完成即可。这会让聪明的开发者脑洞大开，开发出全新的 DeFi 应用。bZx 合约被操纵一事，开始让闪电贷进入了更多 DeFi 开发者的视线。

记得原来的文章里提到过，Uniswap也有闪电货的功能，在它的工厂合约和配对合约里有相关的代码。

老男人在推特中解释过，并且举了个实例来说明，整个操作在一个简单的事务中被处理。

1）通过AaveAave借入ETH （不需要抵押）比如是１００００个ＥＴＨ

2）交换BAT 在UniswapExchange

3) 存入BAT抵押品 到makerDAO

4）撤回ETH抵押品 从makerDAO

5）返还ETH贷本金回　AaveAave　１０１００ＥＴＨ　其中１００个就是价差，之所以能成功一定是玩家发现了，在Ｕniswap中的ＢＡＴ的价格低于makerDAO，之间会产生利润，所以才能成功地完成这一笔借贷。

整个过程在一个区块时间内被完成，差不多就是１３秒左右。牛币解释一下这个过程，整个过程一开始：

第一步借入ＥＴＨ的时候，AAVE的闪电贷协议会给你的账户上增加１００００个ＥＴＨ，但是你是不能用的，你需要告诉它下一步，你要用这些钱干什么？

第二步你告诉了协议，要到UniswapExchange交换BAT并且存入到makerDAO，之后撤回ETH抵押品 从makerDAO。

第三步，还给AaveAave借入的ETH ，并产生利润。

这三个步骤会被打包在一个区块的交易里，如果成功就上链，如果失败则交易回滚，就像什么也没有发生过一样，当然中间用掉的手续费你还是要出。

所以牛币认为应该有一个专用词“闪电贷攻击”，它其实不同于黑客攻击，它的攻击都是在规则范围内的。这次说是被黑客攻击拿走了２０００万，还不如说是因为项目本身有问题被撸走了２０００万。

而闪电贷协议其实本质上是一个清算协议，用来清算那些有问题的项目。它是全局性的，今后如果有更多的人参与开发，开发出大众方便使用的产品，那么就是全民清算了。

这就好比是人体内的巨噬细胞，一但发现有问题的组织，就会上去吞噬它。而对于个人来说，这是无产阶级的又一次伟大胜利，你不需要有资本，只要发现机会，并且有执行力就能赚到钱的大机会。

今后据说ＷＥＴＨ１０协议中是可以无限数量借出，那今后的ＤeFi 中的项目真的就像在一个黑森林里了。而这个闪电贷真像是二向箔，对一些项目是降维打击。而关于闪电贷的具体操作，牛币会持续关注，如果有相关的信息，会在第一时间分享给大家。

谢谢您的阅读

文章中提到的都是高风险投资品种，我是以归零的心态在持有，请不要模仿。以上文章里的内容不作为投资建议，鉴于您赚了钱不会分给我，所以笔者也不会对您的投资亏损负责！

我是收集牛币的牛币，希望以上观点对您有所帮助。

了解区块链从这开始（新人入口）

椰子社区专用词速查（传送之门）

今后文章主要以“吹牛币、学投资”为主题。

想交流的加V （lengjing2007)

—-

编译者/作者：牛币集了

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。