華夏時(shí)報(bào)（chinatimes.net.cn）記者冉學(xué)東 見習(xí)記者 王永菲 北京報(bào)道

這次竟是以黑客返還全額盜幣作為“DeFi領(lǐng)域最大的盜幣案”的大結(jié)局。

國(guó)內(nèi)DeFi領(lǐng)域較為知名的借貸平臺(tái)lendf.me，其背后的公司為dForce，由于平臺(tái)系統(tǒng)漏洞問(wèn)題被攻擊者利用而造成投資者資產(chǎn)被盜，損失超過(guò)2500萬(wàn)美元，事發(fā)后lendf.me平臺(tái)停止了服務(wù)，據(jù)慢霧科技調(diào)查4月21日攻擊者已經(jīng)將攻擊所得資產(chǎn)幾乎如數(shù)返還。

資金聚集的地方就是黑客們狂歡的天堂，每次出現(xiàn)盜幣事件都會(huì)引起幣圈的一陣慌亂，2011曾有一個(gè)比特幣大戶賬號(hào)被盜后黑客拋售致使比特幣價(jià)格暴跌90%。在所有的黑客攻擊事件中，受影響最大的是投資者們，而他們的維權(quán)往往都是無(wú)疾而終。

為了調(diào)查清楚事件的來(lái)龍去脈和后續(xù)可能的進(jìn)展，本報(bào)記者采訪到了業(yè)內(nèi)安全領(lǐng)域的頂尖企業(yè)慢霧科技合伙人兼產(chǎn)品負(fù)責(zé)人啟富，他分析了DeFi平臺(tái)Lendf.me被黑的相關(guān)細(xì)節(jié)，并對(duì)安全防御和投資者提出了諸多建議。

盜幣事件是dForce為熱度做的自導(dǎo)自演?

《華夏時(shí)報(bào)》：本次DeFi平臺(tái)Lendf.me被黑的事件引起行業(yè)恐慌，您能大概的介紹一下事件的始末嗎？

啟富：4月19日早上8、9點(diǎn)的時(shí)候攻擊者利用lendf.me平臺(tái)智能合約的漏洞，盜取了平臺(tái)內(nèi)大量數(shù)字貨幣，總價(jià)值約2500萬(wàn)美金。攻擊者在4月20日退還了部分資金，還給lendf.me平臺(tái)留下了“better future”，令關(guān)注者感受到了挑釁的味道。據(jù)慢霧觀察錢包地址交易情況，截止到21日黑客已經(jīng)如數(shù)退還全部資金。

《華夏時(shí)報(bào)》：如您所說(shuō)，截至4月21日，攻擊者已經(jīng)將2500萬(wàn)美金全部退還，好像還有傳言說(shuō)多退了一些資金回來(lái)，針對(duì)盜幣后退還的事件，有業(yè)內(nèi)人士猜測(cè)：“這看起來(lái)像是dForce為熱度做的自導(dǎo)自演？”

啟富：dForce自導(dǎo)自演的可能性不大，對(duì)自己平臺(tái)聲譽(yù)的影響太大了。

《華夏時(shí)報(bào)》：看dForce社群討論，他們給攻擊者留言：“為了你的未來(lái)，請(qǐng)盡快聯(lián)系我們。”這種“威脅”攻擊者的情況好像在業(yè)內(nèi)還是第一次。那像Lendf.me此次這樣的幣被盜走又送回來(lái)的攻擊性事件多嗎？攻擊者為何要這樣做？是一種挑釁嗎？那像Lendf.me此次這樣的攻擊者有被查到的可能嗎？

啟富：此前遇到過(guò)一次是以太坊經(jīng)典(ETC)51%攻擊的攻擊者也將幣歸還了。此次盜幣歸還事件也不算是一種挑釁，根據(jù)慢霧安全團(tuán)隊(duì)的追蹤，此次攻擊者已經(jīng)基本將盜幣返還，傳言是找到了攻擊者的IP。有時(shí)候發(fā)生盜幣事件后，黑客的身份也會(huì)通過(guò)反追蹤追查到，此事很大程度上最終結(jié)果是雙方達(dá)成友好協(xié)商，攻擊者返幣后，被盜項(xiàng)目方不進(jìn)行報(bào)警處理。在某些意義上說(shuō)，Lendf.me應(yīng)該感謝攻擊者幫他們發(fā)現(xiàn)了這個(gè)漏洞。

幣圈很多項(xiàng)目方的客戶資產(chǎn)都在“裸奔”

《華夏時(shí)報(bào)》：區(qū)塊鏈行業(yè)屢次被黑帽黑客盜幣，是幣圈的技術(shù)還不夠成熟嗎？有評(píng)論說(shuō)：“幣圈技術(shù)被黑客技術(shù)碾壓了”，您怎么看待這個(gè)看法呢？黑客對(duì)幣圈的安全威脅大嗎？

啟富：一方面項(xiàng)目方本身沒有足夠的安全意識(shí)，沒有尋求專業(yè)的安全審計(jì)團(tuán)隊(duì)去做項(xiàng)目審計(jì)，來(lái)保證項(xiàng)目的安全，導(dǎo)致幣圈安全事件頻發(fā)。

另一方面項(xiàng)目方和交易所也在經(jīng)常做代碼更新，審計(jì)需要的時(shí)間較長(zhǎng)，花費(fèi)較大，所以審計(jì)做的不是那么及時(shí)。

《華夏時(shí)報(bào)》：在慢霧科技以及其他安全公司做審計(jì)的幣圈項(xiàng)目方和交易所數(shù)量大概有多少呢？

啟富：根據(jù)我們內(nèi)部的統(tǒng)計(jì)，目前找我們慢霧科技做審計(jì)的項(xiàng)目方數(shù)量大概在800多家。

（注：據(jù)非小號(hào)顯示，數(shù)字貨幣幣種數(shù)量達(dá)到了5635個(gè)，可見還有很多項(xiàng)目方的資產(chǎn)在“裸奔”。）

《華夏時(shí)報(bào)》：最近還有一個(gè)很熱的話題是：EOS生態(tài)圈了30多億跑路了，大量資金短時(shí)間涌進(jìn)交易所，有人猜測(cè)“交易所在配合這個(gè)大資金盤來(lái)洗錢”，您怎么看待這個(gè)說(shuō)法呢？

啟富：知名、頭部交易所的風(fēng)控團(tuán)隊(duì)一般會(huì)特別關(guān)注這類惡性事件，對(duì)涉及這類惡性事件的充值記錄進(jìn)行審核，如果有相關(guān)的資金轉(zhuǎn)入交易所，他們風(fēng)控團(tuán)隊(duì)會(huì)阻止。

被盜事件后的反思

《華夏時(shí)報(bào)》：慢霧科技專注于區(qū)塊鏈生態(tài)安全，那針對(duì)此次Lendf.me的被盜事件，能給DeFi領(lǐng)域的項(xiàng)目方提幾個(gè)專業(yè)的安全建議嗎？有什么避免攻擊的解決方案嗎？

啟富：業(yè)內(nèi)很多項(xiàng)目方的風(fēng)險(xiǎn)意識(shí)不是很強(qiáng)，為了避免此類事件再次發(fā)生，慢霧團(tuán)隊(duì)給幣圈的項(xiàng)目方提出以下建議：一、首先要在關(guān)鍵的業(yè)務(wù)操作方法中加入鎖機(jī)制，如：OpenZeppelin 的 ReentrancyGuard；二、開發(fā)合約的時(shí)候采用先更改本合約的變量，再進(jìn)行外部調(diào)用的編寫風(fēng)格；三、項(xiàng)目上線前請(qǐng)優(yōu)秀的第三方安全團(tuán)隊(duì)進(jìn)行全面的安全審計(jì)，盡可能的發(fā)現(xiàn)潛在的安全問(wèn)題；四，多個(gè)合約進(jìn)行對(duì)接的時(shí)候也需要對(duì)多方合約進(jìn)行代碼安全和業(yè)務(wù)安全的把關(guān)，全面考慮各種業(yè)務(wù)場(chǎng)景相結(jié)合下的安全問(wèn)題；五、合約盡可能的設(shè)置暫停開關(guān)，在出現(xiàn)“黑天鵝”事件的時(shí)候能夠及時(shí)發(fā)現(xiàn)并止損；六、安全是動(dòng)態(tài)的，各個(gè)項(xiàng)目方也需要及時(shí)捕獲可能與自身項(xiàng)目相關(guān)的威脅情報(bào)，及時(shí)排查潛在的安全風(fēng)險(xiǎn)。

此次盜幣事件算是圓滿結(jié)局，dForce最終給的聲明除了道歉，還給出幾個(gè)將要采取的方案：

由于Lendf.Me的現(xiàn)有合約已數(shù)據(jù)污染，將被永久關(guān)閉，新產(chǎn)品將啟用新合約；將于一周內(nèi)公布資產(chǎn)返還的建議方案； 如果資產(chǎn)分配的方案通過(guò)，將盡快開啟并完成用戶的資產(chǎn)分配工作。

《華夏時(shí)報(bào)》：每次發(fā)生盜幣事件，受到損失最大的還是投資者，您能給投資者個(gè)人提一些專業(yè)性的投資安全建議嗎？

啟富：慢霧安全團(tuán)隊(duì)對(duì)投資者個(gè)人有以下幾個(gè)建議：一是選擇業(yè)內(nèi)頂尖的交易所投資交易，在如火幣、幣安和OKEx這種大型交易所投資交易，即使不幸遭遇到了攻擊者盜幣事件，交易所也會(huì)負(fù)責(zé)賠償客戶的損失。比如2019年幣安被盜7000多枚比特幣后，幣安對(duì)投資者都做了賠償。二是數(shù)字貨幣投資者可以選用冷錢包存儲(chǔ)數(shù)字貨幣，保護(hù)好秘鑰和助記詞就可以保證資產(chǎn)安全了。

本次被盜事件也提醒了交易者要關(guān)注項(xiàng)目方以及交易所的風(fēng)控及系統(tǒng)安全如何，再選擇是否需要進(jìn)行投資。

責(zé)任編輯：孟俊蓮 主編：冉學(xué)東