??
第二步,思考如何追回。在4月19日下午,dForce、星火與 imToken 安全團隊在線下集結,并與慢霧安全團隊遠程連線成立“臨時安全團隊”,開始進行資產追回。因為信息量巨大且雜亂,集中討論可以快速的信息對稱,加快速度。
4月20日,基于黑客在攻擊前后留下的痕跡,“臨時安全團隊”成功確定了準確的黑客畫像,并開始與國內外各方資源進行交叉對比,獲得突破性線索,離黑客越來越近。4 月 21 日下午,在黃金48小時內,黑客在重重壓力下,與 dForce 主動溝通,并開始歸還部分資產。繼續溝通后,所有資產被成功找回,這是攻擊發生后的第三天。這個過程不僅是“臨時安全團隊”發揮了關鍵作用,還得到了非常多加密社區朋友直接與間接的幫助。
劉鋒:對于這次 Lendf.me 被攻擊事件,大家應該吸取什么教訓?
余弦:任何新事物在進化過程中都會有安全風險,這是進化法則,越早期這種風險越大,最終要么死亡,要么就會趨于某種比較穩定的平衡。
基于這種心理準備,我們來看 DeFi,有幾個比較重要的風險:技術安全風險、業務安全風險、合規安全風險,我們簡單展開(以以太坊為例):
1. 技術安全
首先看公鏈本身是否久經考驗,足夠安全,以太坊基本滿足這點;然后看智能合約的設計是否足夠安全,Solidity 并不太滿足;再看相關的標準(如 ERC20, 223, 721, 777 等等)實現是否足夠安全,這里最大的問題在于很多時候一個“特性”會變成一種“缺陷”;再看基于標準的成熟框架是否安全,如 OpenZeppelin 就很優秀;最后看項目方開發出來的是否真的嚴格安全實踐,這個就非常不好說了,很明顯,開發的質量是參差不齊的。
2. 業務安全
業務決定于 DeFi 的設計,比如抵押借貸、閃貸、交易等等。業務需要特別考慮的是安全風控,比如暴跌暴漲怎么辦?突然出現的大額轉幣如何處理?如何解決第三方安全風險(如:接入第三方代幣、和第三方聯動等)?
3. 合規安全
如果是一個灰色或黑色邊界的 DeFi,一不小心被一些國家的執法機構打掉或自己跑路了,怎么辦?
另外特別補充一些和用戶角度有關的判斷:
1. 項目方內部有實力不錯的安全團隊或有豐富安全經驗的核心人物把關
2. 項目方近半年內被第三方專業安全機構安全審計并公開安全審計結果
3. 項目方有長期持續緊密合作的第三方專業安全機構
4. 項目方核心成員對待安全的態度坦然開放,勇于認錯并把安全放在第一位
5. 項目方對安全工作充滿敬畏與尊重
