4月19日，dForce 的去中心化借貸協議 Lendf.Me 遭到黑客攻擊，價值約兩千五百萬美金的加密數字資產被黑客盜走；當晚，黑客向Lendf.Me賬戶歸還了12614枚PAX，並附言Better Future；4月20日，黑客再次陸續歸還代幣，最終悉數歸還了全部被盜資產。由於資產已被追回，dForce 團隊向警方提交撤案請求。

這是DeFi有史以來最大一次黑客事件。雖然被盜資產失而復得，這期事件本身依舊值得大家思考。用戶在選擇DeFi產品時，是否默認已完全信任代碼，並自願承擔風險？ 披露黑客IP是否違背去中心化的保護隱私的原則？中國技術團隊什麼時候才能投入更多研發精力，不再過度依賴國外開源代碼？DeFi毫無疑問是未來的創新，但如何協議組合風險任重道遠。4月30日上午，Tokenlon 業務負責人Lucas、成都鏈安科技創始人&CEO楊霞、Trail of Bits CEO以及聯合創始人Dan Guido做客鏈節點AMA，就主持人牛頭大哥整理的話題與社區用戶一同展開了關於DeFi資產安全相關的討論。

DeFi即去中心化金融 (Decentralized Finance) ，也稱爲開放式金融，是近兩年來區塊鏈生態圈熱門的領域之一。楊霞在討論中提到，DeFi 試圖用區塊鏈技術來解決傳統、中心化金融存在的天然短板，比如：審查流程繁瑣、缺乏透明性、金融體制不平等、和潛在的交易風險等。而在DeFi上也容易產生一些安全漏洞——DeFi應用程序依賴複雜的數學，最嚴重的問題其實都與算數有有關。例如，許多DeFi應用程序都會不適當地舍入數值。對此，Dan表示建議使用諸如安全屬性測試儀Echidna和符號驗證程序Manticore之類的工具進行檢查。

回到文章開頭提到的dForce黑客事件，一個DeFi項目最終靠着中心化的力量追回資產，保護隱私和保護用戶如何做到平衡也成爲本次討論的熱門話題，關於這一點，Dan提出：

實際上，如今真正去中心化的DeFi項目很少，我認爲這是一件好事。 DeFi應用程序使用不成熟的工具構建在未經驗證的新技術上，因此他們必須計劃應對一路上遇到問題。這種中心化使他們能夠響應事件並在應用程序出現故障或被黑客入侵時對其進行糾正。項目所有者有責任正確保護自己對DeFi應用程序的訪問權限，並向用戶披露他們擁有的訪問級別。如果源代碼可用，則Slither之類的工具可以驗證它們可以執行哪些操作。 創建更強大的去中心化系統的研究將繼續進行，DeFi項目應在可用並經過驗證的情況下采用這些新技術。這需要時間。

V神曾表示DeFi產品有越來越複雜的趨勢，呼籲大家做簡單並且穩定運行的東西，Dan在討論中對於這點表示認同，關於DeFi協議之間的可組合性使其複雜性超越了成熟度的觀點，Dan補充道：DeFi應用程序的緊急行爲很難建模，當今最好的解決方案是僅將你信任的內容列入白名單，以限制你接觸未知的第三方合約。重要的是，項目應採取細微且經過仔細衡量的步驟來構建新技術。

CeFi 和 DeFi ？應當是「合作」，而非「合併」

關於DeFi vs CeFi的辯論似乎從未停止。如上文提到的，目前真正去中心化的DeFi項目其實很少，而去中心化其實是一個循序漸進的過程，目前DeFi的在去中心化進程正處於青黃相接的階段，但這並不意味着所有的CeFi都在朝着一樣的方向轉化，兩者其實是依賴共存的“合作”狀態，關於這一點Lucas表示：

項目在發展的過程中，不同階段也會有不同的去中心化節奏。比如在產品技術上，早期往往是核心團隊進行開發，快速試錯尋找 product/market fit；增長期核心團隊則會開始邀請社區開發者參與開發，後期核心團隊則會逐步退出主導地位，完全交由社區進行迭代。 對於 CeFi 和 DeFi 的關係，我更傾向於說「合作」，而非「合併」，相信 CeFi 和 DeFi 會是行業中越來越互相依賴的組成部分。而且兩者都有各自的優勢和劣勢，能夠爲市場提供差異化的服務。

朝着去中心化的方向，DeFi的發展仍是任重而道遠的。那麼在目前的階段，如何選擇靠譜的審計團隊，Dan給出了一些參考維度：

1. 他們是否有相關的安全經驗？ 2. 他們在你的領域發表過原創研究嗎？ 3. 他們會和你分享他們的工具嗎？ 4. 你將得到什麼樣的結果？ 5. 他們能否解決與被調查產品相鄰區域的風險？

與一個合格的安全團隊進行一次大型審查比兩次小型審查更有價值。這樣可以獲得更具戰略性的結果，更好地集成自動化測試和驗證工具，並有機會發現只有擁有專業領域知識的團隊才能發現的更嚴重的錯誤漏洞。

dForce的黑客事件作爲這條路上一次插曲再一次將DeFi推上話題熱點。實際上自19年年初就有一些DeFi安全事件冒頭，包括Nuo、MakerDAO、Synthetix、Edgeware、0x、AirSwap等很多項目都存在合約或Oracle的問題，但好在並沒有造成直接的安全損失。問題的存在是困難喝挑戰，但也反映出了DeFi的迅猛發展，以至於組合過程中潛在的安全問題被提前激活了——而這也正是DeFi未來發展的機遇和挑戰。

希望DeFi從業者能夠吸取教訓，敬畏創新，腳踏實地，不要冒進，越來越好。

以上就是本次AMA的內容整理。 本期AMA回顧：https://www.chainnode.com/ama/425119

本期媒體支持：Coindesk中文站、Cointelegraph中文站、Crypto Briefing和NewsBTC（排名不分先後）