EFI:dForce有驚無險，但我們應該有哪些反思

文|冰棒編輯|畢彤彤出品|PANews所有關心DeFi領域的人士，都和dForce一起度過了驚心動魄的53小時。慶幸的是，這次黑客的手段并沒有那么高明，在被盜的第二日，基于黑客在攻擊前后留下的痕跡，安全團隊成功確定了準確的黑客畫像，并開始與國內外各方資源進行交叉對比，獲得突破性線索，離黑客越來越近。第三日，黑客在重重壓力下，與dForce主動溝通，并開始歸還部分資產。繼續溝通后，所有資產被成功找回。dForce的峰回路轉是幸運女神的眷顧，從業者短暫慶賀之余，更需要進行一場關于DeFi的大反思和大討論。

DeFi驚魂53小時

考慮到還有一些不了解該事件的讀者，我們先回顧下本次黑客事件的經過。4月18日、19日接連兩天，發生了兩起DeFi智能合約被攻擊事件，共計被盜金額高達2546萬美元。Uniswap被攻擊在先，但因為被盜金額21.7萬美元并不是太高，沒有引起投資者的注意。沒想到24小時內，Lendf.Me也被黑客用類似的手法攻陷，被盜金額高達2524萬美元，資金池當中只剩下6美元資產。具有戲劇性的是，在不少受害人通過memo留言請求黑客退回資產之后，黑客往Lendf.Me賬戶退回了全部的38萬HUSD和320HBTC，以及部分將PAX替換的12萬個ETH，并附留言“betterfutrue”。截至4月21日14:00，黑客幾乎將所有轉移資產全部打回Lendf.Me賬戶。不管是黑客們盜亦有道，還是迫于各方壓力退還資產，柳暗花明的同時，行業參與者還需要深刻的反思DeFi行業目前的問題。據PeckShield公眾號推文介紹，這次黑客攻擊DeFi的原理是：攻擊者利用以太坊ERC777標準的transferFrom()回調機制，在內部調用_callTokensToSend()回調函數時劫持交易，并在真正更新余額的_move()函數之前進行惡意攻擊。以太坊的ERC777標準，可以看作是ERC20的升級版本，本身沒有太大問題。但是將Uniswap/Lendf.me和ERC777結合使用的時候，系統出現了漏洞，給了黑客可乘之機。Lendf.Me官方團隊dForceNetwork在4月19日03:38分發文，也承認黑客主要是利用Lendf.Me和ERC777的兼容性發動攻擊。所以說，分別來看ERC777的代碼和dForce的代碼都是經過安全審計無漏洞，但當兩者相結合的時候，便產生了系統性的安全風險。都是去中心化的協議，這時候，很難說這究竟是誰的責任。親歷者的反思

流動性聚合器dForce Trade v2將聚合跨鏈流動性:9月3日消息，dForce表示，流動性聚合器dForce Trade即將上線的v2將發展為跨鏈流動性聚合，以促進流動性在不同區塊鏈之間的無縫流動。[2022/9/4 13:07:13]

事發后，與交易所被盜幣的維權現場不同，dForce社區整體比較冷靜，大部分用戶也會站在官方團隊的立場去建議和寬慰。這或許是因為，dForce的用戶，不少是類似于幣乎的創始人咕嚕、文藝復興基金曹寅這樣的DeFi參與者和建設者。大部分用戶在理性的反思自己沒有做好資產的配置和安全識別。咕嚕稱自己應該是受損最大的用戶，并發表了一篇對參與DeFi風險管理的建議，主要是以下6點：1.智能合約代碼安全性引入的風險首先，安全審計報告是規避智能合約風險的第一道關口，也是目前唯一能前置規避智能合約風險的措施。其次，時間是最好的檢驗。經過長時間有效實戰檢驗的智能合約，風險顯著降低。2.智能合約AdminKey引入的運營風險運營方是否主動披露AdminKey權限的存在,一個負責任的運營方應該有義務主動披露AdminKey權限；AdminKey的權限范圍,可以凍結、轉移、沒收用戶資產的AdminKey權限，需要格外當心；是否對AdminKey權限設置了延時生效機制。延時生效機制是防范AdminKey的侵入式權限對用戶造成傷害的有效防御手段，同時也是反應運營方態度的關鍵看點；看持有AdminKey權限的運營方本身是否信譽良好.3.持有特定資產本身的風險持有的資產本身具有價格波動的市場風險、資產被Token合約本身的AdminKey凍結/沒收的風險，等等。4.抵押借貸類DeFi本身的市場風險在抵押協作中規定針對特定單一抵押品的抵押數量上限，上限的設定須與該抵押品的市場真實流動性匹配，尤其是要考慮泛濫的刷成交量這類因素；評估抵押協議中的平倉機制設計是否合理，平倉機制是否能有效利用市場中的流動性進行平倉；評估被納入的抵押品本身的風險。5.智能合約平臺的風險安全審計+長時間的有效實戰檢驗6.用戶自身私鑰管理的風險學習私鑰保管的相關知識，通過使用智能錢包規避私鑰管理的風險。

Beefy,Autofarm,Dforce等12個BNBCHAIN知名項目宣布參與DEX2.0協議DDDX.io的veNFT治理:3月28日消息，DDDX.io公布第二輪BNB Chain生態伙伴。合作伙伴將獲得veNFT、獲得交易所的投票權和治理權。

據悉，DDDX.io是由ACDAO發起的基于SOLIDLY改進的Dex2.0協議,現已經通過CERTIK審計，將于3月30日正式上線，4月7日開啟第一次流動性挖礦獎勵。[2022/3/28 14:23:05]

橙皮書的創始人李陽同樣也是用戶，在得知被黑客攻擊時，他用了“魂魄離開肉體的死亡之飄”來形容當時的感受，事后他反思到，“如果我們真的想突破幣圈，獲得更多普通用戶的信任，在產品設計，風險提示，用戶體驗，品牌塑造上，還有太多太多要做。就現在的狀態，即使一個用戶真心想嘗試使用defi的產品，艱難的跨過諸多入門關卡，也會被現有defi產品的主頁給擋在門外。一個理財產品總得有風險提示和權責說明吧？”當然，在反思之余，用戶們并沒有喪失對DeFi的信心，正如曹寅所說，“這次事件之后，整個DeFi社區對安全的重視和投入會上升一個數量級，用戶的對DeFi的認知也會提高不少，這次事件就當作DeFi建設者們神農嘗百草吧。"

dForce社區發起DIP007治理投票，提議dForce借貸協議上線UNI和DF等五種數字資產:3月8日消息，dForce目前正在進行第7次治理投票，根據社區意見，提議dForce借貸協議新增UNI、DF、GOLDx、BUSD、HBTC五種數字資產。DF(dForce治理代幣)持有者可以通過Snapshot系統進行投票并達成最終決策。提案詳情、資產風險參數、資產評估結果，請參見dForce論壇。

dForce社區號召大家通過論壇為自己希望借貸協議增加的資產進行提名，團隊將對最受歡迎的資產進行風險評估，符合標準的資產將會被加入下一批上線資產候選名單，由DF持有者投票并達成最終的治理決策。[2021/3/9 18:28:19]

欲速則不達，簡單的才是耐用的

從去年年初開始，DeFi似乎進入了大爆炸的階段，各類DeFi引用接踵而至。這樣大跨步發展，注定會埋下隱雷。“最近三個月來，我看到DeFi新應用和新資產正以至少每天兩三個的速度涌現，而DeFi協議之間的可組合性，使得DeFi的復雜性更是呈現指數級別增長，協議互相之間的影響已經超越了單純的樂高積木組合方式。”曹寅表示。和曹寅持一樣的觀點，IOSGVentures在推特連發幾問提出質疑：DeFi的復雜性是否超越了其成熟度？協議的組合帶來機會，同時也面臨兼容性風險。DeFi產品需要解決代碼審計以及安全性問題，DeFi雖然相比于傳統金融有更高的收益，但高收益往往對應的是高風險，DeFi還需要更多的風險提示。同時不少開發團隊也需要放緩協議的速度，確保產品在上線之前有合格的審計以及漏洞排查。“市場能力固然重要，但研發能力也要匹配上自己的野心。”DeFiLabs創始人代世超呼吁，希望中國社區投入更多研發和專業資源在cryptofinance領域。目前defi領域顛覆性的創新產品都是國外先行研發。中國defi社區正在起步，但研發資源還比較薄弱。但這里可能有一個悖論，既對于初創企業而言，審計費用，延長交付時間，都會增加成本，反之又極具風險。對于DeFi之所以收益普遍比CeFi高出很多，其收益主要來源于DeFi的開銷低，省去了傳統行業的中間商。而當代碼100%完全沒有問題的情況下，風險降低市場的收益也會隨著下降。對于用戶來講，高收益和透明性最大的擁躉因素，在DeFi沒有做好這兩點的情況下，用戶需要慎重選擇參與，目前來看，時間仍然是最好的試金石。當然，對于DeFi產品，在行業內也有著很多的抨擊和懷疑。在這次事件發生之后，DeFi和CeFi也成為了熱門討論話題DeFi還是CeFi，不是選擇題

dForce 借貸協議發起首批上線資產的治理提案:去中心化金融協議 dForce 表示，根據《dForce 風險評估指引》，已對一些被市場廣泛接受的數字資產進行了風險評估，并提議將 WBTC、ETH、USDT、USDC、DAI 五種數字資產作為 dForce 借貸協議軟啟動的首批上線資產。官方表示，通過對資產的智能合約風險、金融風險、交易對手方風險等三大方面的風險評估，每種資產的風險評估全面覆蓋了存款上限、借款上限、貸款抵押率、清算罰金、借出資產風險折扣、儲備比率后，團隊認為除了 USDT，其他四種資產均可作為抵押物借出其他資產。

與 dForce 協議矩陣的其他協議相同，dForce 借貸協議也是通過 DF 代幣進行治理的，DF 持幣人可以通過投票的方式，共同對協議更改的提案進行決策，包括上線新資產、新增抵押資產、每種資產的存款 / 借款上限等。[2021/2/16 19:52:59]

追求金融平權的加密朋克們，一開始就將DeFi置于CeFi的對立面。DeFi的黑客事件，更使得有些人提出了“DeFi無用論”的觀點，或者建議重新審視DeFi的內在價值。但單從安全角度而言，成立了上百年的CeFi也經歷過很多安全事故，直到2016年也出現過黑客連續通過swift盜取厄瓜多爾、菲律賓、孟加拉一眾銀行的事件。不管是DeFi還是CeFi，都有一個必經的試錯和成長的打磨過程。和比特幣被死亡200多次一樣，經歷傷痛是新生事物必經的階段。就區塊鏈能夠帶來的變革領域來看，區塊鏈技術未來有著巨大的發展潛力。有人稱DeFi屬于早期產品，其實就區塊鏈的成熟期來看，現在所有的區塊鏈產品僅僅是起步階段而已，只不過行業參與者總會高估行業的發展時期。以結果為導向，技術的發展是為了提高生產效率。在去中心化和中心化的爭論當中，我們更多的是應該考慮效能的最大化，而非達到目的的手段，不需要非黑即白，非彼即此。比如政府和一些慈善企業推出的企業聯盟鏈，即使看上去沒有那么的去中心化，但也能做到高效的處理事務，讓1+1大于2。MakerDAO中國社區負責人潘超在文章中寫道，去中心化和中心化代表著兩種截然不同的力量和理念，就像蹺蹺板兩端的DeFi和CeFi，彼此水火不相容，但之間的流動性卻使它們成為金融的環節。這些環節在金融活動中不但不互相抵觸，而且彼此都同樣是必要的，正是這種必要性才形成金融的平衡。DeFi和CeFi并不是必選題，在技術層面可以考慮融合兩者的優勢，達到最終用戶的需求。在用戶選擇層面，也沒有必要太過在意D還是C，能夠滿足用戶需求的產品，才是最好的產品。當然，在文末還要提一句，dForce作為亞洲的DeFi代表，甚至在社區中掀起了對中國人產品的口誅筆伐和冷言嘲諷。正如曹寅所說，我們現在必須立刻意識到，DeFi的發展已經進入了危險區域，無論是否有競爭關系，其實都是在一艘飛船上。開發者們應該放下各種門戶之見和利益立場，攜手合作，設計打造出更安全的DeFi飛船，為飛船上的用戶負責。

dForce將于明晚21:00公布3號治理投票的最終結果:dForce官方宣布，將于北京時間明日21:00公布3號治理投票的最終結果。

注：此前消息， dForce發起調整USDx儲備成分幣的改進方案提議DIP003。調整如下：

1. 鑒于USDC不斷增長的市值，提議將其比例從35%提升至80%；

2. 由于PAX的市值較小且暫無DeFi利息市場的支持，提議將其比例從35%調整至10%；

3. 綜合TUSD的市值、二級市場流動性和有限的DeFi利息市場支持，提議將其比例從30%調整至10%。[2020/7/26]

Tags：EFIDEFDEFIORCDeFinerDEFX價格Scarcity DeFiTheForce.Trade

MANA