DeFi半年已发生50起安全事件，会成为区块链发展的拦路虎吗？

据统计，仅仅是在 2021 年上半年，整个区块链生态就发生了 78 起较大的安全事件，其中涉及 DeFi 安全 50 起左右。日益增长的安全漏洞事件对于行业用户来说，无疑是一种巨大的威胁，为什么会频繁出现这样的事情，现在有做什么来改进呢？

上周五我们邀请了慢雾安全团队和库神钱包商务总监 Jessica 来我们分享相关内容。以下为内容提要：

DeFi 安全中的常见类型有：精度计算错误问题、权限过大风险、经济模型缺陷问题、兼容性问题、预言机操控风险、奖励分配缺陷问题、滑点控制缺陷问题等等。

DeFi 安全总是出现最底层的原因还是智能合约。

——慢雾安全团队

区块链行业核心问题就是安全。在保管加密资产方面，建议用户“冷热搭配”，经常使用的小资金放在有实力的大交易平台或者热钱包，大资金一定存放在硬件冷钱包保 管才能确保安全。

短期来看，DeFi 安全事件频发会对投资者产生一定的“劝退”作用，但长期来看，在 DeFi 高额收益的激励下，这类安全事件对 DeFi 赛道的用户参与率影响有限。

——库神钱包 Jessica

01

慢雾 & 库神

白话区块链：欢迎慢雾安全团队和库神商务总监 Jessica 做客白话大咖说，先和大家打个招呼吧？

慢雾安全团队：大家好，我们是慢雾安全团队。慢雾 (SlowMist) 是一家区块链安全公司，成立于 2018 年 1 月，已经服务了全球许多头部或知名的项目，我们做了很多 DeFi 方面的安全审计，这也是我们今天要聊的话题。

库神 Jessica：大家好，我是库神钱包 Jessica。很开心和慢雾团队一起做客白话大咖说。库神于 2016 年 11 月成立，是一家专注于提供区块链资产安全存储解决方案的科技公司。

库神钱包是全球知名高端的冷钱包品牌，拥有行业内最多高净值用户。产品远销日本、韩国、美国、新加坡、俄罗斯等多个国家和地区，在全球高端硬件冷钱包领域市场份额占有重要地位。

02

DeFi 安全常见类型

白话区块链：8 月 10 日当天，Poly Network 遭到了成立以来最严重的攻击，也是历史上最大的去中心化金融安全漏洞，如此巨额的资产损失，引起了圈内人的关注。

之前慢雾团队分析认为，攻击者是通过精心构造的数据修改了以太坊跨链合约中 keeper 为攻击者指定的地址，并非由于 keeper 私钥泄漏导致。这属于 DeFi 中的哪种类型呢，也请给大家详细介绍一下 DeFi 安全常见类型有哪些呢？

慢雾安全团队：Poly Network 这属于任意调用问题：合约存在任意外部调用接口，导致特权函数被调用。

DeFi 安全中的常见类型有：精度计算错误问题、权限过大风险、经济模型缺陷问题、兼容性问题、预言机操控风险、奖励分配缺陷问题、滑点控制缺陷问题等等。

03

钱包可以在哪些方面帮到用户？

白话区块链：在去年年末的时候，就和吴总有做过一场“黑天鹅事件”相关的 AMA，很高兴这一次又可以深入聊一聊。在 DeFi 安全方面，库神作为一家专注于提供加密资产安全存储解决方案的公司，主打硬件钱包。

那么在安全方面，库神近来有什么重要布局吗？ 类似于这次的攻击类型，您认为钱包可以在哪些方面帮到用户？

库神 Jessica：近来库神钱包还是以安全为主，不断优化钱包功能，完善用户服务。今年我们推出了最新款库神冷钱包 Pro3+， 此款钱包采用了 CC EAL6+芯片，军事化安全防护，彻底杜绝网络黑客。

新增多种主流 Token，支持 BTC、ETH、XRP、BSV、TRX、LTC、FIL 等以太坊，波场和 EOS 生态币。此外，Pro3+支持隔离验证地址，同费率费用更低，同费用速度更快。

DeFi 从去年开始流行起来，但是资产安全问题也频频出现。库神钱包作为区块链资产的“保护神”，愿意共同建设 DeFi 市场的安全壁垒 , 保护去中心化世界的安全 , 拒绝去中心化的胡作非为。

所以建议大家不要过多的追求高利，而忘了高利下的高风险，应该根据自身情况，把资产做个比例划分，不动的资产放在冷钱包，收获坚守成果。

事实上，库神钱包也一直在做这件事，库神运营马上 5 年了， 截止目前从未出现过任何问题，在行业和使用过库神钱包的用户之间树立了良好的信誉和口碑。

04

DeFi 安全事故总是出现的底层原因

白话区块链：Poly Network 被攻击是整个 DeFi 行业生态安全问题的一个缩影。据统计，2021 年上半年，整个区块链生态共发生 78 起较大的安全事件，涉及 DeFi 安全 50 起。相比传统交易模式，两位觉得 DeFi 安全事故总是出现的底层原因是什么呢？

慢雾安全团队：最底层的原因还是智能合约吧。智能合约并不像传统 APP 可以随时下架，合约一旦部署，便是不可撤回的。合约可能一创建就包含着错误，而错误却无法被修改，导致事故的发生。

库神 Jessica：区块链上的智能合约是基于去信任 (permissionless) 来和用户以及其他智能合约交互的，对于那些设计智能合约的人来说，很难考虑到未来有人可能与他们的合约进行交互的每一种方式。其他人可以构建一种智能合约，以一种原作者不希望看到的方式与合约进行交互。

白话区块链：另外，在整个行业内黑客事件也层出不穷，他们的主要手法有哪些，目前市面上有采取什么措施来防止或者应对 DeFi 安全事故的发生呢？

慢雾安全团队：手法还是很多的，有些手法经常出现，有些很少出现，我例举几个：Rug Pull、闪电贷、套利等等，可以检查项目的流动性是如何锁定的，是否有时间锁，是否有多重签名，用户在参与 DeFi 前最好对项目做做调查，避免被骗。

另外一个就是项目方一定要有自己的安全的意识，上线前最好找业内专业的安全审计公司进行审计，至少可以把一些已知的攻击手法尽量规避掉。

白话区块链：DeFi 因在诸如借贷、支付等金融科技领域，提供了独具创新性的解决方案而备受赞誉，但突出的智能合约安全问题成为了 DeFi 行业的最大挑战。

如果智能合约资产被盗或出现攻击事件，如何让投资者利益损失最小或无损？有哪些安全防护措施？

库神 Jessica：是的，如果智能合约资产被盗或出现攻击事件，首先，早发现早退出，第一时间联系项目所在平台，usdt 联系泰达公司。投资者做好安全防护措施，防范大于未然：

使用硬件钱包参与 DeFi，私钥助记词不触网，学习钱包安全管理；

不盲目冲高 apr 的项目，选择通过专业审计的项目；

不用浏览器搜索 DeFi 网站，核对正确的智能合约地址；

不挖二池，做好对冲策略。

05

判断一个项目是否安全的指标

白话区块链：很多项目在进行全面的外部安全审计、原创的编码和测试网络环境下的模拟测试等步骤后还会存在风险，项目审计意味着什么，判断一个项目是否安全的指标有哪些呢？

慢雾安全团队：很多人会有这样的一个误区，觉得经过审计的项目就是永远安全的，但是所有的 DeFi 协议都存在着变数，就算是一个小小的更新也会导致巨大的问题，而且我们审计的范围是有限的。

安全具体是没有一个指标的，我们首先关注的是智能合约里在计算用户收益时，会不会存在溢出等问题。其次，我们会关注项目方是否留有后门，是否盗取用户资金。

安全，永远都是任重而道远的。

06

用户在加密货币的保管方面需要注意什么？

白话区块链：DeFi 的爆炸性增长使其复杂性呈现指数级别增长，因此加强 DeFi 风险管理是目前 DeFi 生态建设的重中之重。您认为目前用户在加密货币的保管方面，平时操作需要注意什么以防止类似事件导致的资金损失？

库神 Jessica：区块链行业核心问题就是安全！在保管加密资产方面，建议用户“冷热搭配”，经常使用的小资金放在有实力的大交易平台或者热钱包，大资金一定存放在硬件冷钱包保管才能确保安全。

选择有实力的大品牌钱包产品，并且离线保存好私钥和密码，正确渠道下载 app。一个钱包地址一个项目，结束参与及时取消授权。

07

MPC+TEE

白话区块链：看到慢雾之前提到过，由于热钱包还是单私钥的，所以被黑是迟早的事，而 MPC+TEE 不仅可以去单点风险，还可以在关键策略上做好可信难篡改，最后加上资金与业务两大全链路风控系统，可以 99.99% 挡住风险和攻击。请问这是怎么实现的，其中提到的 MPC+TEE 也请详细介绍一下吧？

慢雾安全团队：是的，我们在前不久上线了加密资产安全解决方案，这是慢雾在区块链生态数年一线安全攻防实践积累下，推出的第一个针对加密资产安全的解决方案。

其中给出了线上热资产安全解决方案，这类资产由于放置在线上服务器中，被黑客攻击的可能性大大增加，同时，线上的热资产本身的场景需要适应多种链及 Token 种类， 能兼容所有区块链及 **Token 种类的通用多签方案是最好的方式，而目前最成熟的解决方案是 MPC （安全多方计算）。**

MPC 主要针对一组计算的参与者，每个参与者拥有自己的数据，并且不信任其它参与者和任何第三方，在这种前提下，如何对各自私密的数据计算出一个目标结果的过程。

MPC 是一种计算协议，数据持有方可以各自使用自己的数据进行训练，最终通过协议汇总结果。而 TEE 提供安全性更高的执行空间，给可信软件执行，其安全性比操作系统（OS）更强，机能性比安全元件（secure element）更多。

08

是否应该寻求中心化世界的帮助？

白话区块链：在去中心化的环境下，您认为这样的安全事故发生后谁应该承担责任？是否应该寻求中心化世界的帮助？

慢雾安全团队：黑客作为造成 DeFi 安全事件的罪魁祸首，毫无疑问是造成用户资产受损的主体。

以 PolyNetwork 为例，事件发生第一时间，我们就开始研究分析，追踪被盗资产的流向，联合各方面的力量，目前黑客已经归还了 4.27 亿美元，剩下的相信也很快会全部归还，这是一个好的结局。

另外，可以看到中心化、去中心化平台都有非常惨重的被黑案例，都有很多被黑经历，无论是中心化还是去中心化，我们都希望区块链是往安全的方向去进化。

库神 Jessica：到目前为止黑客已经基本归还全部被盗资金，这也是多方努力的结果，随着 DeFi 规模不断发展，加密资产被盗和黑客攻击在所难免，事故发生后应该协同多方力量尽快寻找原因，尽快找到被盗资产去向并弥补损失，必要时寻求中心化平台帮助可是无可厚非的事情。

09

DeFi 未来的发展

白话区块链：随着类似事件越来越多，这不仅让已经参与进来的团队和投资者感到担忧，同时也使 DeFi 与传统金融的结合越来越难，很多人因为风险望而却步，您怎么看待 DeFi 在接下来的发展？

慢雾安全团队：DeFi 作为一个突然爆红的当红炸子鸡，肯定还是有很多风险和未知的事情。

在早期，一个新事物出现一定是会有风险的，但是我们也不能说是因为有攻击发生就去否定这样的方向，任何事都是有两面性，风险与机会是并存的，DeFi 也带来了很多便利性。

整个行业或者 DeFi 方向肯定是会越来越完善。

库神 Jessica：短期来看，DeFi 安全事件频发会对投资者产生一定的“劝退”作用，但长期来看，在 DeFi 高额收益的激励下，这类安全事件对 DeFi 赛道的用户参与率影响有限。

另外，去中心化领域的监管缺失在这次事件中暴露无遗，未来 DeFi 赛道引入第三方监管以及 DeFi 保险项目也是未来的必然趋势。

DeFi 很有可能成为金融系统的新基石，会有成长的阵痛，但我们有足够的理由相信去中心化金融的未来是光明和繁荣的。