DeFi安全：从攻击事件中学到的比特币矿工挖矿经验

最近发生的Balancer被攻击事件就是一个例子，攻击者利用Balancer资金池与通缩货币的结合产生漏洞，成功盗取了500,000美元。不到24小时后，Balancer再次遭受攻击，攻击者通过利用Compound的“借贷即挖矿”特性，窃取了资金池中无人认领的Comp币。

对于第一次攻击事件，我们之前已经做了分析，感兴趣的朋友可以参考这篇文章：https://mp.weixin.qq.com/s/ZoqUgtcQ1WevhTgaUD-l_g

对于第二次攻击事件，笔者认为攻击者的行为介于薅羊毛和非法攻击之间，并不能确定是属于非法攻击。

从一方面来看，攻击者确实违背了Balancer合约的设计理念，利用了其代码漏洞获取了本不属于自己的利益。

但是从另一方面来看，攻击者窃取的资金并不是资金池中的本金，而是通过Compound的“借贷即挖矿”特性产生的利润。即使攻击者不进行攻击，Balancer合约本身也没有合理分配这笔钱给用户。

就好像一个超市每天产生的空纸盒，公司并没有明确规定如何处理，通常是堆积到一定程度后，某个员工发现并卖掉，这个员工就会获得利润。假如有一个外来人，他发现这些纸盒能产生收益，于是他就去找工作在超市卖掉纸盒，然后离职去下一个超市。Balancer在第二次事件发生后也没有采取修复措施，这也间接表明了官方的态度，官方可能更倾向于认为这是一种“薅羊毛”行为。

这次事件涉及了三个DeFi项目，分别是Balancer、dydx和Compound。

DeFi指的是“去中心化金融”，旨在利用区块链技术实现传统金融中的借贷、存储和支付等功能，缩短交易时间、减少交易手续费，解决跨国交易等问题。

目前，在DeFi领域中，一些热门项目包括Compound、Maker和dydx等。

在DeFi项目中，许多都是直接将传统金融工具搬到区块链上，例如借贷和存储。但是，区块链与真实世界存在很大差异，它们的底层逻辑也不同。

例如，在传统金融领域，信用是借贷的基本条件，银行会评估一个人的信用来决定是否给予贷款。然而，在封闭的区块链世界中，由于地址无法关联到人，信用属性就不存在。要实现信用，就必须使用预言机来获取真实世界的信息。

但正是由于区块链与现实世界的不同，DeFi可以实现现实世界无法实现的功能。

例如，dydx的闪电贷允许用户进行0抵押的大额借贷，用户只需在一次交易中还清借款即可。如果用户在交易后没有归还借款，交易将被回滚，所以可以规避本金风险。尽管在一次交易中必须还清借款，但智能合约允许用户进行多次操作，用户可以以较低价格大量买入某种代币，然后以较高价格卖出，即使差价很小，在大量本金的基础上也可以获得可观的收益。在传统金融领域，一般很难实现这种操作。然而，有了dydx，任何人都可以获得这一笔“巨额资金”。

新事物总是具有两面性，dydx闪电贷为一般人提供了使用巨额资金的可能性，同时也为潜在黑客提供了帮助。就像Balancer第一次遭受