DeFi如何建立抵御黑客攻击的护城河？

无论是传统金融还是数字金融领域，资产安全都是重中之重。但受技术掣肘，一直以来都没有能够有效防范黑客攻击的措施，黑客攻击事件时有发生，行业也因此造成了巨大的资产损失。

在区块链行业，被黑客攻击是常有的事，今年以来，DeFi领域基本每月都会发生几起闪电贷攻击事件。但进入11月以来，DeFi协议遭受闪电贷攻击愈发频繁，攻击事件一起接着一起，而大多数DeFi 协议对黑客攻击以及造成的损失束手无策，这对DeFi的发展带来了严峻的安全考验。

11月，币圈可谓是“几家欢喜几家愁”，BTC、ETH等主流币大涨，点燃了沉寂已久的市场。反观，DeFi领域虽锁仓量一路高歌，DeBank最新（12月1日）数据显示，DeFi的总锁仓量已经超过了170亿美金，但因黑客的频繁“光顾”，很多项目方和用户造成了巨大的损失。

11月12日，DeFi借贷协议Akropolis遭到网络黑客的攻击，攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击，造成了200万美元的损失；11月14日，Value DeFi协议被黑客攻击并盗走740万美元的DAI，随后归还了200万美元；11月17日，Origin Protocol创始人Matthew Liu发文称，Origin Dollar (OUSD) 闪电贷攻击已造成约700万美元损失，并称OUSD黑客攻击主要由合约中重入漏洞引发；11月17日，DeFi平台Cheese Bank最近因黑客攻击遭受了330万美元的损失；11月17日，起源协议Origin Protocol稳定币OUSD遭闪电贷攻击，共损失225万美元的DAI和100万美元的ETH；11月21日，DeFi项目Pickle Finance因其Jar策略中存在的漏洞，被攻击者利用，损失近2000万美元的DAI。

显然，DeFi已经成为黑客攻城略地的主战场，如若攻击事件仍如此频繁，不仅会引发DeFi 用户的恐慌，更有可能使得整个DeFi生态遇冷。

从以上的攻击事件不难看出，大多是因合约存在漏洞所致，由于DeFi协议的可组合性让其存在潜在的组合漏洞，这也使其在无形中扩大了被攻击的风险。那项目方该如有效控制风险呢？

Mercurity.Finance核心开发者Kevin表示，大多被攻击的项目基本都是因为缺乏必要的审查，以及用于智能合约中可能存在漏洞的应急程序。项目方应该从三方面来控制风险：首先，内部严控代码质量，项目内部原始编码和模拟测试是确保安全的基础；其次，选择专业的安全审计公司加强外部代码审查，这有助于及时发现在编码阶段可能被忽略的潜在问题。Mercurity.Finance为了确保项目和用户资金安全，其子协议Mercurity Swap在未上线前就通过了成都链安的安全审计。最后，可以实施代码漏洞赏金计划，如邀请白帽黑客社区的成员来做安全漏洞的审查，并发放相应的奖励，这有助于发现和解决大量潜在的安全漏洞，从而减少黑客攻击的风险。

“11月7日，去中心化数字银行 Cheese Bank 因闪电贷攻击损失330 万美元，‘科学家’是如何利用闪电贷攻击Cheese Bank的过程就不赘述了，简单来说，攻击者是通过重置喂价预言机来操纵 UNI_V2 LP 凭证的价格。”Mercurity.Finance核心开发者Kevin表示，为了避免此类事件的发生，Mercurity.Finance采取了多方面措施：只针对主流币种推出借贷产品，不支持小币种；预言机采用DEX和CEX的加权平均价，剔除异常价格，使得攻击者难以控制币价;对大额交易进行报警，及时发现并填补漏洞。

DeFi是无须许可且可组合的，上文提到这也导致了其较大的潜在风险，因为一个协议出了问题就可能影响其他协议，但如果做好安全防控，让各个协议之间既可以灵活插拔独立运行，又可以组合相互赋能，共享品牌、技术、流动性、客户、合作伙伴和社群等基础设施，将有助于形成一个丰富的DeFi生态。