Lendf.me的攻击事件终于在黑客全部退款后落下帷幕,成为了币圈有史来最大一笔黑客退款,这种180度的剧情逆转让币友们大跌眼镜,简直难以置信。受害投资人和项目方终于可以松口气,算是挺过难关了,值得欢喜一把。项目方不怕打倒,计划返还资产,大概是要重整营业,但用户应该有点受伤了,对未来DeFi的投资态度也许会打上问号。DeFi之路漫长,项目方要通过如何的方式来赢回用户的信心,DeFi整个生态需要重新思考。既然黑已经是被黑过了,链上数据的透明度已足够自证清白,但如何自证安全也许会成为个话题,专业机构审计,还是去中心化审计。就算严格审计后照样被黑,如何保全用户资产,如何补偿用户损失,这些都有必要深思。如果这些措施不完善,估计一部分受伤离开的DeFi用户,再也不会想回头。
再来思考一下黑客退款这一举动,有文章已提到黑客是迫不得已的,因为已泄露了作案痕迹,用官方web方式进行1inch兑换时,交易所估计已有可能锁定到黑客的IP地址,浏览器信息,使用语言等很多信息,如提交给警方,必能把黑客抓捕归案,黑客此刻估计是心里慌得一P,因此全部如数归还了。这种说法不知实不实锤,不过看起来的确还真像这么一回事。假如真是如此的话,真让人感觉有点后怕。有点不敢通过官方web页面去访问1inch了,因为在上面的一举一动已被记录在案,随时都可以分析你的行为,不知其他的dex是否也会如此,这看起来有点中心化,如果站在DeFi的角度来看这有点难以接受。这次如果是通过中心化的方式解决了黑客的问题,那只能说是比较庆幸的,也侧面反映了黑客还比较生手,也许是刚转过来的程序猿。如果是碰到一些老辣的黑客,提前做足了计划,把来源隐藏,然后慢慢下手,估计要退款还是比较难了,毕竟一些明眼的跑路都比较难追查了。所以DeFi这块“打铁还是需要自身硬”,提高自身安全性才是“硬核”防护措施,不要抱有侥幸的幻想,下一次也许真没机会了。
研究安全,当然是有必要研究黑客的一些手段,知己知彼才能百战百胜,也可以给咱小白提高更多的安全意识,技术就是把双刃剑,看你是用来切菜还是s人,作恶不是研究的目的,更多是鼓励币友去转“红客”。假如黑客为避免暴露,不用官方web访问使用dex,那有什么手段可以使用呢?这就是我下面要说的,直接使用Ethereum的接口去调用dex的智能合约的功能,这一般都是有技术的币友会玩的,比如是用Ethereum的命令行,web3的js 或python sdk等等,这对于小白来说还是太难了,今天就来介绍一款比较简单一些的工具来使用,这个就是justsmartcontracts,地址:https://github.com/olekon/justsmartcontracts,看名字不过就是智能合约嘛,它是个nodejs做的一个web服务,可以用npm运行或编译来使用,之前说过很多类似的,就看你会不会玩了,自己跑起来就可以通过它在本地的web页面去直接和Ethereum的智能合约进行交互使用了,首先是添加智能合约,需要填入合约地址,地址对应ABI等信息,然后添加好后就可以看到它的属性,查询,操作和事件等内容了,其实etherscan上也有类似功能类似,但是这个是自建的,不担心操作被记录。合约的操作都是完整的,只要填入相应的信息就可以执行了,还支持Metamask,还是比较方便的。通过这个操作的话,虽然没有官方的web好用,但是用来保证个人隐私安全还是有用的,同时也可以很方便地学习Ethereum区块链使用知识。更多使用说明可以看这里,https://hackernoon.com/new-web-tool-for-interacting-with-ethereum-smart-contracts-ew5nf3g0e。其实不止调dex的智能合约,只要是Ethereum上的智能合约,应该都是通吃的。
演示地址:https://justsmartcontracts.dev/
最后提醒一下,市场有风险,本文只是个研究,不作为投资建议,请合理控制风险。
点赞就是对传教士最大的鼓励,谢谢支持。
版权声明:项目均采集于互联网, 空投币 无法审核全面,且希望大家能赚钱,请谨慎切勿上当受骗!
温馨提示:★★★天上真会掉馅饼!天道酬勤,都是机会!不错过每个空投糖果!真假难以辨认,尽量0撸!
