Defi投资安全避坑指南-从亲历史上最大的DeFi盗窃案说起
生财有术 ·
Defi投资安全避坑指南-从亲历史上最⼤的D…
来民Defi投资安全避坑指南-从亲历史上最大的DeFi盗窃案说起
本文主要有四节,其中最重要的是第二部分和第三部分,第四部分属于吃瓜,不感兴趣的可以略过,意犹未尽的也可以网上搜索相关文章。由于本人水平有限文中若出现错误请慢拍砖。也欢迎大家多多交流。(本来周五写完的文章,晚上想发的,由于星球限制发表主题只能推到周一发布)。
一、亲历史上最大的DeFi资金盗窃案二、关于Defi投资的安全指南三...
Defi投资安全避坑指南-从亲历史上最大的DeFi盗窃案说起
Defi投资安全避坑指南-从亲历史上最⼤的DeFi盗窃案说起
来自:生财有术来民
本文主要有四节,其中最重要的是第二部分和第三部分,第四部分属于吃瓜,不感兴趣的可以略过,意犹未尽的也可以网上搜索相关文章。由于本人水平有限文中若出现错误请慢拍砖。也欢迎大家多多交流。(本来周五写完的文章,晚上想发的,由于星球限制发表主题只能推到周一发布)。
一、亲历史上最大的DeFi资金盗窃案
二、关于Defi投资的安全指南
三、稳健项目的选择经验
四、史上最大的DeFi盗窃案主要过程及黑客精彩的自问自答
一、亲历史上最大的DeFi资金盗窃案
关于什么是Defi@西琳君在一文读懂最近非常火的DeFi这篇精华帖中已经说得很详细了。,有想了解的可以查看生财的Defi投资专栏文章。看到在生财有术有不少谈Defi投资的文章,却还没有提示风险的。本文重点以自身的惊险经历提醒参与Defi投资理财的朋友注意安全。毕竟在币圈,保护本金才是最终要的事情。
有参与Defi投资的朋友近期应该会关注史上最大的DeFi资金盗窃案,8月10日晚上8点38分,跨链互操作协议PolyNetwork突发公告,称遭黑客攻击,以太坊、BSC、Polygon三条链分别盗走了2.5亿、2.7亿、8500万美元的加密资产,损失总额高达6.1亿美元。O3swap是使用PolyNetwork跨链协议中锁仓量最大的,所以受本次盗窃案影响也最大。非常不幸的是我大部分的币圈资产组了lp在O3swap质押,总共价值大约25万USDT,虽然没法跟亦仁丢失的资产数相比,但也是我大部分的币圈资产。我所在的O3损失群里,单单损失10万U以上的就有20多个,好几个损失百万和千万U以上的
(见图1)。
事情发生后,我像往常隔几天去O3swap收一次养老金一样把收益成功提取了,可当解除流动性取回本金时提示无法操作,看到资产无法取出说不担心是假的。但能做的也只能关注事件的动向,并在有一点进展时进行一下自我安慰。好在目前黑客已经归还资产给项目方,距离取回资产也越来越近。截止8月12日晚上失窃的价值6.1亿美元资产除了冻结的3300万USDT已经全部归还到项目方的地址。但同样在8月12日,DaoMaker疑似被盗,黑客转走738万USDC。
二、关于Defi投资的安全指南
经过此事,我反省了自己的行为,发现明明知道Defi投资的很多安全规则,却一直心存侥幸,去贪图那多出了的几个点利息。在此处列出一些Defi投资时需要注意的安全事项与大家共勉。
下面的描述比较长,时间少的或者资深Difier看标题应该就能理解。
1.不用影响你生活的资金去投资
2.不要将你的密钥放在网络上
3.钱包和交易地址要认准官方网址。不要打开未知网站,避免克隆和钓鱼网址。
4.减少非必要钱包授权,特别是无限授权,不要在非知名DEX中做授权。
5.不要随便领空投
6.挖矿时最好做到一矿一钱包
7.不盲目冲新矿。
8.分散投资,本金第一
以下为第二部分正文
1、不用影响你生活的资金去投资
Defi投资是高风险高收益的,需要有较强的资金和心理承受能力。当投入的资金明显超出你个人和家庭承受能力时,你的心态就会随着收益的波动而加速波动,并且极易受到市场消息的影响,从而陷入不安,操作也会更容易出错。Defi投资既然存在高风险就要有损失的心理预期,即便极端情况出现也不至于严重影响目前的生活。
2、不要将你的密钥放在网络上
这也是真真的在提醒自己,之前为了图方便,把所有钱包的密钥和交易所的登录信息同步到网上,方便自己查看,这种操作真的会让你损失一切。在区块链的世界,密钥和助记词就是一切,拥有了密钥和助记词就拥有了一切的权限。这里所说的网络包括聊天记录、密码记录软件、各种同步信息的笔记、文档同步工具,请有这种行为的同学抓紧检查自己的操作。一定不要让密钥信息暴露到网上,尽量放到线下。可以买个新的小米9A手机,新建个钱包,不安装其他软件,把资产转进去。如果图省心并且资产较多建议直接购买硬件钱包。
3、钱包和交易地址要认准官方网址。
不要打开未知网站,避免克隆和钓鱼网址。需要下载钱包时请在官网下载,避免在第三方市场下载如果不能确定钱包官网,可以使用非小号,coinmarketcap等查看行情软件查找交易所或钱包信息并进行对比,如果多个渠道给的信息统一无误,一般是不会有问题的。
另外就是现在交易所的信息泄露很严重,很多途径能够拿到你的注册号码和邮箱,收到的短信不要轻信,一般都是骗子居多。刚刚看了手机的一条短信截图和一个群里朋友收到短信的截图(图2图3),当你登录短信中这些网址后,你得资产就完全被别人控制了。
4、减少非必要钱包授权,特别是无限授权,不要在非知名DEX中做授权
在去中心化的交易所交易,进行代币交换(swap),授权是必须经过的一个步骤,授权是为了让合约有权取走你地址中的某个token,这是DeFi功能运转必需的条件。例如,Uniswap中,你想使用钱包里的USDT购买ETH,那么为了能让Uniswap合约取走你地址中的USDT,并将对应定数量的ETH转到你的钱包,你需要向它进行授权,从而能够将USDT转移。授权分为两种,一种是定额授权,一种是无限授权。
定额授权比较好理解,就是我只授权我需要交易的额度。比方说我需要交易500USDT,那么只授权500USDT就够用了。这样很安全,但同样很麻烦也很费钱。因为接下来每进行一笔交易都要进行一次授权,而授权并不是免费的,是要花矿工费的。
关于什么是无限授权,这里是网上摘录的,毕竟以我的文化也写不出专业的描述:“无限授权(UnlimitedApprove)是指你授权某个合约可以转移(transfer)你地址中的某个资产(token),并且授权的上限是Unlimited,即uint256(0xfff...fff)。”我们也可以通俗的理解为你同意了某个交易的无限授权,后期该协议什么时候都可以转走对应的Token。就好比你告诉了银行,往后几年几十年乃至余生,这个人都随时可以来取走我的人民币,并且不限额,有多少余额就可以取多少余额。哪怕你忘记这个事情了,也随时有款被取走的风险。
如果进行了无限授权并且没有取消,那么只能选择相信委托的是个好人(项目方)。所以选择项目尤为重要,但无论怎样选择,任何一个项目或者交易所都不是绝对的安全,毕竟在代码就是法律的世界,现在没有发现问题并不代表没有漏洞。我们能做的除了尽可能的选择安全有保障的项目,谨慎授权也非常重要。如果明确知道自己只交易一次或交易频率很低,那么授权时可以修改授权为需要的金额。如果近期经常交易,则要记住在不需要时及时取消授权。如非常用可靠项目建议及时检查钱包的授权情况并取消,可以使用如defibox等工具查看自己的授权情况,找到不使用的无限授权及时取消。(图4)
5、不要随便领空投
这一条本该是跟第四条说的同一个事情,但领空投太火了,几个大方的项目空投造富了很多人,导致很多人专门薅羊毛、领空投。这种行为本身没有什么问题,可就怕遇到别有用心的骗子。现在直接套路密钥的骗子少了,毕竟难度大。现在大部分的套路是利用空投的机会让你给出无限授权,然后找准机会清空钱包资产。特别是BSC和Heco链,土狗项目多,跑路的也多。
我遇到的主要分两种情况:
(1)骗子直接给你的钱包空投,当你看到钱包里有空投币想去Pancakeswap或其他交易所卖掉时发现卖不掉,然后你去他网站(或聊天软件)时,会引导你授权解锁。授权后同样卖不掉币,但你钱包的后门已经被打开了,骗子随时可以转走你的资产。例如之前微博有人发的领了MNEB空投被盗币的事件。(图5)
(2)通过聊天工具病毒式传播领取空投奖励的链接,一般会包装成还未上线的重量级项目,不领取你就错过了暴富的机会。而领取时如果让你授权,就要特别当心了,最好放弃。另一方面想,哪个真正牛的项目会通过病毒是的传播让人参加活动。
6、挖矿时最好做到一矿一钱包。
参与挖矿的钱包要与存放资金的钱包分开。撸空投的钱包更要跟常用钱包分开。避免一个协议出现问题,波及到你的正常资产。现在创建钱包也很简单,可以使用im或者tp钱包单个创建,也可以使用cointool工具批量创建。当然存放资金的钱包还是要手动单独创建。
7、不盲目冲新矿。
目前新矿一个接一个,特别是BSC、Heco、OKT链上的项目,良莠不齐,有很多项目都是按分钟计算寿命。一些三大所宣传或合作的项目可以去尝试,并且可以加大资金投入,毕竟安全性高,赢率更高。但一般来讲开始更推荐冲一池用稳定币白嫖,并且挖卖提尽快回笼本金。如果要组lp冲二池尽量的使用收益部分,因为二池收益率下降会很快,当不能覆盖币价下跌的损失话就要亏钱了。对我个人而言,没有太多时间去研究项目。所以只拿出很少的资金参与一些确定性高的项目,并且只参与一池,不参与二池。
8、中心化交易所和去中心化Defi挖矿分散投资,本金第一
相对于传统金融来说区块链还很年轻,谁也不能保证提供服务的交易所或项目方不出现问题,所以分散投资也很重要。币安、火币、okex相对要安全很多,甚至对很多新手来说资金比放到自己的钱包更安全。当然相对来说三大交易所提供的理财利率比较低。我有一部分稳定币就放到一个稳定运行了8年的交易所理财,由他们统一去Defi理财。收益比自己挖矿收益略低,但由于提供保本保息,所以更安心一些。大家可以根据自己的情况选择资金存放场所,但还是要分散一些投资,避免一个交易所或项目出现问题就没有翻盘的机会。
三、稳健项目的选择经验
没有绝对安全的项目,而很多老项目收益率又比较低。所以我们只能从安全性和收益率来综合对比考虑,以下是一些常用的参考因素。
1、经过时间验证的项目,同时参考TVL(锁仓量)和口碑
一般没有经过验证的新项目是要谨慎参与的,如果参与也要明白自己做的事情,独立账户、小资金、尝试性的去参加,并且第一时间抽回本金。而经过半年以上验证,TVL较大且在稳定运行的项目一般来说可靠性要大很多。
2、经过大的审计公司审计的项目
目前审计公司也是五花八门,选择知名审计公司审计的项目相对来说安全性会更高。比方说你可以选择通过慢雾和派盾双重审计的项目。
3、大的交易所或者知名钱包推荐的
比方说im钱包和tp钱包放到显眼位置的项目,或者说币安、火币或OKex列出来的项目,交易所或者钱包为了自身的声誉,不会选择野鸡团队的项目,相对来说安全性更高。
4、知名团队或知名投资机构投资的
任何项目的开发都是有带头人或者团队的,如果团队成员都没有披露大概率是骗炮项目。知名团队是要要脸面的,当项目出现问题时也能找到沟通的对象。退一步说实名或团队是要抛头露面的,如果吃相太难看是会被人肉的。而知名投资机构的投资会为项目加分,他们是要长期回报的,至少初衷是想长期运行。所以知名投资机构背书或参与的项目也值得参与(这里也要注意从官网或主流媒体分辨是不是真的背书或投资)。
在实际项目选择时可以同时满足上边两个或三个条件,这样就更加的安全。
关于这个部分只列出大概的时间线吧,毕竟搜索一下网上都有8月10日晚上8点38分,跨链互操作协议PolyNetwork称遭到攻击(跨链聚合协议O3基于PolyNetwork构建,也牵连其中),共计超6.1亿美元转出至3个地址。9点44分,Tether首席技术官PaoloArdoino发推称,Tether已经冻结攻击PolyNetwork的黑客地址3300万USDT。
9点56分-10点27分,涉事地址将部分资金转入Curve.fi。这期间有一个地址给黑客地址留言告知USDT被锁了,黑客给他打赏了13.37枚ETH。然后币圈乞丐齐出,纷纷通过区块链转币给黑客留言。
23时53分,PolyNetwork发推特对黑客致信,希望与黑客建立联系,并希望归还被盗的资产。
8月11日0时5分:黑客转账附言表示:如果我转移了剩余的币,那将是十亿美金级别,我难道不是拯救了这个项目?我对金钱不太感兴趣,现在考虑归还一些Token,或者将它们留在此处;如果我制作一个新的代币并让DAO决定代币的去向会怎样。
8月11日0时5分:黑客转账附言表示:如果我转移了剩余的币,那将是十亿美金级别,我难道不是拯救了这个项目?我对金钱不太感兴趣,现在考虑归还一些Token,或者将它们留在此处;如果我制作一个新的代币并让DAO决定代币的去向会怎样
8月11日11时48分:黑客转账留言表示,准备归还资产,但未联系到PolyNetwork官方团队,需要PolyNetwork团队提供多签钱包。
8月11日12时13分:PolyNetwork转账留言并发推表示,正在准备一个由PolyNetwork控制的公开多签钱包。8月11日12时59分:PolyNetwork在以太坊、BSC和Polygon三条链分别准备了钱包。8月11日16时58分:黑客开始归还资产8月11日23时57分:黑客自问自答,开始以问答Q&A形式发布消息(内容较多,截至8月13日晚间更新第六部分。公开内容各位自行搜索,我也整理了下如有想看的自行查看)
8月12日4时58分黑客已退款3.42亿美元资产
8月12日23点,PolyNetwork表示提供50万美元的赏金,黑客表示不需要,会退回全部资金。8月12日23点50分左右,除冻结的3300万USDT外退还全部。
8月12日23点51分鱼池联合创始人神鱼(传闻其一亿美金投入其中,未曾核实)在主要的受害者群里表示(并在随后发推):此次事件是对Defi所有参与者的一次警示,因此其将在CV建造一个纪念碑纪念此次事件的所有参与者,推动整个行业的安全发展。(图6)8月13日11点左右,慢雾发表创始人发布信息,表示慢雾动用了洪荒之力,联合各方做了很多努力,并表示是否定位到黑客不重要。
8月13日晚间,黑客发布问答的第六部分,疑似对慢雾的回应。
关于黑客精彩的自问自答部分,本想整理了放到星球,但内容太多了不方便大家阅读,有感兴趣的可以直接搜索PolyNetwork黑客自述或者私信发你整理好的全文。
正如神鱼所说,该件事情只是取得阶段性成果,离完全退币到位还有一段距离。第一,现在有2.3亿美金还在多签地址,还需要项目方和白帽黑客去协同操作。这个多签地址是3/4的多签,目前是项目方和白帽黑客各两把私钥,即需要白帽黑客同意授权,这笔钱才算真正回到项目方地址;
第二,同时还有3300万usdt目前是被泰达冻结状态,需要项目方和泰达那边协同操作;第三,还需要项目方修复系统漏洞,重新上线池子,投资人才能顺利取回。
但无论如何这个事件是对Defi所有参与者的一次警示。参与者一定要记着Defi挖矿的风险。仅仅2021年第三季度共发生了11起重大DeFi盗窃事故,属于跨链桥资产盗窃的有5起,分别为:AnySwap(7月10日,790万)、ChainSwap(7月11日,S440万)、THORChain两起(7月15日,S500万)&(7月23日,S800万)以及PolyNetwork(8月10日,6.11亿)。就在写文章时,也就是8月12日DAOMaker被盗了738万USDC。由于区块链的性质,并不是每次事故都如PolyNetwork这次这么幸运,实际上大部分被盗资产并没有退回用户。
在区块链这个高速发展的时代,我们有幸参与其中本身就是个机遇,至少是个见证者。Defi挖矿收益与风险并存,大家在参与的同时多注意风险,愿大家保住本金的同时资产暴涨。
第一期的老会员了,一直在星球是个小透明,看着很多同期的朋友都飞速成长却没有太多的参与星球活动。第一次写这么多字,也借此机会附一个自己的简单介绍吧。记得龙珠会员可以发点介绍啥的,如果及时删除哈。
微信昵称和星球昵称:来民(第一期时星球昵称小来,并且以此昵称参与了一起赚美元大航海,主要负责广告投放)
一直在石油机械行业工作,前些年利用晚上和周末时间跑广告投放,做aff,业余时间做也没有啥大突破,只能每年多三十万左右的副业收入。2018年初在老本行石油机械行业创业,从年销售额100多万到现在2000多万元,去年刚完成高新技术企业。但公司项目单一,发展空间有限,预期也不是特别稳定也一直在寻找新的突破点。Defi投资同样是利用业余时间也做,但不投太多精力。在山东东营和黑龙江大庆机械制造厂房,欢迎有实体行业的朋友交流。刚刚在黑龙江大庆租了200平米的办公室,目前大部分闲置,想找个合适的机会开展新的业务。初步定电商或外贸方向。如果有合适的合作机会大家一起交流哈。
mathcalQ