闪电贷攻击背后——DeFi智能合约安全漏洞的法律问题研究(上)
11月的DeFi市场就像经历了一场“浩劫”,多起攻击轮番“轰炸”,造成了巨大的资产损失。仅11月DeFi项目就发生了5起典型的安全事故。DeFi项目的安全问题令人堪忧,这可能与对协议的核心环节缺乏足够重视有关。抛开这些,黑客的攻击并不会停歇,面对严峻的安全形势,主动防范的心态和行动至关重要。DeFi安全事件主要是由于其智能合约安全漏洞的问题,在此大背景下,本文对DeFi智能合约安全漏洞的相关法律问题进行研究。
01
DeFi与DeFi产品的定义
DeFi,即Decentralized Finance,被称作分布式金融或者去中心化金融,去中心化交易所、网络借贷平台、保险平台、去中心化钱包等都是属于DeFi范畴。DeFi产品主要是散布于世界各地的人以点对点的方式参与金融活动的平台,如消费、借款、贷款、交易,甚至赌博,在不依赖银行和政府等中介机构下完成,因此备受去中心化拥护者的追捧,尤其是去年到今年,它一度成为活跃于金融领域的关键力量。DeFi产品在区块链平台上运作,大量且频繁的交易主要依赖于部署在链上智能合约进行自动化处理。比如在以太坊上,数字货币的发行和流通、借贷、投票、拍卖等,都使用已有现成的智能合约模块,当然各种新的智能合约也由程序员不停编写和部署。
02
DeFi智能合约的安全漏洞
DeFi 智能合约的本质就是计算机代码,主要部署于区块链上,在交易达成预设条件时自动执行。DeFi 智能合约在自动化执行、效率等方面具备了其他执行方式所不可比拟的优越性。但是,基于其计算机代码的本质,DeFi 智能合约也存在一定的局限性,主要有代码漏洞与执行的问题。
(一)代码漏洞问题
由于计算机代码人类编写,就不可避免存在漏洞。这些漏洞,就会成为黑客攻击的切入点,用户财产损失和信息泄露的问题就会发生。
(二)执行问题
DeFi 智能合约与普通合同最大的区别是其能够做到不可逆地自动执行。凭借区块链不易篡改的技术特点,部署于区块链的智能合约所储存和运行的方式也是不易修改的。但是这一优点也带来了一些弊端:一方面,自动执行增加了相较于传统合同双方当事人更高的违约成本;另一方面,一旦存在安全漏洞,智能合约的漏洞修补将会非常困难。即使有管辖权的司法机关作出有效的裁决或判决,由于部署在区块链的智能合约由区块链自动运行,法院或其他第三方也无法强制修改。换言之,区块链的智能合约,其数据被分布记载于全链节点,如若修改某一个节点上的数据,是无法实现全链记录的变动的,无异于隔靴止痒。
(三)DeFi智能合约的安全审计分析
如前文所述,DeFi智能合约存在安全漏洞问题有很大的概率,此时,一些区块链安全服务商随及推出了智能合约安全审计服务。在智能合约上线运行前,由区块链安全服务商对于智能合约的安全性进行审查,评估是否存在代码安全漏洞问题,并出具报告。
实际上智能合约的安全审计作用有多大呢?
1. 从技术角度来说。专业区块链安全服务商对于智能合约的安全审计确实能够发现安全漏洞,但实际具体发现数量多少与改进建议主要取决于审计人员的专业水平和时间的充裕度。应当注意到,安全审计人员是不可能在很短的时间内穷尽发现所有漏洞的。
2.从成本角度来说。聘请区块链安全服务商提供安全审计业务,必然会增加项目的经济成本,最终转嫁给用户。但是DeFi产品的最大的优越性就是成本低,这种额外的成本项目方与用户是否愿意承担呢?再者安全审计后,修改安全漏洞必然推迟项目上线,诸如DeFi闪电贷这种系列产品,唯快不破。项目方不一定愿意修改全部已知漏洞。一些DeFi产品只是在修改了部分安全漏洞后为了赶时间匆忙上线。。
可见,在唯快不破、低成本的DeFi产品界,DeFi智能合约的安全审计业务并不能发挥出其真正的作用。下期文章,笔者与大家分享DeFi智能合约的安全漏洞法律责任与救济措施。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場