魔幻2020，DeFi贷款协议安全战役已打响

近期，三大平台币敲响战鼓，各自拉了一把平台币，比特币也在一个相对可观的高度，投资者们对开春后的行情充满着希望。

而曾经因为开发EOS而收获一大批信仰者的BM却在社交媒体推特上发表了他的碧池言论，拿中国疫情开玩笑，让社群里骂的狗血淋头，同时也让不少中国投资者对EOS失去兴趣，EOS也随之暴跌。

相信BM不会不明白这样的言论会带来多大的经济损失，但他依然这样做了，就像他之前多次对社区不负责任的行为一样，他再一次让社区为他承担后果。

就在大家还在为BM的言论耿耿于怀的时候，FCoin突然发布声明，交易所目前资金困难无法提现，变相“软跑路”。一瞬间Fcoin上涌出大量提现手续，挤兑严重，许多投资者维权无门。

DeFi贷款协议bZx两次遭受攻击

作为主流数字资产的EOS和作为主流交易所（至少2018年曾经也是红极一时）的Fcoin，他们自身拥有大量的信仰者和用户。这两件事情可以说对整个数字货币领域的大部分投资者都将造成伤害。

接二连三而来的还有DeFi，DeFi协议bZx两次遭受攻击，数字资产安全问题再次凸显。

2月15日，DeFi贷款协议bZx被爆漏洞。联合创始人Kyle Kistner表示，一部分ETH已经丢失，目前尚不清楚被盗ETH的确切数量，bZx已关闭其Fulcrum交易平台进行维护。数据显示，过去24小时内已从bZx协议中提取了3300 ETH（约合932,000美元）。一些市场观察家指出，被盗ETH金额约为350,000美元。

bZx立刻采取一系列行动，暂时关闭Fulcrum进行维护、部署了合同升级，bZx称这将使他们的系统对类似攻击更有抵抗力。

此次bZx被攻击引发许多投资者担忧资产安全和质疑去中心化DeFi贷款协议的安全性。

莱特币创始人李启威（Charlie Lee）在推特上表示，这就是我不相信DeFi的原因。这是两个世界中最糟糕的。大多数DeFi可以被一个中心化的部门关闭，所以它只是一个去中心化的“戏院”。然而，除非我们增加更多的中心化，否则没有人能够撤销黑客攻击或漏洞利用。

然而，就在三天后，bZx早上刚刚公布关于被盗35万美元的事件始末，下午就再次被攻击，这次造成的损失大约是上次的两倍，损失2388枚ETH，价值约645,000美元。DeFi生态中锁定资产价值在数小时内下跌1.42亿美元。

bZx联合创始人Kyle Kistner于官方电报群表示，这种攻击似乎是Oracle操纵攻击，与第一次攻击不同。合同升级显然没起到明显效果，就连公共危机处理也是一踏糊涂。

很快，前谷歌软件工程师Korantin Auguste在其个人网站Palkeo上发表博客文章称，这不是Oracle的锅。

Auguste解释称：“攻击者利用了bZx中的一个漏洞，导致它以3倍的虚高价格在Uniswap上进行了大量交易。”他补充说，攻击者能够以6871 ETH的价格出售112 wBTC，是因为Uniswap的供应完全都被扭曲了。”bzX编码中的“逻辑错误”导致该协议的资产损失约62万美元，而攻击者则损失了约35万美元的利润，Auguste说：“正是他们打开巨额头寸，导致资金从bZx流向Uniswap，才被他们利用。”所以如果非要论责的话，bZx和Uniswap应该承担主要责任。

根据bZx发布的公告，第一次黑客攻击的步骤为 ：

1. 从 dydx , 0 抵押物，借 1 万个 ETH；

2. 5500 ETH 被派去办理 112 wBTC 的贷款抵押；

3. 1300ETH 被发送到支点 pToken sETHBTC5x，打开了一个针对 ETHBTC 比率的 5x 空头头寸；

4. 通过 Kyber Reserve 到 Uniswap WBTC pool 卖 5637 ETH（150 万美金）, 获得 51.34BTC（51 万美金）；

5. 把 Compound 借出来的 112 BTC，在 Uniswap WBTC pool 卖 112 WBTC, 获得 6800 ETH；

6. 将 3200 ETH + 6800 ETH（卖 112 BTC 获利）= 10000 ETH 还给 dydx。

这一系列事件的总利润为 1193 ETH，目前价值 298,250 美元 ETH。

从整个攻击来看，黑客分为两大步骤完成把财富Bzx向Compound上转移。典型的“空手套白狼”。

这次零成本的“攻击”涉及到不同DeFi协议和产品。其中包括dYdX、Compound、Uniswap、bZx等。

去中心化预言机和DeFi贷款保险或是救命稻草

此次黑客攻击简单来说就是黑客通过借贷和协议之间的漏洞和规则错位来实现资产转移和变现。一些网友打趣到：通过DeFi规则光明正大套利，明火执仗地赚钱，手段高明，但无可置喙。

有趣的是作为零成本攻击其中一环的Compound创始人Robert Leshner针对此次攻击在推特上直接开怼bZx，称该团队最近的表现已经多次证明他们并不能保管好用户的资产，他们应该立刻暂停业务，好好审核一下平台。

这次事件暴露出一些问题：

1、wBTC等以太坊上的BTC稳定币，目前体量太小，价格极易操纵，从而暴露牟利漏洞。

2、bZx对Uniswap上的价格太过单一依赖，导致攻击者通过在Uniswap上大量出货就轻易地达到了自己打压bzx上多单里wBTC价格的目的。估计这是许多投资者怀疑bzx通过Uniswap喂价的重要原因。

3、去中心化预言机和DeFi贷款保险。在攻击的事后调查中，DeFi贷款的保险经历了明显上涨，在Maker、Compound、Dydx和Bzx等协议中，保险金额达到了数十万美元。bZx也计划与去中心化预言机项目Chainlink合作，以防止价格操控。

也许正如李启威所说的：除非我们增加更多的中心化，否则没有人能够撤销黑客攻击或漏洞利用。黑客攻击和数字资产相伴而生，有资产的地方就有威胁。去中心化方案明显有违去中心化协议的初衷，似乎我们能够做的只有不断加强技术创新，同时也要不断完善借贷机制，尽量减少漏洞，不给黑客可乘之机。

目前来看，无论是交易所还是DeFi贷款协议都不能百分之百的保护用户资产安全。行业的发展需要各方共同推动。开发者需不断完善规则机制，把用户财产安全放在首位；加强技术创新，为整个生态发展和前行做贡献。作为普通投资者，我们要注意甄别安全风险、增强财富安全意识。

来源：鸵鸟区块链