今年DeFi被盗最高记录破1.2亿美元

知名协议 Badger DAO 发生了一起 DEFI 安全事故，用户总损失约为 2100 BTC 和 151 ETH，约 1.2 亿美元，是今年被盗金额最高的安全事故之一。
其实 DEFI 安全事故早已屡见不鲜，仅仅在今年，Cream Finance 就受到两次攻击，最近的一次是 10 月 27 日，损失约 1.3 亿美金。首次是 8 月 30 日损失约 1800 万美元。
在 90 天的时间里连续两次遭受闪电dai攻击，让其生态系统的脆弱性暴露了出来，黑客们搅乱的浑水里，让从业者重新把目光放在了安全性上。
更为严重的是其弱点屡屡被暴露，包括 NFT 市场和 Gamefi 市场，都将会因其安全性受到质疑而发展停滞。我们并不擅长技术分析，但可以通过对比历次黑客攻击从逻辑层面尝试解读 DEFI 平台目前面临的安全困局。
在了解闪电dai攻击之前，我们先要了解什么是闪电dai。
频繁被黑客利用的“创新金融”闪电dai
在闪电dai中，出借者和借代者之间的一切协议和风险都由平台控制，借代的发生和效率远高于普通银行借代方式，省去了很多资产审查和资质审查环节，因其便捷程度所以被称之为闪电dai。
在区块链领域，去中心化金融作为中心化金融在区块链中的映射，其生态系统大量套用了现实中的银行管理体系，借代和质押规则等大多与中心化金融的规则体系一致。
只不过中心化的金融体系是由中心化机构制定的规则来执行，有可能出现失误，而 DEFI 的金融规则的执行均交由智能合约。分布式的结构和完全由智能合约掌控的资产安全性促进了该领域的发展速度。
2021 年初至今，DEFI 生态系统已经快速发展到了千亿美元级别，随着质押池和用户资金量的指数级增长，于是也自然出现了DEFI闪电dai形式。
闪电dai作为其金融的一种创新型模式，可以实现与互联网闪电dai一样的借代速度和快捷体验，可以实现无抵押借代，但要求在同一个区块内还款，否则成交将回滚无效。

于是，在闪电dai的模式之下，大多数从业者体验到了无需任何努力和付出的情况下，就能在该平台中秒变“富豪”，利用庞大的资金量和高频交易挖掘市场收益的感觉。同时，也有大量早期从事闪电dai的用户获得了巨额的财富。
但是，闪电dai其中的利益也被黑客们看在了眼里。恶意攻击其协议的诱因变的越来越大，以至于出现了更多的黑客，以牺牲普通用户的资产为代价，通过反复测试，利用协议漏洞盗取闪电dai质押池内资金的事件。
那么，黑客究竟是如何进行闪电dai攻击的呢？
DEFI闪电dai攻击
一般认为，闪电攻击通常利用闪电dai协议和平台漏洞，通过技术手段绕过回滚机制，进行套利或操纵价格，进而通过影响市场价格牟利。
我们通常认为，黑客一般都有两个目的.一种是为了窃取对方系统中的资料（包括数字资产和其他资料），另一种是为了纯粹的技术炫耀，通过攻破对方的防御系统来彰显自己的技术实力。
然而，DEFI 领域内的闪电攻击却并不像是一个真正的黑客行为，他既不通过暴力破解（其实分布式结构的系统少量黑客几乎无法破解），也不去寻找系统的漏洞彰显实力。
从原理上说，DEFI 领域的闪电攻击通常不像是黑客的手法，使用更多的是利用金融和资金杠杆，以极低的成本撬动市场，在多个协议间进行价格操纵的金融手段。
因此，闪电攻击的目的一般较为明确，并非是黑客为了显示直接的技术有多么厉害的无意识攻击，而其目的就是大量的数字资产。从这方面说，与其说进行 DEFI 闪电攻击的是“黑客”，倒不如说这些人是深谙数字资产交易规则的资金巨鳄。
除了上述通过技术手段和金融手段操纵市场进行牟利，致使用户产生直接的资产损失之外，DEFI 闪电攻击也会通过操纵治理架构，通过闪电dai攻击获取大量生态选票，以更低的成本变更平台的治理规则，从而让规则无限契合自己的利益，以此来达到牟利的目的。
从资金操纵和治理架构操纵这两点来说，DEFI 平台一旦被闪电dai攻击成功，没有中心化进行干预的 DEFI 智能合约就成了印钞机，黑客可以通过严格遵守合约机制的智能合约源源不断地从平台中“套出”资金。
为了便于理解，我们可以参考今年以来的历次闪电dai攻击事件，从中找出攻击者的切入点，同时也能看出 DEFI 闪电dai模式最薄弱的部分在何处！

热点：BTC ETH NFT 区块链 数字资产 智能合约 金融 银行