Cover被黑,DeFi何以变成黑客取款机
新的一周,也是临近2021新年的时候,晚上看到了cover被黑客攻击了。
事情是这样的,黑客通过构造了一个和cover同名的假币,然后进行流动性挖矿,我们都知道流动性挖矿一般都会有一个LP TOKENS,黑客然后用这个 LP TOEKNS 进行质押,这样就套出了资金,这样就使得市场崩溃,cover代币价格暴跌。
说到这里这件事情还没完,在事情发生之后,交易所紧急暂停提币,事件在网上不断发酵,使得cover的 LP TOKENS 接近崩溃,黑客发行的代币数量太大,大约为4千万兆个,因此基本上可以判断,这次cover带来的损失是非常大的。
Cover之前名叫safe,是一个保险类的挖矿项目,根据非小号记录,Safe是一个针对保险类的挖矿项目,用户可以质押yNFT等代币来兑换SAFE代币。Yieldfarming引进了一种新型农业——保险采矿法。该项目的目的是鼓励农民为他们所押资产购买保险,并在平台上持有yNFTs的股份(通过yinsure.finance分配给他们)。作为回报,stakers将获得SAFE。
在11月1号,safe宣告失效,新的代币为cover协议,这是一个品牌塑造的过程,从这之后,cover一直受defi关注。
同样是去中心化的保险,cover和NexusMutua还是有所不同的,NexusMutual用户购买保单以后,无法将保单转给其他人,而Cover通过引入CLAIM和NONCLAIM token,让用户购买的保单可以交易,提高了用户的产品体验,这样一来,还能构建相应的流动性挖矿,而且NexusMutual还要对用户进行KYC认证的,显然cover并不需要。
然而这次cover自家合约漏洞被利用和上次NexusMutual还是有点不同的,NexusMutual是创始人被黑客盗币,NexusMutual智能合约还是比较安全的,但是这次cover则是自家的保险合约出现漏洞,这就显得有点打脸了,晚间黑客将4350枚以太币归还给cover官方,并留下了讽刺性的语句,这也让人们对智能合约的安全性感到担忧。
今年我们都成为defi爆发之年,defi的崛起虽然从18年到现在已经经历了三年多,但是从智能合约的安全性来看,其实已经算是比较长足的进步了。然而现在看来,这还远远不够,defi合约的安全性仍然是需要不断关注。
DeFi目前主要有以下特点:
1、合约运行状态是公开透明的,不管谁怎么操作,这都能够链上查询出来,而不是像中心化交易所那样,数据不透明,使得人们看不清市场状态。
这虽然有一定的好处,那就是资金公开,便于投资者研究,但是一旦出现问题,那么也没法掩盖,比如中心化交易所遭遇盗窃的时候,如果资金不大,其实他们根本不会公开出来,只有资金量大的时候才会公开,而defi不用任何人公开,只要有人关注,自然会第一时间发现。
2、一般defi项目的合约代码也是公开的
因为defi项目需要透明化,因此如果代码不透明的话,那么这样会使得用户的不信任感增加,因此一般来说,项目方都要将部分或者全部合约代码公开,以便能够接受监督。
但是对于普通用户来说,很多人可能并不会去看代码,但是对于同行或者其他黑客来说,这就是一个宝库,因此他们会仔细研究项目的代码,以便找到相应的漏洞或者套利方法,从而编写相应的合约来进行盈利。
这里需要注意的是有的是针对合约套利的,大部分人称这样的人为defi科学家,还有一部分就是利用defi中的代码漏洞使用欺骗的方法进行盈利,这种我们一般称为defi黑客。
这就和早期的linux操作系统类似,linux是开源的系统,在经过全世界一群开源爱好者不断的更新和维护之后,直到今天也不会说这个系统是安全的,只能说linux上的系统可定制化比较高,不同的用户有不同的设置,然后相应的策略来应对黑客的行为。现在linux上的安全性相对比较好,那是因为在长时间的不断迭代之后才有的成绩,而以太坊智能合约EVM目前还比较新颖,因此相应的自然要有一定的时间来进行“进化”。
=其实不管是是什么,只要有资金的地方,透明性较高,那么都会出现这样的状况,defi不断被黑,其实这就是目前发展必然经历的一个阶段,defi现在还处于一个不够成熟的时期,这部分时期是任何方法都没法跳过的,主要原因是这部分没法去采用前人的经验去借鉴,因此只能走一步是一步,这样一来自然defi上发生的问题就比较多了,但是从长远角度来看,这对defi未来发展成熟是有一定好处的。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場