DeFi 频遭攻击 真的足够「去中心化」吗？

　　DeFi 频遭攻击 真的足够「去中心化」吗？

　　以上两个事例都是无关合约问题，而是开发人员遭到钓鱼攻击致私钥泄露从而影响用户资金。回顾近期，私钥泄露似乎变得非常热门：Levyathan 损失 150 万美元、8ight Finance 损失 175 万美元、Vulcan Forged 损失 1.4 亿美元……我们不禁想，这是不是表示着线下实体（DeFi 开发人员）实际掌管着控制权呢？

　　除了钓鱼攻击，前端攻击也是引发 DeFi 安全问题的高危据点。

　　2021 年 12 月 2 日，据官方 Discord 消息，去中心化组织 Badger DAO 遭遇黑客攻击，用户资产在未经授权的情况下被转移。12 月 9 日，Badger 发布了详细的事故报告，报告称此次事件是 Cloudflare Workers 上的恶意注入代码片段导致的。Cloudflare Workers 是一个运行脚本的界面，这些脚本在流经 Cloudflare 代理时对 Web 流量进行操作和更改。攻击者在 Badger 工程师不知情或未授权的情况下获取了项目方在 Cloudflare 后台的 API Key，以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时，触发恶意代码后会发起交易让用户去确认。用户确认了那笔恶意交易，就会将代币授权（approve）给攻击者，然后攻击者就可以在用户不知情的情况下将代币转走。据慢雾 AML 旗下反洗钱追踪系统 MistTrack 分析，黑客将部分获利的加密货币换成 renBTC，并通过 renBTC 将约 2100 BTC 跨链转移到 14 个 BTC 地址，目前暂无异动。

　　在 DeFi 世界，合约一旦部署不可篡改不可撤回，理论上来说是不会受到人为的干预，这点确保了其去中心化的特点，但目前绝大多数前端仍是通过传统架构实现，虽然网页自身也在不断在进化和发展，但是仍存在很多潜在的威胁，同时针对前端的攻击往往容易被开发者忽视，这些错误因素使得攻击者饱餐了一顿又一顿。

　　2021 年 9 月 17 日，Sushiswap CTO 在推特上表示，Sushiswap IDO 平台 Miso 的前端遭受攻击。承包商的一名匿名员工将恶意代码注入 Miso 前端，把拍卖钱包地址替换成了自己的钱包地址，导致 864.8 ETH（约 307 万美元）被盗。

　　当前端问题开始影响资金的安全性，作为用户不得不深思如何才能做到安全地参与 DeFi 项目，简直如履薄冰。

　　总结

　　不管怎样，“DeFi 是否完全去中心化”这个问题也许会一直存在。与其说去中心化是 DeFi 最大的特性，不如说是 DeFi 世界的终极目标。而不论是作为用户、审计机构还是作为项目方，我们经历过如此多的 DeFi 安全事件后，是否仍然只将注意力聚焦到智能合约上呢？答案不言而喻。

　　参与 DeFi 项目本质上是把手中的资产转移或授权给 DeFi 项目方，存在个人极大程度上不可控的安全风险。那我们普通用户能做什么？慢雾为您准备了一份“DeFi 资产安全解决方案”，点击原文即可查阅。