DeFi近期遭受的高额损失是该行业的教训

在迅速崛起之后，DeFi遭受了几次备受瞩目的挫折。问题不是关于它是否将恢复，而是要确保恢复需要做什么。

DAO的“ hack”深入到了加密货币社区的集体记忆中。在2016年5月获得了非常成功的众筹之后，DAO持续了一个多月的时间，攻击者才开始从智能合约中抽出资金，抢走了价值约7000万美元的以太（ETH）。

但是，正如当时的一些人指出的那样，DAO事件根本不是黑客。攻击者只是利用了底层智能合约代码中的漏洞，以使其以程序员无法预期的方式运行。然而，在决定实施硬分叉以退还资金之后，该事件使以太坊社区分裂。

快进到2020年初，去中心化金融中捆绑了价值超过10亿美元的加密货币。在智能合约的管理下，这是10亿美元。因此，根据历史，某人最终会找到使这些应用程序以前所未有的方式执行的方法，这是不可避免的。第一次是在2020年2月，对bZx去中心化交易平台进行了两次单独攻击。最近，一名黑客从dForce运营的中国借贷平台Lendf.me盗走了2500万美元。

即使不涉及黑客，DeFi应用程序也显示了其他漏洞。在3月中旬加密货币的“黑色星期四”期间，由于ETH价格暴跌，MakerDAO 清算了价值超过400万美元的贷款。飞机坠毁导致了快速的治理投票和债务拍卖以弥补损失。

许多评论集中在DeFi是否可以从这些挫折中恢复过来。根据DAO事件的历史，DeFi不可避免地会复苏。也许更相关的问题是，DeFi DApp操作员可以从此类事件中学到什么，以帮助避免将来发生这些事件？

dForce轻松赚钱

涉及Lendf.me黑客的最新事件提供了一些轻松的机会。该平台是中国最大的贷款DApp。然而，事实证明，黑客入侵是由于dForce从另一个分散的借贷应用程序Compound的早期版本复制了代码。Compound的旧代码无法防御专门针对ERC-777令牌的“重入”攻击类型。

由于此问题，化合物不支持ERC-777令牌。但是，似乎dForce复制代码时，它并没有真正理解此漏洞，因为它没有采取相同的措施，从而允许在Lendf.me上使用ERC-777令牌。因此，攻击者利用了该漏洞，使用ERC-777 imBTC令牌从平台中耗费了2500万美元。

自那以后，黑客已经退还了这笔资金，但这本身并不是一种防御。正如Cointelegraph报道的那样，dForce因未能采取足够的措施来防止此类攻击而受到批评。因此，如果假设dForce根本不了解该问题，他们将如何避免呢？亚历克斯Melikhov，CEO和平衡的共同创办人-基于EOS-的发行人stablecoin EOSDT -是的同行评审的想法的忠实粉丝。他告诉Cointelegraph，“第三方进行代码审查可以防止此事件发生，”并补充说：

“这里的一个重要方面是建立测试框架和代码审核。四眼原则非常适用于代码开发，并且一定可以缓解漏洞风险。尽管dForce与PeckShield进行了合作（PeckShield已公开审核了其USDx和Yield Enhancing协议），但看来审计师尚未审查其LendfMe贷款协议的代码。”

中央贷款平台Cred的首席执行官兼联合创始人Dan Schatt表示同意，甚至暗示社区可以在这里发挥作用。他对Cointelegraph表示：“ Bug赏金有助于激励社区寻找可能导致攻击和利用这些类型漏洞的漏洞类型。”

在发布之时，dForce已确认通过其资产重新分配工作已将100％受攻击影响的用户退款。dForce确实回应了Cointelegraph的置评请求。dForce的创始人杨敏道表示：

“在[Lendf.me]事件之前，Uniswap / imBTC池黑客遭到了类​​似的攻击。与ERC777令牌相关的Uniswap漏洞自2018年末以来就已为人所知，但ERC777令牌和引入可重入攻击面的Compound V1代码的组合仅在事件发生后才引起我们注意。当Uniswap / imBTC池发生黑客攻击时，我们可能会更加警惕，而在加入新资产时可能会更加谨慎。”

Yang继续说，该平台计划避免类似的攻击，并将在将来加入一些外部专家的行列：

“我们将聘请一流的第三方安全顾问来协助进行全面审核，并帮助我们加强未来的安全实践。我们将找到合适的时间来重新部署新的分散式货币市场协议和其他协议。向前迈进，在他们的帮助下，将资产引入dForce生态系统时，我们将引入严格的，经过审核的集成过程。”

发言人确认，将在以后的博客文章中分享在这方面采取的行动的更多细节。

BZx-一个更复杂的问题

在最近的dForce事件之前，DeFi交易平台bZx在一周内被击中两次。这些攻击归结为漏洞代码，而不是总体而言加密货币空间的不成熟和相对较低的流动性。衍生产品交易（无论是集中式交易还是分散式交易）都依赖于价格预言。这些通常是使用多个交易所的平均价格从现货市场上获取的。

在DeFi平台的情况下，价格信息来自Uniswap和Kyber等去中心化交易所。问题是，由于这些代币在这些平台上的流动性较低，因此操纵价格相对容易。

相关：BZx Flash贷款攻击是否预示着DeFi的结束？

BZx很好地处理了这一事件，从保险基金中弥补了用户的90万美元损失。Deribit研究人员Su Zhu和Hasu先前已经解释过，即使在诸如BitMEX的集中式交易所中，价格预言系统也容易受到操纵。在DeFi中，依赖分散式交易所获取价格预告片数据，可以说这是意外事故。

但是，它提出了一个有趣的难题-解决挑战的唯一方法是吸引更多的用户向DEX中注入流动性以减轻操作的脆弱性。但是，只要存在资金可能耗尽的风险，DeFi就会很难吸引用户。

关键漏洞

最后，转向最近的“黑色星期四”事件，该事件导致MakerDAO大规模清算：尽管价格暴跌完全超出了Maker的控制范围，但有什么可以借鉴的教训吗？

3月的崩盘及随后的清算导致投票人更改了Maker的拍卖参数并引入了USDC，这是一种与加密货币市场无关的抵押资产类型。毫无疑问，DeFi反对者会嘲笑需要由集中的等价物抵押的由加密货币支持的稳定币。

但是，也许Maker引入USDC表示社区已经成熟，因为他们认识到DeFi市场的年轻时代意味着它需要效仿相对稳定，集中化的同行，直到能够站稳自己的两只脚。毕竟，Maker的创始人Rune Christensen最近在接受采访时对Cointelegraph表示，他相信DeFi最终将与CeFi合并，这说明Maker的USDC使用可能是此举的早期预测。

今年已经达到10亿美元的里程碑，这是一个问题，DeFi将在何时（而不是是否）从这些挫折中恢复并再次收回这个数字。但是，这些挫折发生的事实说明，DeFi创始人不应该专注于该领域的发展，而应该专注于该领域的发展。通过从最近的事件中学习，有可能更快地康复。

文章作者：尼古拉·库兹涅佐夫