如何看待DeFi连遭黑客攻击 | 论支付宝到底有多安全？

/1 DeFi安全问题频发

还记得之前闹得沸沸扬扬的闪电货bZx漏洞事件么？

那一次不算是常规的用户资产被黑客盗取，而是bZx的合约协议有漏洞可钻。攻击者光明正大地利用漏洞，完成套利。

对于defi雪上加霜的是，漏洞被发现之后，bZx项目方采用紧急管理权限，把攻击者的一部分收益给冻结。

DeFi的去中心化形象毁于一旦。

一般这种情况出现在代币身上，就是硬分叉的命。

我们暂且把闪电贷的这种协议，当做非常创新的一种尝试。

那这两天的安全事故，就没那么好圆场了。

首先，是著名的DeFiUniswap被黑客攻击，损失了1200个eth和一些btc，总价值超过30万美元。

具体原因是，erc777标准里存在一个漏洞。

erc777是什么？可以拿以太坊的erc20，做一个对比。

以太坊是一个智能合约平台,本质上，在上面发行的每一个代币，都是一个合约。

我们在转币的时候，只要是以太坊的代币，钱包或交易所那里都会标注erc20的字样。

erc20标准转账还不是很方便，后来才有了erc777标准。有了一些优化后，跟erc20也保持兼容。

但erc777有个漏洞，早在16个月前，就在github上被公开。

Uniswap这次被攻击的是imBTC–eth交易对，而这个imBTC，刚好又是erc777标准。

前面的这个im，是因为它是由imToken，在以太坊上发行的一个币。

还是在漏洞被发现之后，才发行的，直接往人家枪口上撞。

这回真的是，猪（imToken）撞树上（erc777）了，用户撞猪上了。

无独有偶，今天又爆出另一款去中心化借贷协议Lendf.Me 被黑客攻击。

部分用户资产清零，涉及金额2500 万美元，可能已经被盗。

官方还紧急警告用户，不要往平台里充值。

有人问，这能兜底吗？

别问，问了就是硬分叉，Code is law，代码即法律。

还有人说，为什么比特币不会发生这种资产问题？

比特币好比一根粗壮的树干，没有多余的树杈，拓展性很差，纯粹用来记账，整条主干非常的安全牢固；

以太坊天生就为拓展性而生，智能合约允许被自定义，又是借贷，又是理财的。它们就是一根根的树杈，复杂性很高，但也非常脆弱，哪一天断了几根估计都没人知道。

/2 我眼中的DeFi

现在的DeFi被翻译成去中心化金融，很多人也照着字面去理解。但包括去中心化交易所在内，本质上去中心化都是一个伪科学。

有人建议把它改叫开放式金融。

所有的DeFi，都只能做到部分去中心化。

比方说，上链前的资产是中心化的。我把区块链比作一面镜子，只要不把东西端到镜子面前，什么猫腻谁都看不见；

协议，也就是完成部署后的代码，上链后，是去中心化的；

治理，可以把它拆分为两个部分，制定规则前；制定规则后。这些都是中心化的。

再给DeFi下个总结的话，有以下两点：

1、DeFi的优势是它的开放性，劣势也是开放性；

2、DeFi更像是一种创新，还很不成熟。

/3 黑客与支付宝

说到这里，可以谈谈支付宝。

有人说，支付宝里这么多钱，为什么没有黑客去攻击？

其实，人家攻了，只是没告诉你。支付宝也存在很多漏洞的，每天有大把人想去攻击。

水平差一点的黑客，攻不进去。

就算攻进去，删了数据，把钱转到自己手上。支付宝有备份，几个小时就能恢复。

别以为这只是竹篮打水一场空，支付宝和公安部紧密合作，分分钟定位到黑客的位置。

所以，黑客一般只有两种选择，一种是：

携着漏洞给支付宝通报，领悬赏金。

有家公司曾经钻过支付宝的漏洞，成功拿到服务器的权限，后来支付宝赏了30万。

另一种是，反其道而行之，投靠支付宝。

网传吴翰清当年就是一名顶级技术黑客，现在在阿里年薪起码600多万。

所以，无论从技术性防御，实名体系，到监管，到资产的可回溯，到极高的作恶成本。

支付宝都无比的强悍。

另外，还有兜底。

漏洞是不可能没有漏洞的，理论上，没有绝对的安全。

但支付宝自己说了，「你敢付，我敢赔」。

上面橙色字体的这一部分，DeFi都不达标。

1、代码即法律，但代码有漏洞。有漏洞的代码，也是法律；

2、代币是可以匿名的；

3、去中心化一般是不允许资金流水回撤的，你回撤，我就硬分叉；

4、没有警察，作恶成本极低。

/4 DeFi的核心竞争力

现在的DeFi，在我们普通C端用户看来，优势并不在它的去中心化，或者安全性，主要核心竞争力是：

高收益。

今天看到一句话，说DeFi和dapp，其实只是在线的热钱包。

从代币的角度，存在冷钱包里，叫存款；存在其他地方，都叫理财。

把法币体系加进来，存在银行或者支付宝，叫存款；存在DeFi，都叫理财。

当然，这里特指的是稳定币。

其他的非稳定币，要不要理财，看实际需求。

比如说真的有很多币，又觉得价格太低，还不想卖，闲置or生息，这就是场景需求。

借贷一样。

但所有操作的核心在于，DeFi还是有风险的。不要等遇上黑天鹅，或者黑客攻击的时候，才后知后觉。

DeFi的安全问题，后面还会一直发生的。

最后，DeFi作为金融的一种创新，未来也绝对可期。

以上就是今天的昏享，感谢支持~

—-

编译者/作者：我乃撒币

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。