聊聊那些黑客事件 | ChainBreaker Podcast 第五期精彩回顾

以下为本次直播活动的观点摘要。

背景介绍

上周的 DeFi 世界并不太平，Poly Network、NEAR 生态去中心化交易所 Ref.Finance 等项目先后遭到黑客的攻击，损失金额从数百万到数亿不等。我们将回顾其中几个事件，讨论黑客事件频发的原因以及我们该如何应对。

区块先生 Chris

大部分的开发者并不是大家想的那样什么都知道，许多开发者也像投机客一样，想要赚钱，不会仔细地去想哪个环节会受到攻击。所以，就算看到一个项目有很多次审计，但也不绝对安全，现在比较安全的项目还是一些大型的例如 Aave、Curve、Compound。

对高年化利率要十分警惕，有些高年化利率的项目挖两三个以后可能会遇到币价暴跌或直接被攻击。

很多好的项目会花很多的时间在如何让项目变得更加安全，而不是在项目的宣传上，对于很多十分注重宣传或者进展非常快的项目，要十分警惕，潜在的风险会比较大。一个项目一旦被攻击一次，用户对这个项目的整体信任就会下降。

关于审计，知名审计公司审计过的项目也不一定非常安全。随着 DeFi 的火爆，许多审计公司会有非常多的订单，导致他们没有十分认真地去做审计。现在大部分的合约都是 fork，比如可能审计公司已经审计过 Uniswap 了，然后现在 100 家公司去分叉 Uniswap，审计公司就觉得这些都是同样的东西，只会象征性地审计一下就出具报告。但如果被审计的这个项目改了一点什么，审计公司十分有可能看不到。除此之外，很多公司不是为了安全而审计，而是为了宣传而审计，知名的大牌的审计公司可能并不会十分认真地去审计，因为需要审计的项目众多。所以，很多项目其实可以去找一些当地的审计公司，没有很多单子的审计公司，他们反而可能会更负责任一些。

链闻 潘致雄

对 DeFi 协议方而言，如何来增加一些安全性呢？首先，新协议有 1 到 2 家安全审计是很有必要的，安全审计能够发现一些常见的问题。除此之外，还可以在没有正式网上线之前启动漏洞赏金计划。一般的协议在上线正式网之前，会在测试网做一些测试，但测试网的问题是没有激励，就算黑客发现有漏洞，也没有兴趣去攻击或者告诉开发者，但这些漏洞会伴随着协议上正式网，随着项目资金越来越多，黑客就会开始有兴趣了。

对于用户而言，首先要知道自己的风险偏好。此外，分散资金，不能把大量的资金都放在同一个协议。同时，要清楚 DeFi 目前还是处于一个早期阶段，能像 Uniswap、Curve、Compound、Aave 这些经常长期测试的协议没有那么多，只有少数几个协议经过了大量的测试，新协议会有一定潜在的风险，不要轻易去尝试新项目。

用户提问

1、黑客利用合约进行操作，盗取大量资金，到底有没有道德或者法律问题？如果 Poly 事件的黑客最后没有归还资金，那么区块链共识如何解决这个问题？在哪个国家开庭或者哪个国家的执法机关进行调查？

链闻 潘致雄：

第一个问题，的确合约都是开源的，所有人都可以看到，但是每个合约都有它所规定的一个业务逻辑和它想要达到的一个业务效果，能够提供哪些服务。当然，这些服务肯定会附带着一些限制，不能获得超过权限的东西，比如在资金池的时候，需要某些逻辑来保证资金池的安全。但是开发者很可能在执行这些非常细的业务逻辑的时候，有一条没有搞清楚或者没写清楚或者写出了一个 bug。针对这种情况，如果黑客找到了一个业务逻辑中的漏洞，或者找到业务逻辑和代码层面的中间的一个问题的漏洞后才套到利，这无论从道德还是法律方面来看都是不合理的。

第二个问题，如果黑客最终没有还钱，很多受害者可能会直接找到 O3 或者 Poly Network 的团队，因为他们是这个项目的维护者，他们维护的项目出了问题。

区块先生 Chris：

未来可能会出现一个 DAO，充当政府或者警察的角色，大家把资金灌注到一个地方，全面去审查市场上的这些合约，甚至未来可以评出一些分数，或者帮忙修补漏洞，现在 DeFi 世界中就缺少这样的一个自治组织。

2、IDO 平台可以做些什么事情来控制风险提高项目的质量？

链闻 潘致雄：

对于一个 IDO 平台来讲，他们可以做一些简单的审核，理解这个业务到底是干什么的，团队大概都有谁，怎么运作。但是 IDO 平台不具备审计能力，他们主要依赖审计公司的审计报告，来决定项目到底安不安全。

关于 ChainBreaker

「 ChainBreaker」直播栏目由全球区块链整合营销公司 Winkrypto 发起，Youtube 频道订阅粉丝过万的知名视频博主 Mr.Block 区块先生和区块链第一中文内容平台 ChainNews 链闻联合推出，旨在倾听、沟通、连接海内外加密社区。每周五 20:00，「 ChainBreaker」将邀请海内外行业领袖人物畅聊加密领域热点话题，分享加密技术发展趋势，揭秘加密世界的八卦等，积极参与直播问答环节还将有机会获取专属「ChainBreaker Podcast」NFT Ticket 等神秘福利空投。

锁定频道和往期回顾：

• TG Group

• Twitter

• 喜马拉雅

• 链闻专栏

• 播客油管