查看原文
其他

升级智能合约偷走黑客锁仓的资产,违背加密精神吗?

刘教链 刘教链 2023-06-03
‍前两天Blockwork的研究员Dan Smith爆出一个大料。据他研究分析,Jump Crypto利用可升级的智能合约,偷偷升级了锁仓合约,把黑客存在MakerDAO(著名的老牌锁仓借DAI的DeFi协议)的锁仓资产给反偷了回来。取回的抵押资产减去偿还的DAI,净收益据估计大概有1.4亿美元。[1]
之所以说是“反偷”,因为这笔钱据信来自于一年前(2022年2月初前后)发生的DeFi历史上最大的一桩失窃案。当时Jump Crypto旗下一个叫做Wormhole的跨链协议被黑。黑客偷走了12万枚ETH,当时价值大约3.2亿美元。[2]
按当前ETH价格1600美元计算,这次Jump Crypto反偷回来的1.4亿美元,大约有9万枚ETH。币本位来看回来了75%,还不错。
Jump Crypto官方并未承认本次操作是否与他们有关。不过,从资金流向看,这些被“偷出来”的资产,所流向的地址,据信就是Jump Crypto控制的。
另有人说[3],Jump Crypto这次是搞到了法院的指令,要求MakerDAO项目的实体Oasis配合执法的。
此次行动能够成功,是因为Oasis的自动化合约是可升级的。这意味着合约的实控者,即Oasis,拥有随时“升级”智能合约,从而改变其运行逻辑的超级权力。而黑客创建MakerDAO的抵押仓(vault),恰恰就是用的Oasis的自动化合约。
所谓“可升级”的智能合约,其原理非常简单。就是把用户的操作指令,转发给另外一个具体的“实现”合约。而可升级合约的实控者,可以改变这个“转发”的目标。比如从转发到A合约改成转发到B合约。这样,虽然用户侧没有任何变化,但是用户的指令执行已经从A悄然改成B了。
这次行动自然引起了业内的争论。
批评者说,DeFi所秉承的加密精神荡然无存了。“code is law”就是个笑话。事实证明,还是现实世界法院的指令胜过代码指令嘛!
赞同者说,既然Tornodo Cash的开发者都能被抓了坐牢,法院指令项目方悄悄改一改合约,追回被盗资金,又有什么值得大惊小怪的呢?
从大多数行业媒体的反应来看,就是轻描淡写,一笔带过而已。
DeFi并不D,那是不是沦为一个骗局?
行业发展十数年,依然是充斥着追逐利润的投机精神,而极少有人真正关心加密愿景的本质。
要么指证其他人有罪,要么你就有罪。中本聪十多年前就洞察了现实世界的这个潜规则,所以选择了匿名和隐退。
真正的独立自由是极为稀缺的。不是自己戴上几顶“去中心化”、“代码即律法”、“共识机制”的帽子,就能自然获得。
带着枷锁跳舞,是大多数人、大多数项目的常态。
这更加彰显了比特币的唯一和珍贵。
参考资料:
- [1] https://www.blockworksresearch.com/research/we-do-a-little-counter-exploit
- [2] https://blockworks.co/news/in-second-largest-defi-hack-ever-blockchain-bridge-loses-320m-ether
- [3] https://web3isgoinggreat.com/?id=oasis-rewrites-the-rules-for-jump-crypto
关注公众号后请添加星标,以及时收到文章推送。
(公众号:刘教链。知识星球:公众号回复“星球”)
(免责声明:本文内容均不构成任何投资建议。加密货币为极高风险品种,有随时归零的风险,请谨慎参与,自我负责。)

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存