2020年来区块链世界最大的热点非DeFi莫属，造富效应惊人。但随着新项目新玩法层出不穷，安全事件频繁出现，部分投资者也损失巨大。

8月21日，陀螺非正式会谈邀请到慢雾科技合伙人兼产品负责人启富、北京链安COO王延巍，一同探讨DeFi目前存在的一些安全隐患以及如何去应对和防范这些风险。

直播主题：DeFi虽热，安全隐患不容忽视

嘉宾：慢雾科技合伙人兼产品负责人启富、北京链安COO王延巍

主持人：陀螺财经副主编 Blake

以下为本期直播的文字整理实录：

DeFi主要涉及技术、规则、生态三大安全问题

1.上周暴涨的DeFi项目Yam受到很多资金的追捧，最终却因“一个代码公式的错误”导致项目失败，想请问下这里暴露了哪些安全问题？从安全角度你们如何看待这个事件？

慢雾科技启富：简单来说就是YAM官方在合约中发现负责调整供应量的 rebase 函数发生了问题，导致多余的 YAM 代币放进了 YAM 的 reserves 合约中，最要命的是多出来10的18次方这么多的币，原因是合约代码里本来是要除以币的精度(10^18)，但是漏掉了。

这其实是个低级错误，建议广大区块链生态的项目方，在产品上线前进行充分的测试，找专业的区块链安全公司进行安全审计，把安全漏洞扼杀在产品上线前。

北京链安王延巍：从安全角度来看，YAM首先在内部的开发管理上就有问题，其实rebase本身是机制的一个常见操作，只要做内部用例测试，这样的问题很容易暴露出来。

2.不少人说DeFi现在虽热，但其整体发展仍然任重而道远。作为区块链安全团队，你们认为现在DeFi项目中主要存在哪些风险？

北京链安王延巍：在我们看来，DeFi中主要涉及三类安全问题。

• 首先是核心业务本身的技术安全问题，也就是智能合约开发过程中一些代码和逻辑本身的安全防护不好，YAM就是典型。

• 其次就是规则的安全问题，因为规则本身考虑不妥，有被他人利用规则漏洞的空间，也会对使用者的资产造成威胁，某种程度来说这已经是“金融安全问题”。

• 最后是生态的安全问题，底层是否有足够的支撑，或者生态上是否有足够的工具和机制保障。典型的就是“假币”问题，这也是Uniswap上热议的一个问题。

慢雾科技启富：比较通用的安全问题有：权限控制漏洞、拒绝服务漏洞、重放攻击漏洞、随机数漏洞等。

除此之外，业务逻辑漏洞是比较特殊的一种，DeFi项目因为有很多独创性的玩法，容易在某些极端情况下，由于考虑不周存在漏洞。

3.没有经过安全审计的DeFi项目可能会出现什么问题？在审计过程中，你们会重点关注哪一部分？

北京链安王延巍：首先说一句可能的废话：可能出现任何问题。

可以想象，如同YAM这样极受关注的项目都能出问题，还有什么DeFi不能出问题。如今的DeFi跟1CO一样，很多都是相互模仿，找来代码改改，中间的“带病代码”很多，安全隐患很大。

在我们的审计中，会有专门的Check List，一项项去检查，首先还是技术问题，那些明显可能被利用的安全问题需要指出来。另外，还有一类问题是逻辑问题和业务问题，比如我们会指出一个重要的操作权限控制需要注意，一个业务可能由于缺少一个限制会被滥用。

慢雾科技启富：可能会出现的问题很多，例如合约内资产被盗、代币总量莫名被增发等。

在安全审计过程中，除了常规的安全checklist外，还会特别关注项目的业务逻辑和相关独创性的设计。全面、深入的理解DeFi项目的业务逻辑、经济模型等内容，经常反复的阅读技术白皮书，以及和项目方进行深度的技术沟通，在此过程中，双方会碰撞出很多业务逻辑上的缺陷和增强点。

“假币”问题引争议

4.近日，一位匿名开发者花费20个ETH提前部署了热门DeFi治理代币CRV合约，导致Curve用户对不公平的"预挖矿 "进行指控，为什么会出现这种情况？如何才能避免？

北京链安王延巍：Curve算是有明确“官方”的项目，抢发其实类似于“假币”问题，什么叫“假币”，非官方的就是“假币”。

Curve这件事属于劫掠，要是谁都能部署一个合约去倒腾出CRV，那就乱了，解决这个问题的核心首先是行业要达成共识，大家要认同官方的CRV，其它合约下的交易所不收，钱包警示，社区排斥。甚至，是否可以上升到法律层面？

慢雾科技启富：Curve这个问题比较尴尬，建议其他项目方在开发、测试、预发布时，采用不同的部署环境，互相隔离开来，同时尽量不要采用已被标记过的钱包地址，避免被社区发现相关操作痕迹。

5.今年上半年DeFi项目“闪电贷”引发的“bzx被盗”事件，暴露出目前DeFi系统性金融风险存在一定隐患，想请教为什么会出现这类事故？未来应该如何避免此类事情再次发生？

慢雾科技启富：这个事件暴露出DeFi的系统性金融风险，针对这个问题，我们之前给的建议是：项目方在使用预言机获取外部价格时，应设置保险机制，每一次在进行代币兑换时，都应保存当前交易对的兑换价格，并与上一次保存的兑换价格进行对比，如果波动过大，应及时暂停交易。防止市场被恶意操纵，带来损失。

北京链安王延巍：其实这个bzx“被盗”就是前面我说的规则安全问题，或者说金融安全问题。

当时媒体报道的用词也很有趣，有的说“漏洞”，有的说“滥用”，一个倾向于技术角度，另一个倾向于规则角度，在我看来这里面核心还是规则逻辑问题。

对于这个问题，很可能纯代码角度推演很难马上发现，需要的是一个动态的安全监控和观测。在bzx这件事上，其实1inch.exchange 在问题充分暴露前发现情况不对，并向项目方反映，而从1inch.exchange的口径来看，项目方竟然因为安全审计费用2000美元还是1500美元的这500美元的差额把这个问题放过了，这实在是因小失大，也是对用户的不负责。

作为DeFi项目方，如果想做长久，对用户负责，从代码到上线，到运营期间都应该关注技术、规则、生态三个层次的安全问题，才能持续做大。

若再次遭遇极端行情，DeFi项目恐将出现连锁反应

6.如何防范DeFi的系统性风险？面临极端的行情波动时，现在的DeFi生态是否能承载？

北京链安王延巍：DeFi领域与1CO不同，1CO最后其实就是上交易所交易，再叠加一些基于交易所提供的诸如杠杆、衍生品的风险。而DeFi本身已经在设计一些金融业务的规则。

如今DeFi的火爆，已经让以太坊出现拥堵和手续费大涨的情况，一旦爆发危机是否会迅速升级为严重的流动性危机？这是很考验DeFi生态的，在项目方热衷解析其模式创新性的时候，我们很少看到有人说它的风控，以及面对极端情况是否有应对方案，用户可能遭受的损失是什么？我认为DeFi项目方需要对自己的模型做一定的“压力测试”来准备可能的风险。

慢雾科技启富：关于防范DeFi的系统性风险问题，我觉得成熟有效的风控机制是很关键的，它能够让项目具有稳健的能力来对抗“黑天鹅”事件。

前几天在朋友圈里看到这样一句话："YAM收益依赖于YFI，YFI收益依赖AAVE，AAVE收益依赖COMP，COMP收益依赖MKR，这是不是DeFi的次贷泡沫呢"。

假如再次遭遇312那样的暴跌行情，目前的DeFi项目可能会出现连锁反应。

7、普通投资者在投资DeFi项目前，需要了解哪些知识才能更好地确保资金安全？

慢雾科技启富：普通投资者，在参与DeFi项目前，尽量选择那些上线时间超过半年，且经过安全审计的项目。

北京链安王延巍：尽可能控制风险的措施，总结下来有以下4点：

1、先确保参与项目的安全性，最起码做了专业安全公司的第三方安全审计。

2、当然，有可能你搞不懂技术细节，弄不清安全审计是啥东西。建议投资大的中心化交易所交易上线的DeFi币，尽管这可能会让你的投资可选品种受限，但起码交易所会做一些安全工作，过滤掉一些有明显安全问题的项目。

3、和交易所一样，如果相关DeFi项目遭遇安全攻击受到同样的损失，大平台可能扛得住，小平台可能彻底关门走人，所以一般投资尽可能参与成规模的项目。

推荐阅读：

• DeFi “当红炸子鸡”，热度何时散? | 一周问答热议

• 陀螺精译 | 什么是弹性供应代币？

• 陀螺产业区块链第三季 | 北京互联网法院“天平链”

• 以太坊五岁了，它现在还好吗？

• 以太坊网络正在被更多主流金融资产交易所采用