Balancer遭遇闪电贷攻击 DeFi安全如何保障？

近期受Compound的“借贷即挖矿”的影响，DeFi生态迎来发展浪潮，Compound锁定的资产价值达到6.38亿美元跃居DeFi首位，DeFi生态锁定的总资产一度达到17亿美元，突破历史新高。

正当DeFi生态进行的如火如荼时，DeFi中出现黑客攻击恶性事件。6月29日，Balancer流动性池遭闪电贷攻击，损失50万美元，此次Balancer上遭遇损失的为STA和STONK两个代币池，目前这两个代币池的流动性已枯竭。

随后Balancer在博客回应了这起被攻击事件。此次攻击让攻击者从STA和STONK两个代币池中获取资金，遭遇攻击的两个代币均为带有转账费的代币，也称通缩代币。

Balancer还原了此次攻击的流程。黑客将通过闪电贷从dYdX借出ETH并转换为WETH，不断交易WETH和STA，在每笔交易中，STA都需要支付一笔转账费，该资金池将会在不收取费用的情况下获得余额。调用足够次数后，攻击者调用gulp()，该操作会将代币余额的内部池记帐同步到代币追踪合约中存储的实际余额。最后由于STA的余额接近于零，因此其相对于其他代币的价格非常高，此时攻击者可使用STA以极低价交换代币池中的其他资产。由于此类攻击只限于通缩代币，Balancer下一步会将通缩代币添加到UI黑名单中。目前Balancer已经通过两次全面审核，即将开始第三次协议审核。

据金色财经了解，Balancer是在今年3月推出的建立在以太坊区块链之上的n维自动做市商，允许用户创建可定制池或向其添加流动性并赚取交易费。DeFi Pulse数据显示，Balancer目前锁定的资产价值1.167亿美元，在DeFi生态中排在第四位。

金色财经统计发现，此次Balancer流动性池遭到闪电贷攻击是DeFi生态今年以来出现的第四次攻击。

此前在2月15日，DeFi贷款协议bZx被爆漏洞，导致一部分ETH丢失。

4月18日，Tokenlon发消息称Uniswap上的imBTC池遭到黑客攻击，此次攻击中损失了1,278个ETH。

4月20日，dForce旗下DeFi贷款协议Lendf.Me遭遇黑客攻击。24小时内，dForce锁仓资产美元价值从近2500万美元下跌100%至6美元。 

面对DeFi项目频频受到黑客攻击，安全如何进行保障？慢雾科技合伙人启富在做客金色直播间时表示，DeFi生态的安全需要三层策略进行保障。第一层是DeFi开发安全，第二层是DeFi安全审计，DeFi安全审计在第二层可以规避不少问题，将安全防御水平提高一个档次。第三层是更新迭代、持续运营的安全。只能说，经过安全审计的项目，可以让人更放心，不过也会存在黑天鹅——来自未来的攻击。

启富建议，在安全方面，项目的DeFi代码和计划接入的目标DeFi协议的代码，可以找同一家安全审计公司进行审计，这样可以发现更多业务逻辑组合场景下的安全风险。同时，强烈建议DeFi项目方发布Bug Bounty（漏洞赏金计划），对发现漏洞并主动报告的研究员进行奖励。海外的Bounty平台有Hackerone等，支持入驻并发布漏洞赏金计划。其实技术社区里大部分研究员都喜欢通过Bug Bounty的形式兑换自己的安全研究成果，毕竟如果去作恶，攻击成功后还要洗币、变现，以及担心被溯源。发现漏洞后通过Bug Bounty平台报告给项目方，和项目方友善沟通，这样拿赏金奖励可以更省心。