今日推荐 | 曹寅：Lendf 事件如同阿波罗 13 号，向 DeFi 探险者致敬

DeFi 协议是我们飞向自由空间的飞船组件，DeFi 协议开发者们担当的是飞船工程师角色，而 DeFi 的复杂性已经超过了 DeFi 的成熟度。

原文标题：《DeFi Reiew：休斯顿，我们有麻烦了》
撰文：曹寅，数字文艺复兴基金会董事总经理

如果未来，全人类有机会使用各种自由开放的 DeFi 服务的时候，应该感谢在过去历次黑客攻击事件中受损的 DeFi 用户，以及各位孜孜不倦，不忘初心的 DeFi 开发者们，这段激动人心的旅程永远肇始于这些探险者和建造者们踏出的第一步，向他们致敬。谨以此文向各位 DeFi 用户致敬。

Huston，We Hae a Problem

1970 年 4 月 13 日 21 时 7 分，在前往月球的阿波罗 13 号发射 55 小时 52 分之后，位于休斯顿的地面控制中心向已经进入太空的飞船传递了打开风扇、搅动低温氧气箱的指令。

于是，阿波罗十三号的宇航员在飞船发射后的 55 小时 53 分 20 秒打开了低温氧气箱的风扇。

但只过了 2.7 秒，飞船就发生了猛烈爆炸。

阿波罗 13 号上的三个宇航员当时就懵了。宇航员斯威格特马上向地面指挥中心报告并说出了那句被无数人借用的**台词：

休斯顿，我们有麻烦了。 （Huston，we hae a problem.）

DeFi 的休斯顿时刻

在阿波罗 13 号爆炸 50 年之后的今天，人类向数字空间的探索也到了休斯顿时刻。东半球最重要的 DeFi 借贷协议 Lendf.Me 今日遭受严重攻击。

黑客攻击利用了 ERC777 标准的 imBTC 在 Lendf.ME 协议组合产生的漏洞。

imBTC 是 imToken 推出的以太坊区块链上的 BTC 代币，ERC777 是在 ERC20 基础上推出的代币标准，兼容 ERC20，并在 ERC20 的基础上增加了一些新的特性。

imBTC 本身并没有安全问题。但 ERC-777 代币与 Lendf.Me 合约组合，就会产生重入攻击漏洞。

黑客利用漏洞，在 Lendf 上重复铸造出了 6700 多枚假的 imBTC，并以此为抵押，将 Lendf.Me 上的资产洗劫一空，并立即不断通过 1inch.exchange、ParaSwap、Tokenlon 等 DEX 平台将盗取的币兑换成 ETH 及其他代币，还将其余部分赃款转入了借贷平台 Compound 和 Aae。

Lendf 的借贷余额中出现 6732.91 枚虚假 imBTC

据安全审计企业慢雾科技初步统计分析，Lendf.Me 被攻击累计的损失约 24,696,616 美元，具体盗取的币种及数额为：

WETH: 55159.02134,
WBTC: 9.01152,
CHAI: 77930.93433,
HBTC: 320.27714,
HUSD: 432162.90569,
BUSD: 480787.88767,
PAX: 587014.60367,
TUSD: 459794.38763,
USDC: 698916.40348,
USDT: 7180525.08156,
USDx: 510868.16067,
imBTC: 291.3471

被攻击后，Lendf 锁仓资产美元价值瞬间下跌 * 至 6 美元，而此前的锁仓总价值超过 2490 万美元。此次攻击不仅造成了大量用户损失（包括我在内），更是严重打击了 DeFi 开发者和用户对于 DeFi 应用的信心。

攻击发生后，全球加密社区内充斥着恐慌和愤怒，而一些本来就因为各种原因对 DeFi 有所偏见的人更是趁机落井下石，其中不乏一些根本对 DeFi 不了解的狭隘人士。

Lendf 的事故有其自身在责任原因，在调查结果出来之前，我无意在此展开，但 DeFi 本身的发展阶段性问题是更关键的事故原因，我们必须认识到：DeFi 的复杂性已经超过了 DeFi 的成熟度。

自从去年上半年 DeFi 大爆炸以来，DeFi 世界的新资产和新协议如雨后春笋一样冒出来，我每天都通过 Twitter 和媒体监测**出现的 DeFi 应用。最近三个月来，我看到 DeFi 新应用和新资产正以至少每天两三个的速度涌现，而 DeFi 协议之间的可组合性，使得 DeFi 的复杂性更是呈现指数级别增长，协议互相之间的影响已经超越了单纯的乐高积木组合方式。

但与此同时，全球 DeFi 团队和用户对于协议和操作安全的认识，还仍然以乐高积木的线性方式增长，所以，我们最近才会看到越来越多的安全事故，包括但不限于 bzx 的闪电攻击，MakerDAO 0DAI 拍卖。

而 Uniswap 和 Lendf 的 imBTC 重入攻击，则仅仅是这种成熟度和复杂度增长曲线不匹配现象的又一必然结果，就如同当年阿波罗 13 号的事故。

据 NASA 的调查团队事后发现，阿波罗 13 号发射前，指令舱进行过多项改进，其中之一是将氧气箱中的加热器电压由 28 伏提高到 65 伏，但加热器上的热稳定开关没有进行相应的修改，电压仍然是 28 伏。当工作后，热稳定开关就融化了，于是，悲剧就发生了。

这和 Lendf 的 imBTC 重入攻击多么的相似啊！都是由于新的系统组成部分同旧系统之间的不兼容而导致的灾难，Lendf 根据开源的 Compound 协议开发，当初开发者并没有意识到 ERC777 的出现，接入 ERC777 格式的 imBTC 的结果就像阿波罗 13 号的氧气箱一样发生了爆炸，但独立的来看，imBTC 和 Lendf 的代码，阿波罗 13 号的氧气箱和加热器开关都没有问题。

阿波罗 13 号发射的时期，正是人类太空技术大跃进的时代，在依赖极度原始计算机设备甚至人工手算的年代，美国人倾尽国力，耗费上万亿美元，开发了上万种航天设备和系统，并将其组合成阿波罗系列飞船以及承载飞船的土星五号火箭，以当时的技术水平，阿波罗计划不可不谓之奇迹。

但即使强大如美国，阿波罗计划也难以避免复杂度指数曲线和成熟度线性曲线之间不匹配而导致的灾难性结果，以社区开发力量为主的 DeFi 又怎么可能避免必经的发展阶段挑战？

向探险者致敬

我们不应为 Lendf 或者 Maker 的事故而对 DeFi 失去信心，阿波罗 13 号的失败之后，NASA 并没有取消阿波罗计划，美国人也没有因此停下对太空探索的步伐，深刻反思之后，NASA 又发射进行了多次成功的阿波罗任务，之后还建造发射了更伟大的国际空间站。

区块链和 DeFi 对于人类的意义并不亚于太空探索。太空探索是生产力的革命，让我们可以离开地球，飞向太空，而区块链和 DeFi 则是生产关系的革命，让我们可以摆脱中心化的束缚，掌握自己的数据和财富**。

DeFi 协议就是我们飞向自由空间的飞船组件，DeFi 协议开发者们担当的是飞船工程师角色，而最重要的宇航员，则由 DeFi 用户们担任。所有参与者，无论开发者还是用户都扮演了伟大的角色，无论结果，都值得尊敬。

在尊敬之余，我们现在必须立刻意识到，DeFi 的发展已经进入了危险区域，开发者们应该放下各种门户之见和利益立场，携手合作，设计打造出更安全的 DeFi 飞船，为飞船上的用户负责。

在这次 Lendf 攻击事件发生后，很多 DeFi 开发者和交易所都主动出手帮助 Lendf，但某些 Lendf 的竞争对手项目方不仅不愿提供帮助，还第一时间发推讽刺 Lendf。

当年阿波罗十三号发生事故后，整个美国都在想办法帮助三名宇航员，连美国的敌人，苏联，也主动向美国提供帮助。同苏联相比，Lendf 竞争对手这种行为不仅刻薄，而且不智，现在的 DeFi 探索已经进入了深水区，全球所有项目方，无论是否有竞争关系，其实都是在一艘飞船上，即使不出手帮助，也不应该出言讽刺，**伤害的是所有用户对于 DeFi 的信心。

没使用过 DeFi 的旁观者也不必因为频发的黑客攻击，而对 DeFi 开发者和用户冷嘲热讽。如果没有 DeFi 开发者和用户的努力和牺牲，何来安全高效的开放金融应用？更何况，现在的 DeFi 用户很多本身都是 DeFi 开发者，工程师们自己也坐在飞船上。

如果未来我们的后代到达比月球远得多的地方时，他们会想起阿波罗十三号的三名宇航员：詹姆斯-A-洛威尔、杰克-斯威格特和弗雷德-海斯，以及挑战者号和哥伦比亚号航天飞机上牺牲的宇航员。

如果未来，包括南美，印度，非洲在内的全人类，有机会使用各种自由开放的 DeFi 服务的时候，也应该感谢在过去历次黑客攻击事件中受损的 DeFi 用户，以及各位孜孜不倦，不忘初心的 DeFi 开发者们，这段激动人心的旅程永远肇始于这些探险者和建造者们踏出的第一步，向他们致敬，Huston, we SOLed the problem。