学院 相关新闻 文章

寻求资产安全与用户隐私的平衡

2020.05.09

4 月 19 日,dForce 的去中心化借贷协议 Lendf.Me 遭到黑客攻击,价值约两千五百万美金的加密数字资产被黑客盗走;当晚,黑客向 Lendf.Me 账户归还了 12614 枚 PAX,并附言 Better Future;4 月 20 日,黑客再次陆续归还代币,最终悉数归还了全部被盗资产。由于资产已被追回,dForce 团队向警方提交撤案请求。

这是 DeFi 有史以来最大一次黑客事件。虽然被盗资产失而复得,这期事件本身依旧值得大家思考。用户在选择 DeFi 产品时,是否默认已完全信任代码,并自愿承担风险? 披露黑客 IP 是否违背去中心化的保护隐私的原则?中国技术团队什么时候才能投入更多研发精力,不再过度依赖国外开源代码?DeFi 毫无疑问是未来的创新,但如何协议组合风险任重道远。4 月 30 日上午,Tokenlon 业务负责人 Lucas、成都链安科技创始人 &CEO 杨霞、Trail of Bits CEO 以及联合创始人 Dan Guido 做客链节点 AMA,就主持人牛头大哥整理的话题与社区用户一同展开了关于 DeFi 资产安全相关的讨论。

DeFi 即去中心化金融 (Decentralized Finance) ,也称为开放式金融,是近两年来区块链生态圈热门的领域之一。杨霞在讨论中提到,DeFi 试图用区块链技术来解决传统、中心化金融存在的天然短板,比如:审查流程繁琐、缺乏透明性、金融体制不平等、和潜在的交易风险等。而在 DeFi 上也容易产生一些安全漏洞——DeFi 应用程序依赖复杂的数学,最严重的问题其实都与算数有有关。例如,许多 DeFi 应用程序都会不适当地舍入数值。对此,Dan 表示建议使用诸如安全属性测试仪 Echidna 和符号验证程序 Manticore 之类的工具进行检查。

回到文章开头提到的 dForce 黑客事件,一个 DeFi 项目最终靠着中心化的力量追回资产,保护隐私和保护用户如何做到平衡也成为本次讨论的热门话题,关于这一点,Dan 提出:

实际上,如今真正去中心化的 DeFi 项目很少,我认为这是一件好事。 DeFi 应用程序使用不成熟的工具构建在未经验证的新技术上,因此他们必须计划应对一路上遇到问题。这种中心化使他们能够响应事件并在应用程序出现故障或被黑客入侵时对其进行纠正。项目所有者有责任正确保护自己对 DeFi 应用程序的访问权限,并向用户披露他们拥有的访问级别。如果源代码可用,则 Slither 之类的工具可以验证它们可以执行哪些操作。 创建更强大的去中心化系统的研究将继续进行,DeFi 项目应在可用并经过验证的情况下采用这些新技术。这需要时间。

V 神曾表示 DeFi 产品有越来越复杂的趋势,呼吁大家做简单并且稳定运行的东西,Dan 在讨论中对于这点表示认同,关于 DeFi 协议之间的可组合性使其复杂性超越了成熟度的观点,Dan 补充道:DeFi 应用程序的紧急行为很难建模,当今最好的解决方案是仅将你信任的内容列入白名单,以限制你接触未知的第三方合约。重要的是,项目应采取细微且经过仔细衡量的步骤来构建新技术。

作者 : ChainEvent

相关推荐