作者:曹寅;原文标题:《DeFi Review特别篇:休斯顿,我们有麻烦了》
“如果未来,全人类有机会使用各种自由开放的DeFi服务的时候,应该感谢在过去历次黑客攻击事件中受损的DeFi用户,以及各位孜孜不倦,不忘初心的DeFi开发者们,这段激动人心的旅程永远肇始于这些探险者和建造者们踏出的第一步,向他们致敬。”
谨以此文向各位DeFi用户致敬,我们总有一天to the moon
01 Houston,We Have a Problem
1970年4月13日21时7分,在前往月球的阿波罗13号发射55小时52分之后,位于休斯顿的地面控制中心向已经进入太空的飞船传递了打开风扇、搅动低温氧气箱的指令。
于是,阿波罗十三号的宇航员在飞船发射后的55小时53分20秒打开了低温氧气箱的风扇。
但只过了2.7秒,飞船就发生了猛烈爆炸。
阿波罗13号上的三个宇航员当时就懵了。宇航员斯威格特马上向地面指挥中心报告并说出了那句被无数人借用的著名台词:
“休斯顿,我们有麻烦了。(Houston,we have a problem.)”
02 DeFi的休斯顿时刻
在阿波罗13号爆炸50年之后的今天,人类向数字空间的探索也到了休斯顿时刻。东半球最重要的DeFi借贷协议 Lendf.Me 今日遭受严重攻击。
黑客攻击利用了ERC777标准的imBTC在Lendf.ME协议组合产生的漏洞。
imBTC是Tokenlon推出的以太坊区块链上的BTC代币,ERC777是在ERC20基础上推出的代币标准,兼容ERC20,并在ERC20的基础上增加了一些新的特性。
imBTC本身并没有安全问题。但ERC-777 代币与Lendf.Me 合约组合,就会产生重入攻击漏洞。
黑客利用漏洞,在Lendf上多次调用重入攻击,并以imBTC为抵押,将Lendf.Me上的资产洗劫一空,并立即不断通过1inch.exchange、ParaSwap、Tokenlon 等 DEX 平台将盗取的币兑换成 ETH 及其他代币,还将其余部分赃款转入了借贷平台Compound和Aave。
图:Lendf的借贷余额中出现6732.91枚重复抵押的imBTC
据安全审计企业慢雾科技初步统计分析,Lendf.Me 被攻击累计的损失约 24,696,616 美元,具体盗取的币种及数额为:
WETH: 55159.02134,
WBTC: 9.01152,
CHAI: 77930.93433,
HBTC: 320.27714,
HUSD: 432162.90569,
BUSD: 480787.88767,
PAX: 587014.60367,
TUSD: 459794.38763,
USDC: 698916.40348,
USDT: 7180525.08156,
USDx: 510868.16067,
imBTC: 291.3471
被攻击后,Lendf锁仓资产美元价值瞬间下跌 100% 至 6 美元,而此前的锁仓总价值超过 2490 万美元。此次攻击不仅造成了大量用户损失(包括我在内),更是严重打击了DeFi开发者和用户对于DeFi应用的信心。
攻击发生后,全球加密社区内充斥着恐慌和愤怒,而一些本来就因为各种原因对DeFi有所偏见的人更是趁机落井下石,其中不乏一些根本对DeFi不了解的狭隘人士。
Lendf的事故有其自身在责任原因,在调查结果出来之前,我无意在此展开,但DeFi本身的发展阶段性问题是更关键的事故原因,我们必须认识到:DeFi的复杂性已经超过了DeFi的成熟度。
自从去年上半年DeFi大爆炸以来,DeFi世界的新资产和新协议如雨后春笋一样冒出来,我每天都通过Twitter和媒体监测最新出现的DeFi应用。最近三个月来,我看到DeFi新应用和新资产正以至少每天两三个的速度涌现,而DeFi协议之间的可组合性,使得DeFi的复杂性更是呈现指数级别增长,协议互相之间的影响已经超越了单纯的乐高积木组合方式。(扩展阅读:《曹寅:DeFi 将超越乐高时代,进入「涌现」时代》)
但与此同时,全球DeFi团队和用户对于协议和操作安全的认识,还仍然以乐高积木的线性方式增长,所以,我们最近才会看到越来越多的安全事故,包括但不限于bzx的闪电攻击,MakerDAO 0DAI拍卖。
而Uniswap和Lendf的imBTC重入攻击,则仅仅是这种成熟度和复杂度增长曲线不匹配现象的又一必然结果,就如同当年阿波罗13号的事故。
据NASA的调查团队事后发现,阿波罗13号发射前,指令舱进行过多项改进,其中之一是将氧气箱中的加热器电压由28伏提高到65伏,但加热器上的热稳定开关没有进行相应的修改,电压仍然是28伏。当工作后,热稳定开关就融化了,于是,悲剧就发生了。
这和Lendf的imBTC重入攻击多么的相似啊!都是由于新的系统组成部分同旧系统之间的不兼容而导致的灾难,Lendf根据开源的Compound协议开发,当初开发者并没有意识到ERC777的出现,接入ERC777格式的imBTC的结果就像阿波罗13号的氧气箱一样发生了爆炸,但独立的来看,imBTC和Lendf的代码,阿波罗13号的氧气箱和加热器开关都没有问题。
阿波罗13号发射的时期,正是人类太空技术大跃进的时代,在依赖极度原始计算机设备甚至人工手算的年代,美国人倾尽国力,耗费上万亿美元,开发了上万种航天设备和系统,并将其组合成阿波罗系列飞船以及承载飞船的土星五号火箭,以当时的技术水平,阿波罗计划不可不谓之奇迹。
但即使强大如美国,阿波罗计划也难以避免复杂度指数曲线和成熟度线性曲线之间不匹配而导致的灾难性结果,以社区开发力量为主的DeFi又怎么可能避免必经的发展阶段挑战?(扩展阅读《曹寅:2020 年,四大可能毁灭 DeFi 的致命威胁》)
03 向探险者致敬
我们不应为Lendf或者Maker的事故而对DeFi失去信心,阿波罗13号的失败之后,NASA并没有取消阿波罗计划,美国人也没有因此停下对太空探索的步伐,深刻反思之后,NASA又发射进行了多次成功的阿波罗任务,之后还建造发射了更伟大的国际空间站。
区块链和DeFi对于人类的意义并不亚于太空探索。太空探索是生产力的革命,让我们可以离开地球,飞向太空,而区块链和DeFi则是生产关系的革命,让我们可以摆脱中心化的束缚,掌握自己的数据和财富主权。
DeFi协议就是我们飞向自由空间的飞船组件,DeFi协议开发者们担当的是飞船工程师角色,而最重要的宇航员,则由DeFi用户们担任。所有参与者,无论开发者还是用户都扮演了伟大的角色,无论结果,都值得尊敬。
在尊敬之余,我们现在必须立刻意识到,DeFi的发展已经进入了危险区域,开发者们应该放下各种门户之见和利益立场,携手合作,设计打造出更安全的DeFi飞船,为飞船上的用户负责。
在这次Lendf攻击事件发生后,很多DeFi开发者和交易所都主动出手帮助Lendf,但某些Lendf的竞争对手项目方不仅不愿提供帮助,还第一时间发推讽刺Lendf。
当年阿波罗十三号发生事故后,整个美国都在想办法帮助三名宇航员,连美国的敌人,苏联,也主动向美国提供帮助。同苏联相比,Lendf竞争对手这种行为不仅刻薄,而且不智,现在的DeFi探索已经进入了深水区,全球所有项目方,无论是否有竞争关系,其实都是在一艘飞船上,即使不出手帮助,也不应该出言讽刺,最后伤害的是所有用户对于DeFi的信心。
没使用过DeFi的旁观者也不必因为频发的黑客攻击,而对DeFi开发者和用户冷嘲热讽。如果没有DeFi开发者和用户的努力和牺牲,何来安全高效的开放金融应用?更何况,现在的DeFi用户很多本身都是DeFi开发者,工程师们自己也坐在飞船上。
如果未来我们的后代到达比月球远得多的地方时,他们会想起阿波罗十三号的三名宇航员:詹姆斯-A-洛威尔、杰克-斯威格特和弗雷德-海斯,以及挑战者号和哥伦比亚号航天飞机上牺牲的宇航员。
如果未来,包括南美,印度,非洲在内的全人类,有机会使用各种自由开放的DeFi服务的时候,也应该感谢在过去历次黑客攻击事件中受损的DeFi用户,以及各位孜孜不倦,不忘初心的DeFi开发者们,这段激动人心的旅程永远肇始于这些探险者和建造者们踏出的第一步,向他们致敬,Houston, Let's go to the moon。
