回顾 1.75 亿次黑客攻击

事实证明，很多事情，不一定要“活很久”，而是要活在对的时间。

2020年，我们与90后的巴菲特一起usdt变现会被冻结吗，第一次经历席卷全球的残酷病毒； 我们第一次见证了美股史无前例的连续熔断； 欠银行几百万”，欲哭无泪。

就在4月21日，我们又见证了价值1.75亿元的数字资产从被盗，到被转移，最终“物归原主”的又一奇幻历程。 这注定是一个可以改编成剧本的故事。

一场“头孢配啤酒”的致命伤

首先，我们尝试向圈外读者解释什么是“数字资产”。

我们知道，上帝创造了金银等石头，不能吃也不能喝，功能也比较有限； 在漫长的历史长河中，人们“普遍认为”这些宝石是财富和价值的衡量标准。

十年前，一个或一群叫“中本聪”的人创造了一种不能吃也不能喝，却代表着人类最高智慧结晶的数字货币。 人们称之为比特币。 比特币一出来，就得到了一部分人的共识，就具有了价值。 然后是ETH、ETC、BCH等少数数字货币，也取得了人们的共识，被称为数字资产。

这些数字资产可以随时在火币、币安等交易所兑换成等值的法定货币。 这与身边人天天推荐投资的“区块链”，以及那些可以让人“一夜暴富”的所谓“数字货币”，真的是完全不同的概念。

有了这个前提，我们就可以开始讲故事了：

两天前，4月19日上午，亚洲最大的DeFi平台dForce旗下借贷协议Lendf.Me遭到黑客攻击，导致价值约1.75亿元的真实数字资产被洗劫一空。

人们可能会问，区块链不是号称最强大、最安全的吗，为什么还是会遭遇黑客攻击？ 一个管理着1.75亿元资产的区块链平台，为何如此不堪一击？

虽然区块链安全强大，但很多基于区块链的技术还太年轻。

就具体的技术问题讲太多很无聊。 大致情况是，黑客利用ERC777合约与DeFi平台的兼容性问题，多次对Lendf.Me发起重入攻击，并多次抵押imBTC，洗劫Lendf.Me上价值1.75亿元的资产。

纵观整个事件，ERC777合约本身没有问题，它是一个强大到可能颠覆现有银行系统的智能合约。 dForce旗下的Lendf.Me没有问题。 目前是中国人创立的最强大的DeFi平台之一，并通过了全球领先的安全机构PeckShield的审计。

然而，当 Lendf.me 加入基于 ERC777 的 imBTC 后，由于 ERC777 合约与 DeFi 协议的兼容性问题，黑客的可乘之机就来了。

ERC777标准的扩展功能之一是提供“钩子”机制。 “挂钩”功能可以在交易完成前后向双方发送通知，并允许双方取消交易，保证交易相对客观和公平。 由于“挂钩”功能通知运行需要时间，黑客借此发起重入攻击，在用户交易未完成时发起新的交易，打乱了原有的交易节奏。

从视觉上看，头孢菌素遇上啤酒。 头孢菌素本身就是良药，啤酒也是好酒。 但头孢菌素与啤酒混用时，可发生双硫仑样反应，严重者可导致死亡。

头孢配啤酒，一饮而尽。

区块链圈的“拯救私人dForce”行动

袭击发生后，砸了1.75亿元的dForce团队没有“甩锅”也没有“跑路”，而是立马组织了圈内史上最强大的“追币行动”（我不知道有没有代号）。 事实上，dForce的两位创始人杨民道和许昕都是业内的“教父”人物，而dForce本身也代表着DeFi领域的“全村希望”，至少在中国是这样。 它不能也不应该崩溃。

一时间，整个区块链圈掀起了一场“拯救私有dForce”的行动：

首先，dForce通过其投资者（Multicoin Capital、CMBI、Huobi Capital等）紧急联系主要稳定币资产发行方和去中心化金融协议团队。

接下来，官方开始联系各大中心化交易所和钱包高层等合作方，要求将涉案黑客地址和相关账户加入监控，冻结被盗资产。

其中，dForce意向合伙人、Conflux项目联合创始人张元杰通过私交联系了USDT发行方Tether的高层，希望他们能尝试锁定或冻结涉案的USDT资产。事件。

4月19日下午，dForce、Spark、imToken的安全团队线下集结，远程对接慢雾，组建临时安全团队启动资产回收。

另一方面，在杨民道和许昕的影响下，国内整个以太坊技术圈悄然行动起来，一张涉案黑客的网络悄然拉开……

4月19日晚，感受到压力的黑客在链上留言“Better Future”。 随后，黑客将价值约 200 万美元的数字资产转回 Lendf.Me Admin 地址。

4月20日，联合安全小组根据黑客攻击前后留下的痕迹，成功准确识别出黑客画像，并开始与国内外各种资源交叉比对usdt变现会被冻结吗，获取突破线索。 随后，dForce官方在推特上发布了一堆“符号代码”，疑似向黑客喊话或通过“密码”进行“谈判”。

4月21日13时33分，官方称，“顶着重重压力，黑客积极与我们沟通，成功找回了所有资产。” 晚间，dForce方面表示：“在整个过程中，dForce团队从未从任何合作伙伴处获取任何用户敏感信息。 向给予我们支持和帮助的合作伙伴、用户和投资者表示最诚挚的感谢。”

一个“沉重的压力”充分描述了黑客的困境：真实身份接近掌握，所有数字资产变现渠道接近完全封锁，仿佛听到有人在喊“听里面的，你被黑了。” “ 被...围绕...”

“集中才是真香”的三点思考

事件取得了不错的效果，但留下的影响无疑是巨大的。 除了陈词滥调的“安全问题”，更值得反思的是，什么才是真正的“去中心化”？

纵观“1.75亿”黑客事件，我们看到的各种情况被业内人士戏称为“去中心化借贷，集中抓捕”，“去中心化，真香”！ 试想，没有中央集权的新加坡警察的介入，没有大型中央交易所的“KYC认证”，没有中央集权的“IP上网痕迹”等，黑客真的能逍遥法外。

DeFi应该追求什么样的“去中心化”？ 这是一个非常深刻的问题。

在未来理想化的 DeFi 场景中，我们大部分的链下资产和个人信用都会在政府合法背书的前提下“上链”。 我们的借贷业务不再需要银行，而是借助庞大的DeFi借贷市场，通过抵押数字货币、“链上资产”或个人信用，实时获取所需的法币资金。 受监管的智能合约平台只需要少量维护人员，只需收取不到当前“利差”十分之一的费用，从而为实体经济解放大量人力资源，降低巨额成本。

在这样的场景下，我们其实更需要的是一个更强大、更智能、更高效的中央政府和监管部门来实现和执行“链上资产”与实体资产的映射和流转，以防止恶行发生。

假设，在一个纯粹去中心化的系统中，如果没有人能阻止邪恶，如果它真的是纯粹的“代码即法律”。 那么谁的代码写得最好就可以为所欲为了？ 事实上，或许我们需要的只是中央的“透明可视化”，一个中央可以防恶不作恶的理想机制。

进一步推测，之前中心化的“罪恶”大部分来自于信息不对称和不透明，而区块链技术的重点可能是信息不对称和信息透明的问题，从而共同构建一种集团化的“中心化”。好的”。