Lossless分析：有趣的DeFi黑客识别与激励平台

随着越来越多的企业和国家接受比特币作为支付方式，DeFi市场也在蓬勃发展。今年，仅两个月，DeFi中锁定的总价值（USD）从16亿美元增长到40亿美元。此外，DeFi市场的总用户数量已增加到140万，这是2020年中期的七倍。相比Defi市场飞速增加的热门程度，其技术发展还处于初期阶段，其中技术水平、交互设计、可获得性以及安全性还存在很大的不足。据Atlas VPN的研究显示，至今已经发生了122多次重大黑客攻击，仅2020年一整年，就有3.8亿美元被盗。

项目介绍

Lossless正是基于早期Defi市场蓬勃发展的产物，主要致力于进行可靠的Defi投资和开发，以支持区块链技术的增长，增加Defi市场的采用率。核心技术为代币创建者将一段使Lossless代码插入其代币中，从而使Lossless能够基于一组欺诈识别参数冻结欺诈性交易。

Lossless设计了股权证明黑客发现平台以及三方（代币创建者、Lossless公司以及Lossless委员会）决策结构。委员会包括拥有大量LSS代币的投资者和提供可信赖且无偏见决策的关键公众人物，例如会计师事务所。当黑客入侵几分钟后，发现者只要拥有LSS代币，便可以将地址冻结24-48小时。随后Lossless团队会审查冻结的地址，以确定其是否有效。如果黑客行为有效，其地址会再冻结14天，并且委员会会永久冻结交易并撤消交易。

值得一提的是，Lossless的数据分析师团队创建了第一个黑客发现机制，获胜者通吃的激励措施将鼓励社区在此初始模型的基础上建立并每天进行改进，巧妙的将发现侦察工作外包给更广大的白帽黑客群体，市场将能够确定识别黑客的最佳方法，最快的发现者将获得回报。

有效的发现机制加上完善的激励措施，系统的效率会随着时间推移而逐渐提升，从而进一步保障Defi参与者的整体安全性。

竞品、区别和特色

与市面上已有一些提供各种网络安全产品和服务的传统套间网络安全公司，例如Slowmist、Bugcrowd、ABDK consulting以及Kaspersky。其中与Lossless具有较为相似的运营模式的只有Slowmist和Bugcrowd。

Slowmist安全团队创建并引导发展了慢雾区，区块链生态的相关厂商可以自主设定漏洞赏金的业务范围和奖励标准，引入大量职业安全研究人员进行持续性的漏洞挖掘，并自主选择是否公开漏洞标题及细节。一个工作日内，慢雾安全团队会确认收到的威胁情报报告并跟进开始评估问题，并在24小时内解决高危问题。其设置的奖励机制如下所示：

Bugcrowd激励技能娴熟的白帽黑客不断测试客户的关键目标和应用程序。然后再由Bugcrowd的专业安全工程师根据其VRT迅速对所有漏洞进行了分类。Bugcrowd 会根据排名为黑客安排更有挑战性的任务和更高的报酬。在币安与Bugcrowd的“白帽计划”中，奖励金额取决于所提交报告的漏洞技术严重性，范围从200美金到10,000美金，且连续提交漏洞报告还有额外的奖励。

ABDK consulting以及Kaspersky大多数的产品服务依然为以公司本身的团队研发的服务为主，例如审计、智能合约审核和开发等业务以保障代币发行以及加密交易所的安全。

在奖励形式上，Lossless采用的是LSS代币，而Slowmist则是ETH+慢雾币，Bugcrowd则直接采取美元现金奖励。相比之下，Lossless的奖励机制更加透明公正，将权力下放，获胜者通吃所有的奖励。对于代币创建者而言，无需支付前期费用，直接从交易额中抽取固定比例作为费用，更容易吸引代币创建人的加入和增加信任。

发展中需解决的问题

由于需要在代币中插入一段Lossless的代码，对于代币创建者而言，很有可能会出于安全、对项目成熟性等多方面考量，拒绝加入外来代码。为解决此问题，Lossless也在进程规划上写到计划在2021年第四季度实现以太坊区块链上的其他智能合约和去中心化应用之间无缝交互，进一步提升兼容性和接受度。

Lossless追回被盗资金中有两步过程，在白帽黑客识别入侵后将冻结地址24-48小时，接着再由Lossless委员会审查冻结的地址的有效性，若正确有效，则地址会再冻结14天，由委员会最初最后决定。这整体过程耗时过长，有可能导致大量的资金被冻结，升高风险，与Slowmist在一天内确认风险的速度相比，如何提升审核验证的效率也是需要进一步完善规划的问题。

黑客发现平台主要的参与者为大量的白帽黑客，其大部分为自由职业者，工作时间自由且不确定。而黑客发现必须有一定的连续性，最好能做到24小时的持续监控，在Lossless项目初期，若参与的白帽黑客数量不多，有可能会出现一定的入侵没法被发现的情况，降低安全性。

白帽黑客为了加入Lossless发现平台，必须先买入价值5,000美元的LSS令牌，然后才能冻结黑客。虽说在一定程度上保障了漏洞发现的准确性（发现不准确会没收已抵押代币），但对于白帽黑客而言也是一笔初始成本，可能会因为公司发展初期不成熟而对此机制抱有存疑态度。