「黑客絕不會因為你是誰而繞道。」
這一次的黑客攻擊讓人始料未及。被攻擊的對像是Nexus Mutual ( NXM )創始人Hugh Karp 本人。
Nexus Mutual 一向被視為DeFi 保險賽道頭部項目。由於DeFi 保險業務本身就是為了抵禦交易者的安全風險,這次的安全事件讓很多人喊出了「保險並不保險」的聲音。
隨著DeFi 項目數量爆發式增長,「黑客」、「極客」、「開發者」、「科學家」們所出現的比率越來越大。
可以清晰地看到,DeFi 領域的食物鍊或許正在重鑄,但上述稱謂背後的計算機頂尖人才們儼然已站在了這條食物鏈的頂端。
保險「不保險」?
在官方信息以及眾多社區的討論聲中,Nexus Mutual 創始人Hugh Karp 被黑客攻擊的全部過程已經被還原。
Nexus Mutual 被視為DeFi 保險賽道頭部項目,也是2020 下半年出現的許多DeFi 頭部知名協議之一。其原生代幣NXM 曾在7 月份達到了21 美金的高點,半個月最高漲幅達到6 倍。攻擊發生後,NXM 一度下跌20%。
根據官方介紹,Nexus Mutual 能夠讓用戶為一些智能合約購買保險,以針對目前一些主流協議中智能合約漏洞產生的意外來投保(如Compound、Aave 、Uniswap)。在該平台上,用戶可對特定智能合約進行30 天或以上的保期投保,每份保險以其原生代幣NXM 計價。
與傳統的互助保險類似,Nexus Mutual 由NXM 持有人所有。 NXM 是該系統的核心資產,代表的是社區成員權益,包括了通過質押(Staking)進行風險評估、參與社區治理等。
這是一家創立於2017 年的老品牌,是一家在英國設立的擔保有限公司基於相互保險組織結構運作。值得注意的是,Nexus Mutual 的創始人Hugh Karp 在保險業擁有超過15 年的經驗,曾經擔任UK Life Operations 的CFO。
然而,即便是經驗豐富的他,仍然被「暗算」了。
根據官方披露細節, 攻擊者通過獲得Hugh Karp 個人計算機的遠程控制後,對計算機上使用的Metamask 插件進行修改, 並誤導其簽署一筆交易——這筆交易最終將巨額代幣轉移到攻擊者的賬戶中。
隨後,37 萬NXM 代幣被轉移到不明賬戶中,價值約833 萬美金。
「黑的過程其實比較常見,就是Trick(欺騙) Karp 去簽了一個看似正常的交易,但是實際的交易是把幣發給了自己」,Primitive Ventures 創始合夥人、Coindesk 顧問委員會委員萬卉Dovey公開對這次事件作出分析。
「因為Karp 手上肯定沒有大量的wNXM ,而是有大量的NXM,所以必須要在內盤內完成『釣魚』的工作。然後釣魚完成後,NXM 本身的價格只要跌到了MCR 100% 的時候,黑客必然知道無法靠Bonding curve 出貨,所以非常老練的直接把拿到的NXM wrap 掉,去外部砸盤」。
(注:wNXM 指wrapped NXM,即NXM 本幣的ERC20 版本。兩者關係在於:只有nxm 的持有人可以1-1 映射把NXM 轉換成為wNXM。)
來自社區的「比特幣LA 教授」更加簡單的描述了黑客目前的行為:「黑客盜走的37 萬個幣,已經砸了20多萬個了吧,他將NXM 換成WNXM 砸盤,他全部換掉了,又充到其他CEX、DEX,各種賣。」
這是一場黑客精心策劃過的騙局,萬卉在對於這次事件總結道:「黑掉Nexus Mutual 的黑客不僅拿到了Huge Karp 的電腦的遠程控制,為了收割Karp 手上NXM,還去做了Nexus Mutual 的KYC,(這是)已經精心準備了很久,可見有KYC 也沒啥用」。
痛定思痛,萬卉也再次為DeFi 領域玩家提了個醒:
該事件在社區發酵後,很多投資人也發出了和她一樣的感嘆:
「整個DeFi 食物鏈的頂端,真的是黑客與科學家們」。
就連創始人Karp 本人在發推特喊話黑客時,都將該行為評價了一句「很棒的把戲,絕對是高級的操作」 。
食物鏈重鑄,再現技術「雙刃劍」
「黑客絕不會因為你是誰而繞道」,CertiK 安全驗證團隊做出了評價。
自DeFi 的「農耕時代」來臨後,行業內的格局悄然改變。而「科學家」、「極客」、「黑客」一類高度熟練的計算機專家們,再一次走上了舞台前面。技術人才正在成為DeFi 領域更具影響的新「財富」和新「資源」。
或許已經有越來越多的人注意到了這一點。有觀點認為, YFI 創始人AC (Andre Cronje)之前的一系列「併購」動作,其中一個重要目的就是在於聚攏人才。
從AC 所做的併購中可以看到,他在比較的精準的項目併購中,合併了諸多已經成型的優質項目,並試圖整合全球頂級開發者。其所開發的Keep3r 就提供了一個聚合DeFi 開發者的新平台。整合全球頂級開發者,以形成一個分佈式的開發者資源聚集地—— 這是AC 及其團隊所想要佈局的。
「YFI 之所以熱度這麼高,是因為AC 吸引了太多的頂級人才去他的平台開發,這裡面一個提案都能拿出來當一個優秀的項目做」,一位社區開發者對AC 的這種思路給出了高度評價。
「從某種程度上講,這是一次全球頂級開發者的大合併,通過聚合人才來實現聚合項目、聚合資金。這種模式先進很多。」
但在這種新的模式之下,不斷出現的安全事件又再次讓市場看到了技術的兩面性。從「開發者人才」到「黑客」,或許僅取決於一念之間。
實際上,相比於Karp 所受到的「誘導式」詐騙,DeFi 領域更多的安全問題仍在於項目漏洞本身。
數字貨幣分析公司CipherTrace 發布的《2020 加密貨幣犯罪與反洗錢報告》中顯示,DeFi 黑客在2020 年的盜竊總量中佔了21%,而在2019 年,DeFi 黑客的數量幾乎可以忽略不計。如果不考慮KuCoin 交易所被盜事件相關數據,DeFi 黑客將佔據總金額的50% 以上。同時,部分黑客同樣也在利用DeFi,選擇通過去中心化交易所來清洗被盜資金。
對於不斷湧現的技術類「犯罪」,萬卉曾將DeFi 的黑客攻擊事件視為「很典型優勝劣汰的過程」,在這種過程中,最後只有最好的合約、最健壯的合約才能夠被市場所使用。
「 DeFi 作為一種中立的金融工具,被用來對抗中心化金融的各種弊端來捍衛私有財產,同樣,自然就有對應的邪惡勢力用來做他們認為『合理』的操作」。
無論如何,DeFi 應用在逐漸深度參與到整個市場之中。 DeFi 也在以一個創新的姿態帶來了新的活力,也滿足了市場的諸多需求。然而,新技術的早期發展階段都將面對著一些新的挑戰。
比較樂觀的是,面對技術安全這一傳統金融乃至整個區塊鏈行業所面臨的巨大風險,DeFi 雖難以避免,但DeFi 也在積極應戰。