10 月 13 日晚,DeFi 项目 Wine Swap 飞出黑天鹅。晚上 10 点上线的新项目, 在线上仅仅半小时后,正在挖矿的投资者们发现 Wine Swap 已经跑路。 「Wine Swap 当天晚上我参与了,一共投入了 20000 多 BUSD,大概挖矿进行了不到半小时,然后就跑路了」。Wine Swap 项目投资人「小马哥」告诉 Blocklike。 面对已经失联的项目方,几位蒙受损失的投资人组建起 Wine Swap 维权群,一部分人只能寄希望于交易所。
在小马哥对于 Wine Swap 跑路事件的描述中, 上线仅仅半个小时的 Wine Swap,便出现了网站无法打开、电报群被解散等现象: 「和我比较熟的七、八个人,被盗有几万 U 到 17 万 U 不等,虽然第一时间我们就向币安客服反映了情况,不过,都是去中心化的,很难保证追回,很多追查线索也容易中断,很多人已经感觉『凉凉』了。」
根据官方信息显示,10 月 13 日,AMM 平台 Wine Swap 于 BSC 上线,上线短时间内,便卷走全部资金,截至 11 月 2 日,用户损失逾 34.5 万美元。(现已被币安安全团队追回损失资金约 99.9%)。
目前,Wine Swap 这种情况并不算少,随着 DeFi 项目数量突增,DeFi 在代码漏洞、系统性风险、资产上链等问题上隐藏着的安全隐患逐渐暴露出来。
据区块链安全公司 PeckShield 数据显示,近几个月以来,DeFi 安全事件频发。其中,10 月份共发生 4 起 DeFi 相关安全事件,7月发生了 2 起,6 月有 4 起,4 月有 5 起。BSC是目前公链中跑路项目最少的,最大金额的一起就是WineSwap。 鉴于这些风险与用户资产紧密相连,DeFi 所面临的风险挑战,在某种程度上也成为了 CeFi 们的挑战。
如何能够挽回损失呢?
对于安全问题,Blocklike 采访到了慢雾安全团队,其称 :「追回被盗资产的难度大不大取决于攻击者在攻击前、过程、后等各环节是否做好足够隐藏,如:资金流向混淆隐藏、中心化平台上的账号相关信息伪装、社交媒体活动信息伪装等。任何一环节没做好,都会暴露最终真实身份。DeFi 跑路事件本来就挺多,哪里有钱,哪里就有犯罪。」.
慢雾安全团队认为:「在 Wine Swap 这里,币安的做法挺好的,打击网络犯罪,人人有责,区块链不是法外之地。」 以币安为例,在 Wine Swap 跑路事件中,交易平台们正在发挥着重要的作用。 链上信息显示,受损用户从 119 个不同地址将 19 种不同代币发送至 Wine Swap。该项目跑路后,合约(0xa1eaB5F255DD77fED0D8ea81748422ca7ab0eDc4)中剩余资金转移到了创建者地址(0x4BA023aA9196a354C008aD595F67e268420b7005)。
币安披露的信息显示,币安和 BSC 团队发现诈骗行为后,追踪了 Wine Swap 的资金流向,包括从 BSC 到币安链、再到以太坊的跨链转账,最终发现 Wine Swap 团队将其中一小笔资金转移到了另外两个交易平台和币安桥,成为了关键性线索。
经过币安的联系与沟通,各方冻结了相关资金,此时,大部分资金已被 Wine Swap 换成了稳定币、BNB、ETH 和 LINK。 到了 10 月 14 日,安全团队于细微线索中寻找相关诈骗人员的边缘信息,经过长时间的调查与多次反复确认,在币安经获取完整的证据链后,与 Wine Swap 相关人员取得联系。
为免受到执法部门的惩罚,Wine Swap 已于近期将相关款项退回至币安,此外币安联系的其他平台冻结资金也已将款项退回。
Blocklike 了解到,目前,Wine Swap 事件已暂时告一段落,币安通过对 Wine Swap 资金出入的分析,已找到受损用户并计算出实际损失金额,后将归还。
DeFi 热潮之下,在某种程度上,也给 CeFi 们带来了新的课题。在资产安全问题上,值得肯定的是,一些头部交易平台或头部机构为 DeFi 的安全「兜底」,给行业内增添了一份信心。 4 月 19 日,dForce 去中心化借贷协议 Lendf.Me 遭到黑客攻击。根据 dForce 官方披露的信息,被盗的第二日,来自中心化机构组成的安全团队在基于黑客攻击前后痕迹中,成功确定了黑客画像,并开始与国内外各方资源进行交叉对比,获得突破性线索,最终,黑客在重重压力下,与dForce 主动沟通并分批归还资产。
9 月 30 日,DeFi 类项「鲸鱼」跑路,资金流向图显示,该项目资金分别流向入币安的十个地址。后由币安海外用户联系交易平台并提供警方证明后,该资金被冻结。最终,帮助用户追回资金。 作为全球加密货币领域公认的交易所品牌,币安面对 DeFi 项目暴雷时的态度,展示出了其责任与担当,这样的社会责任感有助于行业生态良性发展,作为第三方的机构们,同样在对外发声:链上并非法外之地。
随着 DeFi 项目最依靠中心化力量追回资产的案例正在变多,很大一部分来自社区的观点认为,CeFi 与 DeFi 在多种层面上,呈现出了相辅相成的关系,有互相制约与互相依赖的组成部分,两者都有各自的优势和劣势,共同为市场提供差异化的服务。 不过,值得注意的是,像币安这类的追索案例往往需要耗费大量的人力物力,在前文所述的Wine Swap 事件中,就同时涉及了币安安全团队、OTC 团队、财务团队、BSC 团队、币安桥团队、收到资金的交易平台等多家机构。
同时,追回难度也与攻击者是否出现漏洞、相关交易平台的技术能力与态度、生态内机构合作等因素息息相关,追讨成功的概率难有定论。
此外,这也与交易平台的抗风险能力相关联,币安曾公开表示,在资产安全方向加大力度,创立 SAFU 基金、1000 万黑客赏金计划、持续多次举行密钥安全演习,以确保资产安全。 作为去中心化的一次尝试,BSC 的一些举措也受到了社区的关注,币安此前曾公开表示:未来币安智能链社区会为部署上来的优质项目陆续提供审计服务,未来会有标示将审计与未审计完成的项目进行区分,以供用户参考。
Blocklike 在此提示各位投资者,目前,去中心化项目仍在发展阶段,项目质量良莠不齐,除了仿盘以外,目前市面上出现了多种类型的风险及漏洞,参与 DeFi 项目仍需投资者们自身提高警惕。同时,操作 DeFi 项目时,一定要对项目本身进行足够的了解,检查安全审计,谨慎授权,避免资金出现无法挽回的损失。