DeFi安全事故频发，但6.1亿美元被盗不是终点

9月1日，记者司林威报道，DeFi项目Cream Finance发出公告称，在8月31日中午遭受黑客袭击，损失惨重，共计4.6亿枚AMP代币与2804枚ETH被盗，折合约1800万美元。这已经是Cream Finance年内第二次因安全问题栽跟头，早在今年情人节——2月14日，就曾因代码漏洞被黑客洗劫了3750万美元资产。

DeFi史上最大规模的黑客攻击事件

然而，Cream Finance的遭遇并非近期DeFi领域最令人瞠目的安全事件。8月26日深夜，一场堪称区块链界的“惊天大逆转”上演——跨链协议Poly Network正式宣布成功追回此前被盗的全部6.1亿美元资产。这一消息标志着8月10日晚爆发的DeFi史上金额最大的攻击事件最终得以圆满解决，一出涉及巨额加密货币失窃的悲剧在多方合力下化险为夷，成为区块链发展历程中的一段传奇佳话。

历经16个昼夜，白帽黑客、项目团队、交易平台、安全专家等各路区块链英雄轮番登场，通过链上的转账信息展开了一场神奇的博弈与合作。这场跌宕起伏的事件注定将被载入区块链历史的史册之中。

DeFi爆发式增长背后的暗流涌动

DeFi安全事故频发的背后，并非偶然的集中爆发，而是缘起于一个正在急速膨胀的区块链新兴领域。如果说2021年是NFT狂潮席卷之年，那么2020年则被誉为DeFi破茧而出的元年，那个夏天更是被称为“DeFi夏日狂欢”。

所谓DeFi（去中心化金融），即利用智能合约在区块链上搭建各类金融服务设施，无需依赖传统的金融机构和人工操作，全程由代码自动执行，从而实现金融服务的去中心化。追溯其源头，比特币其实也可视为DeFi的一种早期形态。近年来，DeFi以其颠覆性的创新能量被视为区块链领域的重大突破，有望在某些金融领域带来革命性的变革。

以龙头项目Uniswap为例，它是一个基于智能合约运作的去中心化交易所，流动性供应不再依靠传统撮合交易方式，而是采用复杂的“流动性质押资金池”，用户在提供流动性的同时获得奖励，还能在平台上满足自身金融需求，整个过程完全由智能合约驱动，无人为干预。目前，借贷和交易占据DeFi主流，数据显示，头部项目Uniswap市值已超过162亿美元，而团队规模仅几十人，相比之下，纳斯达克证券交易所市值虽高达331亿美元，但雇员却多达五千余人。

Poly Network作为此次6.1亿美元事件的核心角色，属于一种专注于跨链互操作的DeFi协议。由于DeFi项目常常需要处理不同资产间的转换，因此跨链技术应运而生。Poly Network正是运用合约跨链技术，使得一条链上的智能合约能够读取并响应另一条链上的特定信息，进而执行代码并给出确定结果，这也是DeFi的一个重要分支。

尽管DeFi的崛起展现了对传统金融模式的再创造和生态多样性，“代码即法律”的理念逐渐深入人心，但随着DeFi市场的急剧扩张，安全问题也日益凸显。据统计，近两个月来，DeFi领域已发生19起安全事故，其中跨链协议占6起，涉及Poly Network、Anyswap、ChainSwap等多个项目。

F2pool创始人毛世行直言：“这次黑客盗币事件是对DeFi行业的深度反思，鉴于涉案金额巨大，我们在事后也开始重新审视在DeFi领域的投资策略，特别是在挖矿方面，本金投入面临的是不确定的安全风险。”

Parity亚洲负责人贾瑶琪表示，鉴于DeFi协议直接关乎用户的资金安全，所以在设计和实现时必须从一开始就高度重视安全性，无论多么严谨都不过分。建议所有DeFi协议至少经过两家安全审计公司的审计，减少安全隐患；同时限制协议部署者和管理员权限，避免单点账户泄露导致全协议资金陷入危机。

在这场风波中扮演关键角色的安全审计公司慢雾科技创始人余弦感慨万分：“虽然慢雾已经多次凭借强大的实力化解危机，但这种能力消耗极大且成本高昂，还带有运气成分。”他强调：“DeFi安全涵盖智能合约安全、区块链基础安全、前端安全、通信安全、新增功能安全、人性安全、金融安全以及合规安全等诸多方面，‘代码即法律’的说法并不贴切，甚至有些不负责任。”

连Poly Network事件中的黑客也在长文中进行了深刻反思：“无论现实世界还是加密世界，安全工作都是一项艰巨的任务。很多时候，我们的安全专家就像验尸官一样，在事件发生后才被请来调查。我们只是撰写验尸报告，有时追踪罪犯。而在加密世界里，有些项目对于找回丢失的资金并不特别积极，因为他们知道那不是自己的钱，他们只会告诉真正的受害者‘对不起，我们尽力了，但从未有过绝对保证’。”

毋庸置疑，DeFi在过去一段时间内在区块链领域充分彰显了其价值，催生了诸如算法稳定币、底层借贷、丰富的衍生品等重要的基础设施。然而，面对资金安全、性能瓶颈、监管合规等问题，DeFi未来还有很长的路要走，这些问题亟待妥善解决。 AMP币