# 由Pizza黑客攻击事件聊起:如何提升DeFi安全性?| 非正式柚谈001期 By [EOS网络基金会](https://paragraph.com/@eos) · 2021-12-27 --- ![](https://storage.googleapis.com/papyrus_images/a50738e59ea1d222b81bfde7b7d4c7932940e429c16e0ab6d81df70fc5336f56.jpg) 2021年12月24日15:00,由EOS网络基金会发起的非正式柚谈(Talk With ENF)开播!本期我们邀请到了Pizza创始人官某为大家带来精彩分享,一起回顾12月8日Pizza遭遇黑客攻击事件,并聊聊DeFi安全、EOS网络性能、EOS DAO等一系列热门话题。 在此前的Twitter预热阶段中,用户可通过留言的方式向官老师自由提问,被官老师选中回答问题的用户每人将可获得 20 EOS 奖励,EOS网络基金会还将在完成Twitter任务的用户中抽取10位幸运用户获得10 EOS奖励。 本文为本次AMA活动的精彩内容回顾,内容有所编辑。 **Cathy:** ---------- 各位区块链生态的家人们,大家下午好!欢迎来到由EOS网络基金会发起的非正式柚谈(Talk With ENF)线上AMA活动,我是本次活动的主持人Cathy,来自EOS网络基金会的中国区团队。 非正式柚谈(Talk With ENF)由EOS网络基金会发起,旨在倾听、沟通、连接海内外区块链社区。EOS网络基金会将不定期邀请区块链行业优质项目领袖人物畅聊加密领域热点话题,分享加密技术发展趋势,揭秘加密世界背后故事。另外,每期节目EOS网络基金会都会为大家准备惊喜福利,积极参与直播问答即有机会赢取福利。 首期节目,我们邀请到的是EOS生态优质DeFi项目Pizza的创始人@官某官老师,让我们欢迎官老师自我介绍一下! **官某:** ------- 大家下午好,我是Pizza创始人官某,我是2018受朋友邀请从纽约回厦门开始在EOS做DeFi 的,我们的项目在2018年9月立项,9–12月确定项目发展实际方向并找投资人,12月正式开始做。 第二年4月,Pizza完成第一个产品USDE质押型稳定币,但当时是EOS发展还很初期,USDE没有多少应用空间,所以在2019年10月时我们发布了一个类似Uniswap的AMM闪兑;11月发布了一个挂单型Dex,然后在这个基础上第二年春天也试运营了一个杠杆交易功能。 后来因为杠杆功能和Dex功能感觉有比较多需要优化的地方,主要精力又开始放在借贷上,期间抽空做了个聚合闪兑和稳定币闪兑,然后这次黑客的事情主要影响的也是借贷功能。 **Cathy:** ---------- 让我们再次欢迎官老师的到来!话不多说,我们马上进入正题。 想必大家都有所耳闻,在12月8日晚上8点,Pizza遭遇黑客攻击,损失金额超过500万美元,事件一发生就引发了社区的热议,官老师能否向大家分享整个事件的过程,并分析一下黑客攻击的手段。 **官某:** ------- 那天是12月8日,白天的时候EOS社区形成共识停止向Block.one增发代币(把Block.one干翻了),所以那天还挺高兴的,大家一起出去吃饭,直到8:55分,在社区中看到一张截图,才发现出事了,立马打电话给技术,让他们先采取一些紧急措施。 后来追踪原因,发现是一个老外项目eCurve,做稳定币闪兑+ETH、EOS跨链桥的。半年之前,我和他们合作过,把他们作为Pizza的做市抵押物,当时有问过他们是否审计过,得到的反馈是大部分合约都审计了,但他们不只一个合约,其中就有一个合约社区正在讨论是否审计,当时我没考虑这么多。 本次黑客攻击利用了溢出漏洞,简单来说就是用户做市可以有无限的LP,黑客账户itsspiderman利用溢出漏洞在eCurve凭空增发tripool,然后用tripool在Pizza质押并借出大量代币。 在发现漏洞的第一时间,我就开始联系节点想要冻结账户,完成冻结用了四个多小时。但在此期间,黑客三四个小时内创建了一百三十余万个账户,每个账户转5、6块钱,将盗窃而来的资产分散出去。情况大概是这样。 **Cathy:** ---------- 感谢官老师分享。其实在这一过程中,我注意到的是:EOS公链真的是拥有强大的性能、超快的转账技术以及超低的转账费用,黑客在短短几个小时内创建了一百三十多万个账号,并且还能够把借出的代币分散到这些账号中。 这个速度在其它的链上是不可想像的,可能也只有EOS能够做到。对于这方面,官老师有什么见解? **官某:** ------- 首先,其实不管是我们还是节点,都对这次黑客能够在这么短的时间里面无缝创建一百多万个账户而感到惊讶,因为这真的太丝滑了。 因为你想想,这么多年来,EOS网络的账号数量大概在三百多万,黑客在短短时间内创建了137万个。我其实觉得这像是一种压力测试,而EOS顶住了压力。 虽然像是BSC、Solana这种号称高性能的公链,都没有经历过太多压力测试,而EOS走过牛市熊市,这样的测试经历的挺多的。因此我认为相比较其他高性能公链,EOS还是有一定自己的优势的。我认为如果后期EOS生态能够崛起,EOS性能的潜力是完全可以被挖掘释放出来的。 **Cathy:** ---------- 好的,谢谢官老师。当然我们也了解到,黑客攻击事件发生之后,Pizza也迅速采取措施,争分夺秒的联系节点、交易所、项目方共同追查,防止黑客转移资产。能否请官老师详细跟我们聊聊这一过程呢?你们都联系了谁?大家都提供了怎样的帮助? **官某:** ------- 当时我们先找了节点。我们找了EOS Nation,因为之前Vault.sx金库被盗,EOS Nation也是联系了各个节点冻结账号挽回损失,这也算是节点第一次联合起来冻结黑客,我想着EOS Nation可以告诉我怎样联系大家才能更高效,EOS Nation也在第一时间帮忙撰写提案。其中Newdex的前CTO也给予很大帮助,提案的最终版本便是出自他之手。 在写提案的同时,我也在积极联系各个节点,将黑客账号拉入黑名单。 最终在凌晨1点多的时候,节点通过冻结提案,但因为网络不稳定原因冻结失败,但当时黑客已经开始向一百多万账号转移资产了,因此现在冻结黑客账号也无所谓了。 当时有些万念俱灰、怀疑人生,当时解决方案无非就这几个: > 找黑客:黑客也很聪明,不会留什么蛛丝马迹 > > 黑客联系你:主动权在别人手里 > > 冻结137万个账户:感觉有些异想天开 > > EOS Nation提出:也许可以回滚网络,正好这几个小时没有特别重要的交易。但这也很不靠谱。 随后,我就跟慢雾的CTO进行一次见面深谈,最终我们确定冻结黑客137万个账户是最可行的,并且慢雾提议联系类似TPT等代币的项目方,要求他们先冻了代币合约,于是我给TPT的付盼打了电话,TPT也在第一时间冻结了其代币合约(约200万),在此也感谢付盼的鼎力支持。 接着,我们就开始搜集这137万个账户,这个过程非常艰难,因为再小的事情乘以137万倍,都不简单,我们还要确保这中间没有误伤,足足花了两天时间收集和测试,当然这其中也很感谢社区的帮助。 中间种种艰难先按下不表,到了11号,我们完成了核弹提案(就是能够一下子冻结黑客137万账户的超级提案),当时也得到了各个节点的支持。但是到了十一点多,黑客出现了。 当时黑客威胁到:如果你敢继续联系节点,我就把所有币都分散给普通用户账号。 听到这一消息的我再次感到有点崩溃,再次分析问题,我们决定继续执行核弹提案并将时间提前: > 一方面,当时与黑客谈判时,黑客和解的要价非常高(150万),慢雾团队给我们建议说:一般这种黑客攻击,和解的金额都在被盗资金的10–20%左右; > > 另一方面,都到这份上了,硬着头皮干吧。 到执行的时候,节点召开了非常严肃的讨论,并最终决定执行。但这时候,黑客发现了我们的动作,我也不想跟他多废话,直接提出了10%的和解金额。他还是继续威胁我,但当时我的心态有点破釜沉舟,决定执行下去。 12月12日下午四点,核弹提案通过 15家节点签名。在临门一脚的时候,黑客妥协,最终达成和解。整个交接过程还比较顺滑。 **Cathy:** ---------- 好的,感谢官老师这么详细的分享。EOS生态各方能够做到互相沟通,紧密配合,真的令人动容。据我所知,目前Pizza已正式开放,本次黑客攻击事件也算是得到很好的处理,保护了一众持币者的利益。未来,Pizza将采取哪些措施来防止此类事件的再次发生?另外,本次事件带来了怎样的教训与启发呢? **官某:** ------- 首先,Pizza没有出代码Bug,只是在选择质押物的时候出了点问题,这是我的疏忽,我也感到非常抱歉,以后在质押物选择方面我们会更加谨慎,另外我们后期还会推出一些限制措施,当发现特殊情况时能启动紧急措施。 安全无小事,Pizza上线这么久都没有出现过黑客事件,当时有些掉以轻心,这是这次事件的教训,也让我们对安全问题保持长期关注。 另一方面,在与节点沟通的时候,我也答应了事情解决之后,配合推进制定EOS节点维权/黑客攻击维权框架相关内容,接下来Pizza会尝试和基金会配合建立更完善的黑客事件治理框架,让EOS节点维权更有章可循,最大化DAO优势的同时将流程标准化,提高效率且限制权力滥用。 这个框架快的话,大概3–4个月就可以和大家见面。 **Cathy:** ---------- 感谢官老师的分享。说到DeFi安全,此前EOS网络基金会已投入110万美元成立API+、Wallet+、Core+和Audit+四个核心工作组,其中Audit+工作组的工作重心便是安全问题。 四个工作组将于2022年第一季度各自提交一份蓝皮书,帮助完善EOS网络基础设施和规划未来发展蓝图,助力EOS网络成为开发者首选开发平台。 此外,一周前,EOS网络基金会领导者Yves La Rose更是宣布第五个核心工作组为EVM+工作组,并强调EOS网络基金会目前工作的首要任务之一是实现EVM兼容性。EOS网络将很快实现与以太坊等公链生态系统的互操作性,推动促进EOS生态繁荣发展。 大家都知道,DeFi诞生于ETH并在ETH实现了野蛮生长,那么官老师,您认为ETH DeFi发展对EOS DeFi发展有哪些借鉴意义呢? **官某:** ------- ETH 的发展其实有很多社区推进的案例,ETH币价涨的时候,大家做事情也更有动力,这方面在EOS生态比较缺少,特别是开源这一块,ETH上所有项目必须要开源,EOS几乎没有开源项目。 Pizza这边,聚合闪兑我本来是想要开源的,但是因为本次黑客事件就拖延了,但是Pizza也会做出表率,推动开源工作。 对于EVM,如果有的话还是很不错的,生态门槛越低,潜在的开发者越多。 ETH现在是绝对的王者公链,除了ETH之前,EOS的对手可能还是Solana、波卡这种高性能公链,但他们币价表现都不错,EOS这方面都有点缺乏。但是Solana 和 波卡都没有经过熊市的考验,EOS经历过的挫折他们未来都会逐一面对。 在干掉了Block.one之后,EOS能够向好发展的话,其发展势头应该是不错的,因为毕竟留下来的都是铁粉哈哈。 **Cathy:** ---------- 感谢官老师的分享。我们知道最近DAO话题非常火爆,很多知名机构都预言DAO将在2022年大放异彩。所以接下来我想和官老师聊一聊EOS DAO的话题。 其实本次黑客攻击很容易让我联想到今年5月份EOS生态发生的另一起黑客攻击事件。 2021 年 5 月 14 日,黑客发起了一次复杂的攻击,从Vault.sx智能合约账户中盗取了100多万枚 EOS 和 46w USDT。涉及金额之大,若不能得到妥善解决,这将对EOS生态带来巨大打击。 作为EOS社区的领袖人物,同样也是EOS网络基金会的领导人,Yves La Rose在发现黑客攻击的第一时间联系节点和主要交易所,切断黑客账号交易资金的任何机会,同时向黑客提供10w USDT赏金,希望黑客归还资金。 但黑客并不领情,随后Yves当机立断,领导EOS各大节点封锁黑客账号,限制黑客的下一步操作,这才使得本次被盗资金最终全部追回。 两次黑客攻击都展现了EOS社区的团结一致,最终都得到了妥善的解决,这正是一个DAO带来的价值。在DAO话题热度居高不下的今天,EOS社区可以说是DAO的成功实践。 对于EOS DAO这个话题,官老师您怎么看? **官某:** ------- 这轮牛市热点一波接一波,NFT、元宇宙、GameFi、Web 3.0…现在又来炒DAO。 EOS DAO这个话题看怎么说,我们的超级节点确实非常DAO,但也有人会诟病EOS有点去中心化,嘴长在他们身上,他们想怎么说就怎么说。 我就以eCurve举个反例:他们所有的决策都需要经过DAO的同意,但秉承着多做多错、不做不错的理念,他们的DAO出现了效率低下、投票人资质不足等问题。 DAO的好处在于,能够把能量的聚集和扩散变得非常高效,前提是每一个节点都是健康的节点。 作为本次EOS DAO的直接受益人,之前很多人会说21个超级节点不做事,但这次联系他们,他们的响应速度也很快,包括交易所节点,也给到了很多的帮助。 像是在ETH上,你被盗了,这笔没了就没了,以太坊链在所谓的去中心化道德灯塔下已经完全沦为黑森林,弱者无法获得应有的保护,没有任何话语权。 EOS的DPOS机制通过DAO治理提供被盗项目方和用户找回资产的可能性,更具有人道主义优势。 对于去中心这个事情,没有完全的去中心化,任何原教主义都只是这个世界全貌的一部分,EOS利用自己的DAO优势完全可以发展出更认可这套规则的用户人群。 **Cathy:** ---------- 感谢官老师的分享,我们知道,此前,EOS网络基金会资助了11个EOS DeFi项目,希望助力EOS生态DeFi项目的繁荣发展,Pizza也是其中之一。在即将到来的2022年,能否请官老师跟大家分享Pizza有哪些发展规划? **官某:** ------- 首先是完善安全问题,进行安全升级,然后渐渐推进开源工作,最后是我们与EOS网络基金会合作的黑客事件治理框架完成。 另外一个比较大的事情是开发去中心化杠杆交易所。 **Cathy:** ---------- 感谢官老师的精彩分享,期待Pizza在2022年更出色的表现。下面,让我们进入本场活动的提问互动环节:在此前的Twitter预热阶段中,用户可通过留言的方式向官老师自由提问,被官老师选中回答问题的用户每人将可获得 20 EOS 奖励 在此我们先感谢大家的踊跃提问。现在5个幸运问题已出炉,让我们来看看大家都问了什么问题吧! **问题一:** ![](https://storage.googleapis.com/papyrus_images/623f494b1f4ba0bf6382433e5a07d9c831bc06c97be26147d97fce99cdbff37b.png) **官某回答:** 首先这次攻击黑客还是图钱的,要不然他也不会创建那么多账号。 对于项目方和用户而言,黑客行为和天灾是类似的。对于天灾其实我们最好的应对方式还是预防,至于抢险的情况具体怎么做大致方向就那么几种: > 找到黑客 > > 等黑客协商 > > 节点特殊权限 遇到纯粹想破坏的黑客也无非是这么几种应对方式,只是事件的恶劣程度和资产追回的困难程度上升了几个层次。 至于你提及的恶意破坏,那我们就要想一下黑客图什么呢?与项目方是有什么深仇大恨吗?常规预防的话,还是在代码层面和质押物审核方面做升级,比如增加借贷额度硬顶,阈值之类的额外限制等。其他的只能说项目方在日常里与人为善了,尽量不得罪人。 **问题二:** ![](https://storage.googleapis.com/papyrus_images/58015735f7cbc78035dca88afd08715322938add9c89bec1a9d4bb06e865870c.png) **官某回答:** 在整个EOS网络活跃程度不高、总资产量较低的情况下,Pizza借贷产生的收入是非常微薄的。除了借贷之外,Pizza的潜在营收有: > 节点收入(bp.pizza,欢迎大家投票); > > 聚合闪兑手续费(当前为 0%,以后收手续费对的话将是营收一部分); > > 正在规划的去中心化杠杆交易所(上线时间待定)。 如果我们把所有购买Pizza的人视作投资人,那么双赢的方式就是给Pizza节点投票,多使用Pizza的产品(借贷和聚合闪兑),然后就产品方面提出改进建议。如果没有改进建议说明很好用,那就多推荐给朋友。 **问题三:** ![](https://storage.googleapis.com/papyrus_images/486e4b27cbef645a205a52b4da0121ba552a56f5d41dac007ed966280e3a07f1.png) **官某回答:** 名义通胀率通常不是最大的问题,这里还有一个实际通胀率概念。 假设一个网络的名义通胀率是 3%,但是它的网络规模(通俗类比一个国家的人口或GDP)的增长率大于 3%,那么这个网络的经济反而是通缩的。所以你的问题其实应该是如果让EOS的网络规模的增长率在超过它的名义通胀率。 总而言之,通胀不是问题,通胀出来的钱花在哪里是大问题。这里面,通胀的大多数其实是被Block.one吃掉的,Block.one吃掉的通胀大于21个超级节点之和,但Block.one占着茅坑不拉屎(什么都不干),对EOS生态造成恶劣影响,这也是为什么社区坚决把Block.one踢出局的原因之一。 这个的话很重要的一点是它的技术开发速度,这个在过去两年里EOS几乎是停滞的,而最近由EOS网络基金会和BM 的Clarion团队大力推进,感觉可以期待一下。 现在EOS网络基金会有的放矢地投资在核心技术突破和生态点位上,目前已经成立了五个工作组,这方面详情可以咨询EOS基金会中国区的工作人员,目测很快就会有起色。 **问题四:** ![](https://storage.googleapis.com/papyrus_images/a1bbbf0d985e8a07ac654835e36494f161852ab566740c91ab6e2e77f07d28c7.png) **官某回答:** 首先我们不是因为行情好才做DeFi的,所以也不会因为行情不好而不做,目前新的业务是EOS上的去中心化杠杆交易。 支持我们一直坚持在这个赛道的原因,一部分是对朋友的责任,另一部分是对用户的负责。为什么一直在EOS生态原因呢?感情成分多一些吧,尤其这次黑客攻击,感觉收到了很多人的帮助,以后还是好好做事吧,感谢大家的帮助。 **问题五:** ![](https://storage.googleapis.com/papyrus_images/a7c0bd28ff605d58d58b99d7cd7c426d9a695c6f35be5aaf576a76c810d16f0d.png) **官某回答:** 没有任何审计能保证100%的安全,再厉害的代码,黑客团队不计成本的去研究你、攻破你,也只是时间问题。这不是一个是非题,这是一个数学题(花多少钱做安全)。 另外一方面,攻防是动态的,审计通常是一次性的,因此没有绝对的安全。 审计机构的可信度主要看历史积累,不同的审计公司有不同的职业素养及可信度。 **Cathy:** ---------- 感谢官老师今天精彩的解答,同时恭喜以上五位被选中回答问题的提问者,EOS网络基金会官方工作人员将会在活动结束后,主动联系大家,收集领奖信息并发放奖励。没有选中的也不要灰心,未来,EOS网络基金会Twitter将会开展更多社区互动活动,请持续关注我们 时间过得很快,转眼间,本期非正式柚谈(Talk With ENF)也进入尾声。 未来,EOS网络基金会相关工作仍将继续高速推进,期待在EOS网络基金会的帮助下,EOS生态能够开启蓬勃发展的下一章。 相约下一场非正式柚谈(Talk With ENF),我们不见不散。 关于EOS网络基金会 ---------- EOS网络基金会是一个非营利性的组织,旨在倾听社区声音、传达社区意愿并扶持社区优质项目发展,成为EOS社区的信息共享桥梁,并为EOS生态提供资金、技术、运营、未来规划、生态构建等关键基础设施支持,进一步发挥EOS作为世界上速度最快的治理型区块链的全部潜力。 * [EOS网络基金会Discord](http://discord.gg/eos-network) * [EOS网络基金会中文Twitter](https://twitter.com/EOSFoundationCN) * [EOS网络基金会中文Medium](https://medium.com/@EOSNetworkFoundation) * [EOS网络基金会中文电报订阅号](https://t.me/EosNetworkFoundation_CN) * [EOS网络基金会中文电报群](https://t.me/EOSCN) --- *Originally published on [EOS网络基金会](https://paragraph.com/@eos/pizza-defi-001)*