在加密世界這座「黑暗森林」裡,如何避免淪為他人的「提款機」?

在加密世界這座「黑暗森林」裡,如何避免淪為他人的「提款機」?

PeckShield 統計數據顯示,截至 2022 年 5 月 1 日,僅今年前 4 個月,黑客就已從 DeFi 應用中盜取了 15.7 億美元,已超過 2021 年全年黑客盜取的 15.5 億美元。 

 

 

 

其中 DeFi 協議占總數的 97%,幾乎都是與之有關的攻擊事件,在加密行業這個黑暗森林里,DeFi 基本上已經成為「黑客的提款機」。 

作為在加密世界不斷搏擊更大可能的我們來說,無論是老用戶還是新玩家,熟悉可能遇到的各方面風險並盡力避開,都是我們需要始終學習的永恆課題。 

 

中心化交易所的單點風險 

對於我們用戶而言,打交道最多的無疑就是(中心化)交易所。而縱觀中心化交易所發展史,尤其是「被盜」(損失)史,可能就會不住感慨——技術 BUG 易除,人性 BUG 難防,無論曾經有多麼風光的歷史,在這方面似乎都難逃魔咒。 

 

一,Mt.Gox:曾經的「世界上最大的比特幣交易所」 

Mt.Gox 就是在業界大名鼎鼎的「門頭溝」,它當年最風光的時候,交易市場份額達到全球的 80% 以上,因而可以想見在當年它爆出黑客盜幣之後,對整個比特幣交易市場所帶來的前所未有的沖擊性。 

 不過雖然官宣損失了客戶的 75 萬個比特幣和自己公司的 10 萬個比特幣,但整個過程卻顯得頗為撲朔迷離與弔詭,據媒體報道稱,在「被偷竊」的比特幣中,實際上黑客只盜取了 7000 個,剩下的被內部人士趁機栽贓給黑客,實際上是被「內部人」拿走了,而且這個內部人很可能就是 CEO 自己…… 

 門頭溝出事的時候,當時那部分「被盜」比特幣一共價值 4.87 億美元。而如果按照今天的價格計算,這筆比特幣的價格超過 300 億美元。 

 

二,Bitfinex:發債自救,交易所「債轉股」第一人 

2016 年 8 月,Bitfinex 被盜12萬枚比特幣,按照當時的市場價,價值 7000 萬美元,正當市場懷疑與憂心第二個「門頭溝」時,Bitfinex 想出了一個方法迫使用戶與其共渡難關: 

其強制性地削減了幾乎所有用戶賬戶中 36% 的數字資產,並向每一個用戶發放了與其賬戶 36% 存款等價的 BFXCoin 代幣,初始值設定為 1 美元,既可以交易,也可以購買 Bitfinex 母公司 iFinex 的股票——類比股市,也即發行可轉債度過危機。 

一度在微博上異常活躍,頻繁為 Bitfinex 發聲、堪稱「Bitfinex 中國區代言人」的 DFund 創始人趙東,也就是在這個時候選擇「債轉股」,成為了 Bitfinex 的股東。 

當然還有最奇葩的最能作妖的交易所,恐怕還是數加拿大最大的加密貨幣交易平台 QuadrigaCX 最為離奇: 

創始人 Cotten 意外死亡,頗為弔詭的是,QuadrigaCX 的冷錢包私鑰竟被 Cotten 一人掌管,由此導致價值約 1.45 億美元的加密資產無法取出,甚至最終鬧出了投資人等相關權益方要求開棺驗屍的聲音(最近 Netflix 拍了個紀錄片,有意思的朋友可以看下)。 

 

 

 

所以從某種程度講,無論是老玩家還是新用戶,逐步了解 DEX 並將使用習慣和資產配置向 DEX 傾斜,也是必須考慮的課題。 

 

DeFi「攻擊」——技術天才的「取款機」 

自從 2020 年的 DeFi 盛夏之後,涵蓋 DEX、借貸、衍生品、固定收益、算法穩定幣、資產合成、聚合器等各賽道的發展層次越發多元化。 

而 DeFi 自身的無邊界屬性和可組合特性,在為這個「樂高世界」提供了足夠的想象空間與可能性之餘,也帶來了諸多比傳統金融更不可測的風險,「閃電貸」就是其中的典型代表之一。 

bZx(現已改名為 Ooki)也可謂是這方面最不幸的代表之一——僅 2020 年連續被攻擊了至少三次: 

 

  • 2 月 15 日,攻擊者在一個以太坊區塊時間內充分利用「閃電貸」,在未曾動用自有資金的前提下,一環緊套一環,最終通過在漏洞間操縱價格,成功「套利」1271 枚 ETH; 
  • 三天之後,2 月 18 日,「閃電貸」攻擊 再次出現,獲利 2388 個ETH; 
  • bZx 的霉運並未就此結束,9 月 14 日,再次因合約漏洞失竊 4700 枚 ETH; 

 

此後 DeFi 領域的「閃電貸」攻擊便開始迎來井噴,屢屢見諸報端,包括後續的 Pickle Finance、Harvest.finance、Cover Protocol,多是攻擊者利用合約的業務邏輯漏洞 ,明火執仗地牟利。 

直到今年遇到上億美元的上榜事件——4 月 17 日,去中心化穩定幣協議 Beanstalk Farms 遭遇「閃電貸」攻擊,協議損失約為 1.82 億美元,包括約 24830 枚以太坊以及 3600 萬枚 BEAN 。 

此外,去年以來,作為行業剛需的跨鏈賽道,其實正經歷一輪又一輪的安全質疑,成為了黑客事件的重災區: 

 

  1. 2021 年 8 月 11 日,專攻跨鏈技術的 Poly Network 宣布主網被黑客攻擊,其用戶在幣安智能鏈(現已更名為 BNB Chain)、以太坊、Polygon三條區塊鏈上的資產總計被轉移 6.1 億美元; 
  1. 2022 年 2 月 2 日,Solana、Terra 等多鏈生態的跨鏈橋 Wormhole 被黑客攻擊,12 萬個 ETH(約 3.26 億美元)被盜; 

再帶上 3 月最新 Ronin 的被盜事故所造成的 6.24 億美元的損失,等於跨鏈橋項目包攬了 DeFi 世界黑客入侵的被盜前三甲,且從金額上遙遙領先其他被盜項目, 

 

 

 

以上三個跨鏈橋攻擊中,被盜邏輯除了自身的合約漏洞(Poly、Wormhole),甚至還有「社會工程攻擊」(Ronin)這種匪夷所思的得逞方式。 

總之,DeFi 安全風險就像是一場不對稱的單向獵殺,對技術天才而言無疑是取之不盡的免費「提款機」,而對我們普通用戶而言,更像是一把不知何時會落下的「達摩克里斯之劍」,保持警惕不隨便參與授權之餘,更多的也是運氣。 

 

私鑰、錢包保管不當(丟失、遺忘等等)——無法彌補的遺憾 

私鑰即資產」,這句話真是再怎麼強調都不為過。最近在比特幣接連刷新曆史新高之際,就有新聞報道英國一程序員誤將裝有7500枚比特幣(如今價值逾2.5億美元)地址私鑰的硬槃當作垃圾扔掉,如今幾次請求搜查垃圾填埋場無果,成為永久的遺憾。 

相信不少朋友也都都遇到過類似的情況,要么是忘記備份私鑰而不慎將原錢包刪除,要麼就是私鑰備份之後卻沒有妥善保管導致丟失,甚至對應的備記詞泄露,都是最慘烈的教訓。 

然而這其中也不乏專業人士不幸「中槍」,瑞波前 CTO 此前就承認把有 7002 個比特幣的硬件密碼給忘了——試了 8 次,還有 2 次機會。 

所以私鑰(助記詞)無論如何都要妥善保管,尤其要注意備份以免丟失,無論再怎麼注意都不過分。 

 

資金槃騙局——專門針對小白用戶的「殺招」 

這其實才是很多新朋友最容易踩的坑,如果說前面的那些安全風險老用戶本只要打起十二分的精神就可以最大限度杜絕,而資金槃騙局,憑借自身完美的洗腦套路——「XX 資本入駐」、「官方合作」等等,對暫時分辨能力尚不足的新用戶而言,欺騙性和傷害性也最大。 

有的時候甚至連配套交易平台都是騙局中的一環,此前筆者一還在上大學的侄子突然找來問起某幣,說是官方稱其有「X 杉資本」即將入住,很可能迎來暴漲。 

但頗為弔詭的是,那個「加密貨幣」以及對應的交易平台,筆者根本就沒聽說過,而後續筆者在這位侄子那里看到的其他幾家交易平台,也是根本就未聽說過,這應該是很多剛接觸加密貨幣和區塊鏈投資領域的普通用戶最終容易接觸的騙局。 

其中最知名的典型案例無外乎 2019 年的「貝爾鏈事件」,早期無疑是極具誘惑力的「單邊上漲」的K線,似乎會一直持續下去。 

殊不知,前方正是莊家自得慵懶的血盆大口,從項目到交易所,一整套連環的設計,而很多沒有足夠分辨能力的新朋友,最容易一夕之間「超級瑪麗大跳水」。 

總之,對於我們普通投資者而言,加密行業作為新興領域,有着足夠的想象空間和創新玩法,但同時也正如一個「黑暗森林」,充滿血腥殘忍的零和博弈,潛行在其中持着獵槍的狩獵者不在少數,而我們普通投資者更多是扮演「被狩獵者」的信息不對稱角色。 

 

喜歡 0
利好 0
利空 0
收藏 0
快訊

bybit advertisement

歐盟議會或禁止使用非託管錢包進行交易
歐盟議會或禁止使用非託管錢包進行交易

包攬 DeFi 被盜榜前三甲的跨鏈賽道,下半場該何去何從?
包攬 DeFi 被盜榜前三甲的跨鏈賽道,下半場該何去何從?

Aura Finance 要掀起「veBAL」之戰?
Aura Finance 要掀起「veBAL」之戰?

剖析去中心化金融業 虛擬貨幣的投資價值在哪裏?
剖析去中心化金融業 虛擬貨幣的投資價值在哪裏?

2022 年,起起伏伏的 DeFi 保險賽道會往何處去?
2022 年,起起伏伏的 DeFi 保險賽道會往何處去?