社区声音：复盘Vault.SX被盗始末，我们学到了什么？

5月14日，一场发生在EOS DeFi聚合项目Vaults.sx的黑客攻击事件掀起社区热烈讨论，涉及资金高达1180142枚 EOS（折合1300万美元）和461796 USDT。众说纷纭之余，社区成员对于本次黑客事件的谈判处理方式更是津津乐道。

Github用户Dexaran发文复盘了本次Vaults.sx被盗事件始末，详细阐述了EOS Nation与黑客谈判的过程以及此次事故带给EOS社区乃至整个区块链行业的启示。

EOS Go整理了Dexaran文章的精彩内容，一起来看一下吧！

盗币事件始末

在Dexaran的文章中，Dexaran整理了本次黑客攻击事件时间轴：

2021 年 5 月 14 日，黑客发起了一次复杂的攻击，从Vault.sx智能合约账户中盗取了1180142枚 EOS（折合1300万美元）和461796 USDT。

点击此处查看黑客攻击的具体细节

被盗事件发生后，事件相关方EOS Nation立即做出反应，提出了赏金计划，并将赏金计划的具体细节在链上以memo的形式进行了广播。

赏金计划内容是：

EOS Nation向发现flash.sx智能合约上攻击漏洞的白帽黑客提供100000美元的赏金。

一旦1180142.5653 EOS和461796.8968 USDT返回到flash.sx账户，奖励就会转到白帽黑客选择的任意账户。

点击此处查看赏金计划Memo内容#1 点击此处查看赏金计划Memo内容#2

但赏金计划发布后，攻击者并不买账，并开始大量创建新的 EOS 账户，企图将资金进行分散，以加大追踪难度。

2021年5月15日上午06:11:10，为了挽回损失，EOS上的BP们联合多签更改了攻击者账户的私钥，修改权限后，该账户私钥完全由BP们控制。至此，攻击者完全丧失了对被盗资金的控制。目前资金仍在攻击者的账户上，正在等待退还给用户。

事情发展到这一步，本次黑客攻击资金被盗事件基本得到了解决，EOS Nation也发布了了相应声明：

Vaults.sx资金很安全。Vaults.sx和flash.sx智能合约是开源的、多签形式的，并通过了安全审计，但是未识别出漏洞。目前所有资金都是安全的，并将退还给存款人。

点击查看EOS Nation声明原文

黑客为何没有接受EOS Nation的悬赏？

在在Dexaran的文章中，Dexaran也分析了黑客没有接受EOS Nation悬赏的原因。他这样写到：

如果你们问我，如果我是黑客的话，我会接受这样的提议吗？我认为我的答案是否定的。

Dexaran认为，EOS Nation 的提议并没有展示出对黑客单方面的基本尊重，是不恰当的悬赏提议。不论是赏金的数额还是赏金的支付程序都存在不合理的地方。

第一个不合理的地方是：

100000 美元赏金虽然是一笔不小的数目，但是找到智能合约的漏洞并发起攻击需要很高的专业水准，攻击者很有可能是网络安全方面的专家，这种人才的月薪一般在 10000 至 20000 美元之间。如果攻击不是由一个黑客，而是由三个黑客合作完成的，这 100000 美元的赏金连他们两个月的薪水都不到。此外，如果把此次事件的影响力考虑在内，向持有1300万美元被盗资金的“白帽黑客”仅仅提供 100000 美元的悬赏奖金实在是过于小气了。一般来说，提供的赏金应不少于所盗取资金的10％。

另一个不合理地方在于：

EOS Nation 对外宣布的悬赏程序大至是这样的： 首先黑客将所有的资金原封不动返还， 然后EOS Nation将悬赏发送至黑客账户。这样的流程对于黑客来说显然是风险更高、更无保障的，大多数黑客都不会考虑这一提议。

普遍来说，正确的悬赏流程应该是这样的：请求黑客将90％的资金退还到受攻击的账户中，在这种情况下，大家便会认为您是白帽黑客，剩余的10％资金作为奖励。

对黑客的一些看法

对于本次盗币事件，Dexaran也分享了他对于黑客的一些思考。

Dexaran认为：毫无疑问，黑客的存在对生态系统是有益的。他们用敏锐的目光“审查”代码漏洞，使得开发人员在代码发布前就要保证万无一失。

但是，如果黑客过于贪婪和无礼，那么他们很可能一无所有，尤其在EOS 主网这种具有极强一致性的加密货币网络中。

贪婪是所有人的敌人，如果黑客由于贪婪而越过了适当的界限，盗取了过多的资金，生态系统将会遭受重大破坏，那么整个网络的利益相关者便会团结起来，尽可能的采取相关措施来挽救损失。只要持币者同意，一切皆有可能。这次的盗币事件对于黑客来说就是一个典型的例子：

不要太贪心！若盗取的资金越过社区能够承受的底线，社区会达成共识完成反击。

此次事件对我们的启示

尽管此次遭受攻击的Vault.sx智能合约实际上通过了慢雾科技的安全审核，但这并没有将此类被盗事故扼杀在摇篮里。

为了寻求更好、更安全的解决方案，Dexaran建议引入分层安全性的概念。

• 自动化异常检测系统

这样的系统是一种用于检测用户行为的算法，比如在短时间内从合约账户中提取的资金超过30％，则很有可能这是黑客攻击的结果。自动异常检测系统完全可以暂时驳回此次提款，转而采用人工审核，或者关闭提款通道。这种方法虽然无法阻止攻击，但可以降低损失。不幸的是，现有的智能合约中几乎根本从不采用这种异常检测系统。

• 智能合约保险

恶意攻击并非总是可以预测的，也并非总是可以通过软件来最大程度地减少损失。然而，我们的最终目标不是防止恶意攻击，而是保护用户的资金。开发人员可以将责任完全委派给专业的保险公司，如果发生黑客入侵，他们的损失将由保险公司赔偿，代价是增加了投保费等成本。

DeFi未来发展畅想

最后，由于本次被盗币的是一个DeFi项目，Dexaran也在文章中谈了谈他对DeFi的看法。

Dexaran表示：当前的DeFi生态更像是一个“西部世界”，安全事故一直是家常便饭。

在这种无需许可的去中心化金融系统中，绝对的安全性似乎是一种奢望，毕竟“绝对安全的代码是不存在的”。Profi或许才是DeFi的最终形态 ，通过设立KYC智能合约，增加准入门槛，确保资金的合法归属，可以达到不亚于传统银行系统的安全级别。

结语

本次盗币事件也引起了BM的注意，一直致力于推广更自由的民主理念的BM呼吁BP们联合起来更改账号权限，他在推特上发文表示：

我们对该账号执行制裁，就像ETH执行DAO的意图一样。查看原文

这是EOS社区联合起来坚持代码初衷、维护持币者权益的一次创举。目前被盗资金处于安全状态并会陆续返还至用户手中。EOS Go也会持续关注，为大家带来本次盗币事件的后续进展。

精品新闻