這一次的黑客攻擊讓人始料未及,被攻擊的對象是 Nexus Mutual ( NXM )創始人 Hugh Karp 本人,
Nexus Mutual 一向被視為 DeFi 保險賽道頭部項目,由于 DeFi 保險業務本身就是為了抵御交易者的安全風險,這次的安全事件讓很多人喊出了「保險并不保險」的聲音,
隨著 DeFi 項目數量爆發式增長,「黑客」、「極客」、「開發者」、「科學家」們所出現的比率越來越大。
可以清晰地看到,DeFi 領域的食物鏈或許正在重鑄,但上述稱謂背后的計算機頂尖人才們儼然已站在了這條食物鏈的頂端。
保險「不保險」?
在官方資訊以及眾多社區的討論聲中,Nexus Mutual 創始人 Hugh Karp 被黑客攻擊的全部過程已經被還原,
Nexus Mutual 被視為 DeFi 保險賽道頭部項目,也是 2020 下半年出現的許多 DeFi 頭部知名協議之一。其原生代幣 NXM 曾在 7 月份達到了 21 美金的高點,半個月最高漲幅達到 6 倍,攻擊發生后,NXM 一度下跌 20%。
根據官方介紹,Nexus Mutual 能夠讓用戶為一些智能合約購買保險,以針對目前一些主流協議中智能合約漏洞產生的意外來投保(如 Compound、Aave 、Uniswap)。在該平臺上,用戶可對特定智能合約進行 30 天或以上的保期投保,每份保險以其原生代幣 NXM 計價,
與傳統的互助保險類似,Nexus Mutual 由 NXM 持有人所有,NXM 是該系統的核心資產,代表的是社區成員權益,包括了通過質押(Staking)進行風險評估、參與社區治理等,
這是一家創立于 2017 年的老品牌,是一家在英國設立的擔保有限公司基于相互保險組織結構運作,值得注意的是,Nexus Mutual 的創始人 Hugh Karp 在保險業擁有超過 15 年的經驗,曾經擔任 UK Life Operations 的 CFO。
然而,即便是經驗豐富的他,仍然被「暗算」了,
根據官方披露細節, 攻擊者通過獲得 Hugh Karp 個人計算機的遠程控制后,對計算機上使用的 Metamask 插件進行修改, 并誤導其簽署一筆交易——這筆交易最終將巨額代幣轉移到攻擊者的賬戶中,
隨后,37 萬 NXM 代幣被轉移到不明賬戶中,價值約 833 萬美金。
「黑的過程其實比較常見,就是 Trick(欺騙) Karp 去簽了一個看似正常的交易,但是實際的交易是把幣發給了自己」,Primitive Ventures 創始合伙人、Coindesk 顧問委員會委員萬卉Dovey 公開對這次事件作出分析。
「因為 Karp 手上肯定沒有大量的 wNXM ,而是有大量的 NXM,所以必須要在內盤內完成『釣魚』的工作,然后釣魚完成后,NXM 本身的價格只要跌到了 MCR 100% 的時候,黑客必然知道無法靠 Bonding curve 出貨,所以非常老練的直接把拿到的 NXM wrap 掉,去外部砸盤」,
(注:wNXM 指 wrapped NXM,即 NXM 本幣的 ERC20 版本,兩者關系在于:只有 nxm 的持有人可以 1-1 映射把 NXM 轉換成為 wNXM,)
來自社區的「比特幣 LA 教授」更加簡單的描述了黑客目前的行為:「黑客盜走的 37 萬個幣,已經砸了 20多萬個了吧,他將 NXM 換成 WNXM 砸盤,他全部換掉了,又充到其他 CEX、DEX,各種賣,」
這是一場黑客精心策劃過的騙局,萬卉在對于這次事件總結道:「黑掉 Nexus Mutual 的黑客不僅拿到了 Huge Karp 的電腦的遠程控制,為了收割 Karp 手上NXM,還去做了 Nexus Mutual 的 KYC,(這是)已經精心準備了很久,可見有 KYC 也沒啥用」。
痛定思痛,萬卉也再次為 DeFi 領域玩家提了個醒:
該事件在社區發酵后,很多投資人也發出了和她一樣的感嘆:「整個 DeFi 食物鏈的頂端,真的是黑客與科學家們」,
就連創始人 Karp 本人在發推特喊話黑客時,都將該行為評價了一句「很棒的把戲,絕對是高級的操作」 ,
食物鏈重鑄,再現技術「雙刃劍」
「黑客絕不會因為你是誰而繞道」,CertiK 安全驗證團隊做出了評價。
自 DeFi 的「農耕時代」來臨后,行業內的格局悄然改變。而「科學家」、「極客」、「黑客」一類高度熟練的計算機專家們,再一次走上了舞臺前面,技術人才正在成為 DeFi 領域更具影響的新「財富」和新「資源」。
或許已經有越來越多的人注意到了這一點。有觀點認為, YFI 創始人 AC (Andre Cronje)之前的一系列「并購」動作,其中一個重要目的就是在于聚攏人才。
從 AC 所做的并購中可以看到,他在比較的精準的項目并購中,合并了諸多已經成型的優質項目,并試圖整合全球頂級開發者,其所開發的 Keep3r 就提供了一個聚合 DeFi 開發者的新平臺,整合全球頂級開發者,以形成一個分布式的開發者資源聚集地 —— 這是 AC 及其團隊所想要布局的,
「YFI 之所以熱度這么高,是因為 AC 吸引了太多的頂級人才去他的平臺開發,這里面一個提案都能拿出來當一個優秀的項目做」,一位社區開發者對 AC 的這種思路給出了高度評價,
「從某種程度上講,這是一次全球頂級開發者的大合并,通過聚合人才來實現聚合項目、聚合資金,這種模式先進很多,」
但在這種新的模式之下,不斷出現的安全事件又再次讓市場看到了技術的兩面性,從「開發者人才」到「黑客」,或許僅取決于一念之間。
實際上,相比于 Karp 所受到的「誘導式」詐騙,DeFi 領域更多的安全問題仍在于項目漏洞本身。
數字貨幣分析公司 CipherTrace 發布的《2020 加密貨幣犯罪與反洗錢報告》中顯示,DeFi 黑客在 2020 年的盜竊總量中占了 21%,而在 2019 年,DeFi 黑客的數量幾乎可以忽略不計。如果不考慮 KuCoin 交易所被盜事件相關數據,DeFi 黑客將占據總金額的 50% 以上。同時,部分黑客同樣也在利用 DeFi,選擇通過去中心化交易所來清洗被盜資金,
對于不斷涌現的技術類「犯罪」,萬卉曾將 DeFi 的黑客攻擊事件視為「很典型優勝劣汰的過程」,在這種過程中,最后只有最好的合約、最健壯的合約才能夠被市場所使用。
「 DeFi 作為一種中立的金融工具,被用來對抗中心化金融的各種弊端來捍衛私有財產,同樣,自然就有對應的邪惡勢力用來做他們認為『合理』的操作」。
無論如何,DeFi 應用在逐漸深度參與到整個市場之中。DeFi 也在以一個創新的姿態帶來了新的活力,也滿足了市場的諸多需求,然而,新技術的早期發展階段都將面對著一些新的挑戰,
比較樂觀的是,面對技術安全這一傳統金融乃至整個區塊鏈行業所面臨的巨大風險,DeFi 雖難以避免,但 DeFi 也在積極應戰,
