DeFi 频遭攻击，真的足够「去中心化」吗？

——

币安比特币新闻 发布于 2025-01-21 05:01

DeFi —— 去中心化金融，不同于过去中心化的传统金融需要许多中介机构如银行、证券交易所的参与，DeFi 利用了区块链的技术，逐渐发展出有别于传统金融的金融商品，疯狂受到追捧。根据 DeFi Pulse 的数据，DeFi 锁仓量已飙升了 200% 以上，从 2021 年 1 月份的 $320 亿到 12 月份的 $980 亿。DeFi 作为去中心化世界的明星产物，凭其去中心化、不可篡改、无需信任、开放透明可组合等特性为用户打开了开放式金融的大门。

不过，DeFi 真的足够「去中心化」吗？

从协议层面以及交互方式来看，DeFi 的确足够去中心化。但从一些攻击事件上看，DeFi 似乎显得不那么去中心化。

☟

2021 年 7 月 14 日，波卡数字收藏品市场平台 Bondly Finance 遭到攻击，导致 373,088,023 美元的 BONDLY 代币从 Bondly Staking Rewards 合约中转出，据官方调查，攻击者通过精心策划获得了属于 Bondly 首席执行官 Brandon Smith 的密码帐户的访问权限。密码帐户包含 Smith 的硬件钱包的助记符恢复短语，复制后允许攻击者访问 BONDLY 智能合约，以及被泄露的公司钱包。

有趣的是，该黑客似乎在四个月后又以相似的方式攻击了另一个 DeFi 项目。

2021 年 11 月 5 日，DeFi 协议 bZx 发推称控制 Polygon 和 BSC 部署的私钥已被泄露，导致资金损失。据官方调查，黑客使用的钱包之一参与了 Bondly Finance 的攻击。同时，本次漏洞利用与 Bondly Finance 的非常相似：黑客获得了开发人员的密码，然后从协议中操纵了一个智能合约。不久，bZx 在更新的事故报告表示：“我们聘请了一家名叫 Kaspersky 的安全公司，该安全公司调查后认为这次攻击很可能是由朝鲜黑客组织 Lazarus 执行的。”据慢雾 AML 旗下反洗钱追踪系统 MistTrack 分析，攻击者初始资金来自 Tornado.Cash 转入的 0.9 ETH，接着攻击者一番操作将被盗资金分散到多个地址。然后攻击者将多种代币换为 ETH，最后通过 Tornado.Cash 转出 10960 ETH，以太坊部分的洗币基本完成。

以上两个事例都是无关合约问题，而是开发人员遭到钓鱼攻击致私钥泄露从而影响用户资金。回顾近期，私钥泄露似乎变得非常热门：Levyathan 损失 150 万美元、8ight Finance 损失 175 万美元、Vulcan Forged 损失 1.4 亿美元……我们不禁想，这是不是表示着线下实体（DeFi 开发人员）实际掌管着控制权呢？

除了钓鱼攻击，前端攻击也是引发 DeFi 安全问题的高危据点。

2021 年 12 月 2 日，据官方 Discord 消息，去中心化组织 Badger DAO 遭遇黑客攻击，用户资产在未经授权的情况下被转移。12 月 9 日，Badger 发布了详细的事故报告，报告称此次事件是 Cloudflare Workers 上的恶意注入代码片段导致的。Cloudflare Workers 是一个运行脚本的界面，这些脚本在流经 Cloudflare 代理时对 Web 流量进行操作和更改。攻击者在 Badger 工程师不知情或未授权的情况下获取了项目方在 Cloudflare 后台的 API Key，以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时，触发恶意代码后会发起交易让用户去确认。用户确认了那笔恶意交易，就会将代币授权（approve）给攻击者，然后攻击者就可以在用户不知情的情况下将代币转走。据慢雾 AML 旗下反洗钱追踪系统 MistTrack 分析，黑客将部分获利的加密货币换成 renBTC，并通过 renBTC 将约 2100 BTC 跨链转移到 14 个 BTC 地址，目前暂无异动。

在 DeFi 世界，合约一旦部署不可篡改不可撤回，理论上来说是不会受到人为的干预，这点确保了其去中心化的特点，但目前绝大多数前端仍是通过传统架构实现，虽然网页自身也在不断在进化和发展，但是仍存在很多潜在的威胁，同时针对前端的攻击往往容易被开发者忽视，这些错误因素使得攻击者饱餐了一顿又一顿。

2021 年 9 月 17 日，Sushiswap CTO 在推特上表示，Sushiswap IDO 平台 Miso 的前端遭受攻击。承包商的一名匿名员工将恶意代码注入 Miso 前端，把拍卖钱包地址替换成了自己的钱包地址，导致 864.8 ETH（约 307 万美元）被盗。

当前端问题开始影响资金的安全性，作为用户不得不深思如何才能做到安全地参与 DeFi 项目，简直如履薄冰。

总结

不管怎样，“DeFi 是否完全去中心化”这个问题也许会一直存在。与其说去中心化是 DeFi 最大的特性，不如说是 DeFi 世界的终极目标。而不论是作为用户、审计机构还是作为项目方，我们经历过如此多的 DeFi 安全事件后，是否仍然只将注意力聚焦到智能合约上呢？答案不言而喻。

参与 DeFi 项目本质上是把手中的资产转移或授权给 DeFi 项目方，存在个人极大程度上不可控的安全风险。那我们普通用户能做什么？慢雾为您准备了一份“DeFi 资产安全解决方案”，点击链接即可查阅。

上一篇解析 Curve 的治理、投票的重要性以及理解其垂直管理协议 Convex

下一篇链声投研周报 | 加密市场发生超16起公开融资事件，OpenSea完成 3 亿美元 C 轮融资

比特币行情

——

链声投研周报 |加密市场发生超31起公开融资事件，LayerZero Labs完成1.35亿美元融资

据CoinVoice不完全统计，本周（3.28—4.02）公...

撰文：Pedro Herrera，DappRadar 撰稿人

编辑：南风

撰文时，Yuga Labs 的 6 个 NFT 系列已经占到了以太坊上 NFT 市值的 43%。

上图：Yuga Labs 的 6 个 NFT 项目的市值，数据截至2022年3月29日

不到一年前，也就是2021 年 4 月 28 日，Yuga Labs 推出了「无聊猿游艇俱乐部」(BAYC)，这是 NFT 历史上最具影响力的项目之一。BAYC 与CryptoPunks一起引领了 NFT 热潮，在 2021 年见证了创纪录的交易量。这两个 NFT 项目的重要性可以说超越了区块链领域，达到了一种文化现象的地位。CryptoPunks 和 Bored Apes (无聊猿) 已经通过知名拍卖行佳士得 (Christie’s) 和苏富比 (Sotheby’s) 成为主流，并成为数十位名人在社交媒体上的头像。因此，当 Yuga Labs 宣布收购 CryptoPunks 和 Meebits 的知识产权时，整个加密社区陷入一阵狂热。

收购 CryptoPunks 知识产权几天之后，Yuga Labs 通过公布其元宇宙计划后再次登上头条，包括其备受期待的代币ApeCoin以及 BAYC 生态系统元宇宙项目Otherside。Yuga Labs 经历了从最初推出 BAYC 这个当时铸造价只有0.08 ETH(约合 120 美元) 的 NFT 收藏品到发展成为一个领先的 Web3.0 品牌。Yuga Labs 目前的估值已达 40 亿美元，并建立了一个充满活力的元宇宙生态系统。本报告将从不同角度阐述 Yuga Labs 公告的影响，并阐述这些最近的行动在 Web3 和元宇宙的前景中的含义。

关键信息

Yuga Labs 成为了 Web3 领域的主导力量，其 6 个 NFT 系列的总市值约为 81 亿美元，占以太坊前 100 名 NFT 收藏品项目市值的43%。

ApeCoin代币通过其 23 亿美元的市值加强了 Yuga Labs 的品牌定位。

由 Anderseen Horowitz (a16z) 和 Animoca Brands 牵头的4.5 亿美元投资(估值 40 亿美元) 进一步推动了 Yuga Labs 的元市场计划。

Yuga Labs 的 NFTs 占据以太坊上 NFT 地板市值的 43%

CryptoPunks 和 Meebits 的底价在收购后上涨

作为 BAYC 生态的经济引擎，ApeCoin 代币的市值接近 23 亿美元

4.5 亿美元的投资提振了 BAYC 元宇宙

对 Web3 领域产生的影响

Yuga Labs 的 NFTs 占据以太坊上 NFTs 地板市值的 43%

在收购 Larva Labs 拥有的 CryptoPunks 和 Meebits 的知识产权之前，Yuga Labs 已经控制着整个加密领域最具影响力的名字之一：Bored Ape Yacht Club(BAYC)。BAYC 系列包含 10,000 个 NFT，成为了 NFT 头像运动的代名词。该项目受到 NFT 社区的广泛欢迎，并很快被著名的 NFT 收藏家所寻找，最显著的就是好莱坞、体育和音乐名人。这些名人的高度参与给这个 NFT 系列带来了一种与现实世界中的奢侈品牌相似的独特性。

除了10,000 个「无聊猿」NFT，Yuga Labs 的 BAYC 生态系统还包含其他3 个额外的 NFT 项目：

The Bored Ape Kennels (BAKC，无聊猿狗舍俱乐部)

The Mutant Ape Yacht Club (MAYC，突变猿游艇俱乐部)

The Bored Ape Chemistry Club (BACC，无聊猿化学俱乐部)

这些 NFT 系列展示了 Yuga Labs 实现的高实用性。「无聊猿」NFT 的持有者们已经免费获得了BAKC(总计 10,000 个) 和突变血清 (BACC)，比例为 1:1 (外加 Gas 费)。

编者注：BACC 总共包含 10,000 份 NFT 突变血清 (Mutant Serum) ，由 3 种不同的突变血清组成：M1 Mutant Serum、M2 Mutant Serum 和 Mega Mutant Serum。BAYC 无聊猿的持有者在空投到 BACC 突变血清之后，可以选择将 BACC 血清与 BAYC 无聊猿进行结合以铸造 MAYC 突变猿 NFT，也可以选择在 OpenSea 等平台上将 BACC NFT 进行出售。注入 M1 或 M2 血清的 Bored Ape (无聊猿) 外观会有较轻微的变化，相比之下 Mega Mutant Serum 所带来的突变外观会更为疯狂以及难以预测，因此这种血清的价格更高。此外，血清在使用后将会消失。

BAYC 生态系统是整个 NFT 领域中最强大的群体之一。根据 DappRadar 的 NFT 价值估算工具，BAYC、BAKC、MAYC 以及 BACC这 4 个 NFT 系列的市值估计为 55 亿美元，这一市值占了以太坊前 100 名 NFT 收藏品系列的底价市值的29%。如下图所示：