Blocklike采编室原创出品
10月13日晚,DeFi项目WineSwap飞出黑天鹅。晚上10点上线的新项目,在线上仅仅半小时后,正在挖矿的投资者们发现WineSwap已经跑路。「WineSwap当天晚上我参与了,一共投入了20000多BUSD,大概挖矿进行了不到半小时,然后就跑路了」。WineSwap项目投资人「小马哥」告诉Blocklike。面对已经失联的项目方,几位蒙受损失的投资人组建起WineSwap维权群,一部分人只能寄希望于交易所。
DeFi安全问题频出,被盗资产能否追回?在小马哥对于WineSwap跑路事件的描述中,上线仅仅半个小时的WineSwap,便出现了网站无法打开、电报群被解散等现象:「和我比较熟的七、八个人,被盗有几万U到17万U不等,虽然第一时间我们就向币安客服反映了情况,不过,都是去中心化的,很难保证追回,很多追查线索也容易中断,很多人已经感觉『凉凉』了。」
根据官方信息显示,10月13日,AMM平台WineSwap于BSC上线,上线短时间内,便卷走全部资金,截至11月2日,用户损失逾34.5万美元。(现已被币安安全团队追回损失资金约99.9%)。
目前,WineSwap这种情况并不算少,随着DeFi项目数量突增,DeFi在代码漏洞、系统性风险、资产上链等问题上隐藏着的安全隐患逐渐暴露出来。
据区块链安全公司PeckShield数据显示,近几个月以来,DeFi安全事件频发。其中,10月份共发生4起DeFi相关安全事件,7月发生了2起,6月有4起,4月有5起。BSC是目前公链中跑路项目最少的,最大金额的一起就是WineSwap。鉴于这些风险与用户资产紧密相连,DeFi所面临的风险挑战,在某种程度上也成为了CeFi们的挑战。
如何能够挽回损失呢?
对于安全问题,Blocklike采访到了慢雾安全团队,其称:「追回被盗资产的难度大不大取决于攻击者在攻击前、过程、后等各环节是否做好足够隐藏,如:资金流向混淆隐藏、中心化平台上的账号相关信息伪装、社交媒体活动信息伪装等。任何一环节没做好,都会暴露最终真实身份。DeFi跑路事件本来就挺多,哪里有钱,哪里就有犯罪。」.
慢雾安全团队认为:「在WineSwap这里,币安的做法挺好的,打击网络犯罪,人人有责,区块链不是法外之地。」以币安为例,在WineSwap跑路事件中,交易平台们正在发挥着重要的作用。链上信息显示,受损用户从119个不同地址将19种不同代币发送至WineSwap。该项目跑路后,合约(0xa1eaB5F255DD77fED0D8ea81748422ca7ab0eDc4)中剩余资金转移到了创建者地址(0x4BA023aA9196a354C008aD595F67e268420b7005)。
币安披露的信息显示,币安和BSC团队发现诈骗行为后,追踪了WineSwap的资金流向,包括从BSC到币安链、再到以太坊的跨链转账,最终发现WineSwap团队将其中一小笔资金转移到了另外两个交易平台和币安桥,成为了关键性线索。
经过币安的联系与沟通,各方冻结了相关资金,此时,大部分资金已被WineSwap换成了稳定币、BNB、ETH和LINK。到了10月14日,安全团队于细微线索中寻找相关诈骗人员的边缘信息,经过长时间的调查与多次反复确认,在币安经获取完整的证据链后,与WineSwap相关人员取得联系。
为免受到执法部门的惩罚,WineSwap已于近期将相关款项退回至币安,此外币安联系的其他平台冻结资金也已将款项退回。
Blocklike了解到,目前,WineSwap事件已暂时告一段落,币安通过对WineSwap资金出入的分析,已找到受损用户并计算出实际损失金额,后将归还。
CeFi们应战DeFi热潮之下,在某种程度上,也给CeFi们带来了新的课题。在资产安全问题上,值得肯定的是,一些头部交易平台或头部机构为DeFi的安全「兜底」,给行业内增添了一份信心。4月19日,dForce去中心化借贷协议遭到黑客攻击。根据dForce官方披露的信息,被盗的第二日,来自中心化机构组成的安全团队在基于黑客攻击前后痕迹中,成功确定了黑客画像,并开始与国内外各方资源进行交叉对比,获得突破性线索,最终,黑客在重重压力下,与dForce主动沟通并分批归还资产。
9月30日,DeFi类项「鲸鱼」跑路,资金流向图显示,该项目资金分别流向入币安的十个地址。后由币安海外用户联系交易平台并提供警方证明后,该资金被冻结。最终,帮助用户追回资金。作为全球加密货币领域公认的交易所品牌,币安面对DeFi项目暴雷时的态度,展示出了其责任与担当,这样的社会责任感有助于行业生态良性发展,作为第三方的机构们,同样在对外发声:链上并非法外之地。
随着DeFi项目最依靠中心化力量追回资产的案例正在变多,很大一部分来自社区的观点认为,CeFi与DeFi在多种层面上,呈现出了相辅相成的关系,有互相制约与互相依赖的组成部分,两者都有各自的优势和劣势,共同为市场提供差异化的服务。不过,值得注意的是,像币安这类的追索案例往往需要耗费大量的人力物力,在前文所述的WineSwap事件中,就同时涉及了币安安全团队、OTC团队、财务团队、BSC团队、币安桥团队、收到资金的交易平台等多家机构。
同时,追回难度也与攻击者是否出现漏洞、相关交易平台的技术能力与态度、生态内机构合作等因素息息相关,追讨成功的概率难有定论。
Blocklike在此提示各位投资者,目前,去中心化项目仍在发展阶段,项目质量良莠不齐,除了仿盘以外,目前市面上出现了多种类型的风险及漏洞,参与DeFi项目仍需投资者们自身提高警惕。同时,操作DeFi项目时,一定要对项目本身进行足够的了解,检查安全审计,谨慎授权,避免资金出现无法挽回的损失。
作者:Blocklike;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请发送至邮箱:linggeqi@