天眼深度 | DeFi需要黑客变得不那么具有攻击性 开发者也要吸取教训

　　如果计算机继续做更重要的事情，我们将要求这些程序是安全的。学会不做什么是达到目的的一种方法。

　　最大规模的一次加密货币抢·劫案的行凶者可能是为了“好玩”才这么做的。周二，一个匿名黑客或组织从保利网络(Poly Network)窃取了价值约6亿美元的加密货币，显然是为了给这家多链平台上一课(这是他们在关于其动机和计划的问答中说的)。

　　他们发现了一个漏洞——或者更确切地说，是使他们能够把钱转到自己身上的代码的一部分——并据此采取了行动。开发者并不想在游戏中添加“免费货币”按钮，但它却随时可能被利用。值得称赞的是:这是又一个错误(希望)不会重复。

　　“我对钱不是很感兴趣!”我知道人们受到攻击时很痛苦，但难道他们不应该从这些攻击中吸取教训吗？该开发者周三在以太坊区块链数据中发布。截至发稿时，大约一半被盗资金已经归还。

　　他们究竟是真正的“白帽”黑客，还是意识到自己无法套现的“黑帽”黑客，我实在没资格说。无论如何，Tor Ekeland，一位以为电脑不法分子辩护而建立职业生涯的律师，说:“黑客行为通常更多的是黑客行为带来的刺激，而不是在黑客行为中获得的任何目标。”

　　在规模数十亿美元的去中心化金融(DeFi)生态系统中，黑客攻击和漏洞利用并不罕见，保利网络就是其中之一。攻击通常是匆忙设计的脚本或协议层面更深层次的缺陷的结果，也是任何计算机网络如何变得更安全的重要组成部分。在区块链的世界里更是如此。

　　事实上，有人会说黑客会导致无法破解的代码。这是一个有争议的观点，尤其是因为黑客并不总是归还被盗的资金，而且毫无疑问，在这个过程中人们受到了伤害。

　　“区块链的世界里,当有人部署智能合同——比如Ethereum——有一个漏洞,数亿美元在一夜之间消失,没有追索权,”传奇前谷歌计算机科学家和Agoric创始人马克•米勒在2018年远见研究所发布会上说。“实际上，有这些巨大的BUG赏金。当其中一个漏洞被收集起来时，带有这些漏洞的软件就会死亡。”换句话说，基于区块链的系统面临着进化压力。弱项目面临“过早死亡”，因此整个系统都被安全代码填充。

　　区块链技术只存在了十几年。正如我们所知，DeFi甚至更年轻。这是一个案例，我们只是在采用的开始阶段，在这一过程中可能会有更多的错误。

　　黑客并不是项目或协议发展的唯一途径。人们可以慢慢地建造简单的东西，就像比特币一样，它在12年的生命周期中只跌过两次。有外部审计和政策制定者或政府监管机构发挥的潜在作用。

　　但搜索代码库中的漏洞，或在事实发生后发现入侵者，就像“猎杀狼”，Zcash的创始人、计算机安全专家Zooko Wilcox-O 'Hearn在一条直接的信息中引用了Vitalik Buterin的话。

　　他应该知道。2015年，他的审计公司Least Authority被一组开发人员聘请，对即将推出的以太坊网络进行安全审计。他们发现的许多漏洞都得到了修复，但与“重入”(reentrancy)有关的漏洞没有修复，后者使人们能够部署可能被利用的智能合约。

　　就在几年后，同样的漏洞在“DAO黑客”中被利用，造成5500万美元的麻烦，导致了以太坊和以太坊经典之间有争议的分叉。在提交报告时，Least Authority甚至提供了一个可以利用的智能合约的假设例子:一个众筹智能合约，比如the DAO。

　　随着越来越多的资金涌入智能合约，“猎杀狼”或个人剥削者将变得越来越难。通过黑客，整个社区一起学习什么应该重复，什么不应该重复。随着时间的推移，这将导致更“可靠”的代码。这是“护羊”的一种方法。

　　“如果我们人类要依靠计算机为我们做重要的事情——我们确实是这样的!”-那么我们真的需要这些程序是不可黑的。尽管我的安全专家同行们有些愤世嫉俗和绝望，但这实际上是可以实现的!威尔科克斯说。

　　“对于每一个像The DAO和Poly这样因为有漏洞而被利用的程序，你可以指向另一个做同样事情但没有那个漏洞的程序。所以进步是可能的!”