DEFI:一次黑客攻击_WDEFI价格

编者按:本文来自橙皮书,Odaily星球日报经授权转载。前段时间,我搭了一个很简陋的博客,想用来写点个人日记。代码写得很简单,潦潦草草发布上去。后面有天我才发现,网站存在cookie里的session是没有加密的,前端很容易就能解析出来,而我犯的一个错误是在session里存了敏感的信息。软件世界有无数的陷阱。拿最简单的web网站来说,SQL注入、XSS攻击、利用第三方cookie重复使用的CSRF攻击、图片或者文件上传的漏洞,各种死法花式上演。一个新手在网络上架起了自己的第一个网站,就像水手驾着一艘颤颤巍巍的小帆船第一次出海,他不知道前方路上埋伏着无数的风暴、冰山和海怪。只是在大部分情况下,这些风险是幻象。船上的漏洞当然是一直存在的,风暴和海怪却并不一定会出现。毕竟风暴和海怪也很忙,他们只攻击那些值得攻击的对象,要么掀翻满载而归的渔船,要么掠夺富商的货轮。所以,也难怪有人说,软件工程不像其他“硬工程”,土木工程如果出错,楼会倒、路会塌,需要付出人命的代价;硬件芯片如果出bug,则会导致几十上百亿的损失;软件如果挂了?最多让一个网站宕机半天。当然,这句话其实是错误的。软件正在吞噬整个世界。代码充斥着世界的每个角落。今天软件的漏洞,代表的不止是一个网站或者一个app,也是飞机和火箭上的控制系统。波音公司把客机软件外包给更廉价的第三方,最终在航天史上留下了血淋淋的BUG。Dijkstra大神也讲过类似的故事。1969年阿波罗登月后,他曾经问飞船软件的负责人,你们为什么能把那么多的代码写正确,没想到对方坦白道:仅仅在发射前五天,他才从登月器计算轨道的代码里发现一个错误,这行代码把月球的重力方向算反了。本来该吸引的,结果写成了排斥。除了军用软件和航空软件,现在我们还多了另一个领域——区块链。天生与货币和金融绑在一起的crypto,让我们又一次感受到,软件世界的代码安全究竟有多重要。昨天对中国DeFi圈而言是黑暗的一天。dForce的借贷平台Lendf.Me遭黑客攻击损失2500万美元的资产,黑客利用了ERC777标准和Lendf.Me合约的组合漏洞,使用重入攻击凭空制造出一堆imBTC,又用imBTC借走了平台上的其他币种,洗劫一空。就在dForce出事的前一天,Uniswap也刚刚遭受相似手法的攻击。而ERC777标准的这个漏洞,在2019年6月份就被OpenZeppelin公布了,只是并未引起重视。这件事将会成为DeFi发展的一个重要节点。事件仍在发展中,最终能否追回资产、最大限度的降低用户损失还要看后续进展,但各个crypto群里已经吵翻天了。这里面有太多的教训。许多人将对DeFi失去信心,认为DeFi是伪概念,怀疑以太坊过去这几年围绕去中心化金融所讲的这个故事。也有不少用户从此不愿意把资产放入到DeFi产品中,而更愿意选择中心化的金融产品,因为“CeFi出了事至少能维权”。这些争吵都是正常的。DeFi是乐高,也是蜜罐,从现在到将来,永远都会有一小撮黑客盯着,尝试挖走里面的金币。任何金融系统都需要经历这样的过程,逃不掉的。能通过考验的、最终能幸存下来的,才有机会走向主流人群,成为更稳固的金融基础设施。只是在这样的过程中,每发生一次类似的事件,都让人难免扼腕。因为背后的代价是由用户真金白银买单的。我想这应该是整个区块链行业都不愿意看到的。只是很遗憾,事情发生后,我在Twitter和其他社交平台上看到了挺多冷嘲热讽的围观,有国外社区对中国社区的嘲讽、对以太坊社区的嘲讽,也有非DeFi圈对DeFi圈的戏谑。恰好也是在昨天,宅在家里看完了因为疫情而举办的全球慈善演出oneworldtogetherathome。在一片GlobalCitizen的氛围中,默默听完了来自世界各地的艺术家和歌手在家里录制的表演。有人说,在病和反全球化趋势下,象征人类大团结的东京奥运会都被取消了,唯有这场2020年的liveaid,能让人从心里感受到一些联结和温暖。而其实整个crypto行业才多大呢?就这么小的一个圈子,中国真正从事区块链的核心玩家,可能一个微信5000好友就能加满了。何必如此。希望这次攻击事件,能让crypto圈和所有从事DeFi行业的人都能吸取教训。开发者在写智能合约时,对每一行代码能更有敬畏之心;用户在使用Crypto产品时,对风险能有更清楚的认识——记住哪怕是小概率的风险,只要时间够长就一定会发生。安全,才是区块链的立身之本。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-4:765ms