原標題：DeFi安全事故頻發，但6.1億美元被盜不是終點

記者 | 司林威

9月1日，DeFi項目Cream Finance 發佈報告，其官方表示在8月31日中午12點發生的黑客攻擊事件中，損失共 4.6 億枚 AMP 代幣和 2804 枚 ETH ，約合 1800萬美元。這已經不是Cream Finance第一次出現安全事故了，2021年2月14日，Cream Finance曾因代碼漏洞被黑客攻擊損失3750萬美元資產。

而這還不是近期DeFi領域內的最大安全事件。

8月26日深夜，區塊鏈跨鏈協議團隊Poly Network正式宣佈已經爲用戶恢復了此前黑客歸還的所有資產，總價值爲 6.1 億美元。該消息標誌着8月10晚發生的DeFi史上最大金額的攻擊事件最終化險爲夷，一場鉅額資金被盜的悲劇事件在多方努力下以一個體面的方式結尾。

歷時16天，白帽黑客、項目方、交易平臺、安全團隊等等區塊鏈各羣體輪番登場，一場神奇的博弈和合作在鏈上世界通過轉賬信息一一展開，該事件將註定被寫入區塊鏈發展的歷史中。

DeFi史上最大的黑客攻擊案

8月10日晚間，全球加密貨幣社區被一則消息震動，隨後各方開始了一系列行動。專攻跨鏈技術的Poly Network宣佈主網被黑客攻擊，其用戶在BSC（幣安智能鏈）、以太坊、Polygon（以太坊側鏈）三條區塊鏈上的資產總計被轉移6.1億美金，該金額超越此前DeFi的安全事故，成爲迄今金額最大的DeFi安全事件。連圈內知名的DeFi參與者，F2pool創始人毛世行事後都確認個人資金參與其中。

8月11日，界面新聞從Poly運營方獲悉，整個團隊徹夜未眠，除了最重要的資產被盜，社區內爆發的各類猜想和原因分析讓該團隊揹負巨大壓力，加密貨幣社區中甚至有人質疑Poly作爲項目主導方“監守自盜”。

11日，本次事件的主角——一名“白帽黑客”正式現身，並多次通過區塊鏈交易進行留言表達其觀點，該黑客稱從一開始就打算歸還被轉移的資金，導演一場充滿“區塊鏈精神”的黑客行動。

下爲整理後的事件始末圖。

DeFi爆發式增長

但DeFi安全事故頻發的背後並不是偶然的集中爆發，其背景是一個正在爆發增長的區塊鏈新方向。

如果說2021年是“NFT”大熱之年，那麼2020年則被區塊鏈世界認爲是DeFi爆發的年度，這一年的夏天也被社區稱爲“DeFi Summer”。

所謂DeFi，全稱“Decentralized Finance”，譯爲去中心化金融，在區塊鏈世界裏，它是指通過在區塊鏈上部署有代碼組成的智能合約來提供各類金融服務，由於和“傳統機構”依靠中心化的機構和人來促成服務不同，DeFi提供的服務從進入到退出全部由代碼執行，所以被稱爲去中心化金融。

如果從廣義來說，DeFi的發展可以追溯到數十年之前，比如比特幣都算是DeFi的一種。而它所迸發的能量在近幾年被認爲是區塊鏈的又一大創新，並且有望在某些領域做一次顛覆級的變革。

以目前最大的DeFi項目Uniswap爲例，這是一個去中心化交易所，即其流動性並非通過傳統金融的撮合交易來實現，而是通過較爲複雜的“流動性質押資金池”，簡單理解爲用戶自己注入資金爲交易平臺提供流動性並得到獎勵，同時又可以使用該平臺服務來滿足自身金融需求，而這一切全部由區塊鏈上的智能合約執行，不由機構或個人來進行執行。

目前，借貸、交易是目前最主流的“DeFi”項目。CoinMarketCap數據顯示，頭部DeFi項目Uniswap市值已超162億美元，而其團隊規模僅數十人。而相比之下，世界知名的證券交易所納斯達克的整體市值是331億美元，但其僱員規模達到五千人。

而此次6.1億事件的主角Poly 

Network則是另一種DeFi項目，由於DeFi項目往往涉及到不同資產的轉換，所以有一種協議主攻資產跨鏈。簡單來說是將兩條鏈的幣相互發給對方。區塊鏈中涉及的跨鏈技術有很多，有雙向錨定（two-way-peg），哈希時間鎖，原子交換，資產質押轉移，網關，聯邦簽名等等，非常複雜。而Poly這種則是使用

合約跨鏈，即一條鏈上的智能合約，能夠讀取另外一條鏈上的特定信息，來執行合約代碼，並給出確定性的結果，這也屬於DeFi的一種類型。

Poly Network就是一個異構鏈跨鏈互操作協議，它能夠實現從協議層一舉打通各個異構鏈之間甚至各個主流公鏈之間的通信和交易。比如比特幣、以太坊、BSC等主流公鏈。

所以DeFi被視爲是對傳統金融的再創新，通過智能合約衍生出了各類新生態，在這個世界，“代碼即法律”成爲越來越多人的共識。

截止8月30日，DeBank數據顯示，目前Defi總鎖倉量已達到1122.3億美元，淨鎖倉量爲829.8億美元，而2021年初，該數字僅爲170億美元。僅半年過去，DeFi市值增長近十倍。

對DeFi安全的反思

但隨着DeFi爆發式增長的同時，各類安全事故頻發，公開數據顯示，近兩個月，DeFi 領域發生了 19 起安全事故，跨鏈協議佔 6 起，涉及了 Poly Network、Anyswap、ChainSwap 等協議。

F2pool創始人毛世行近日公開表示，“本次黑客盜幣事件其實是對 DeFi 行業的反思，由於涉案金額巨大，我們事後也在思考在 DeFi 領域的投資方式，特別是挖礦，投入的是本金，面臨是的不確定的安全風險。”

Parity亞洲負責人賈瑤琪對界面新聞表示，因爲DeFi協議本身是跟金融直接打交道的，關乎用戶的資金，所以DeFi協議的設計和實現需要從一開始就將安全考慮進去，而且無論多嚴謹都不爲過。任何DeFi協議最好通過至少兩家安全審計公司進行審計，從而減少安全風險。不引入非必要的管理員身份，同時限制協議部署者和管理員的權限，防止因爲單個賬戶泄露而導致整個協議的全部資金陷入安全隱患。

而在本次事件中，發揮了重要作用的安全審計公司慢霧科技創始人餘弦曾則發文表示：“這已經是慢霧第N次動用洪荒之力，這也讓很多朋友知道慢霧有能力做到這個。但不好意思，這種能力太過消耗，成本也非常高，也有運氣成分。”餘弦對於DeFi的安全曾表示：“DeFi安全不僅僅是指智能合約安全，還包括區塊鏈基礎安全、前端安全、通信安全、新增功能安全、人性安全、金融安全、合規安全。‘代碼即法律’是一句不切實際且不負責任的話。”

甚至Poly 事件中的黑客也撰寫了長長的反思文：“安全是一項艱鉅的工作，無論是在現實世界還是加密世界。在大多數情況下，我們的安全專家只會在事件發生後作爲體檢醫師被傳喚。我們所做的只是撰寫驗屍報告，有時會追蹤壞人。這在加密世界幾乎是一樣的，除了有些項目不是很急於拿回錢，因爲這不是他們的錢，他們只會告訴真正的受害者‘對不起，我們嘗試過，但從來沒有保證’。”

毫無疑問，DeFi 在過去一段時間裏，在區塊鏈領域已經充分證明自己的價值。並且有了重要的底層基礎設施例如算法穩定幣、底層借貸、豐富的衍生品，但其面臨的資金安全，用戶擁堵的性能瓶頸，監管對其合規化的擔憂，都將是未來需要解決的問題。