Cover 被黑，DeFi 何以变成黑客取款机

新的一周，也是临近2021新年的时候，晚上看到了cover被黑客攻击了。

事情是这样的，黑客通过构造了一个和cover同名的假币，然后进行流动性挖矿，我们都知道流动性挖矿一般都会有一个LP TOKENS，黑客然后用这个 LP TOEKNS 进行质押，这样就套出了资金，这样就使得市场崩溃，cover代币价格暴跌。

说到这里这件事情还没完，在事情发生之后，交易所紧急暂停提币，事件在网上不断发酵，使得cover的 LP TOKENS 接近崩溃，黑客发行的代币数量太大，大约为4千万兆个，因此基本上可以判断，这次cover带来的损失是非常大的。

Cover之前名叫safe，是一个保险类的挖矿项目，根据非小号记录，Safe是一个针对保险类的挖矿项目，用户可以质押yNFT等代币来兑换SAFE代币。Yieldfarming引进了一种新型农业——保险采矿法。该项目的目的是鼓励农民为他们所押资产购买保险，并在平台上持有yNFTs的股份（通过yinsure.finance分配给他们）。作为回报，stakers将获得SAFE。

在11月1号，safe宣告失效，新的代币为cover协议，这是一个品牌塑造的过程，从这之后，cover一直受defi关注。

同样是去中心化的保险，cover和NexusMutua还是有所不同的，NexusMutual用户购买保单以后，无法将保单转给其他人，而Cover通过引入CLAIM和NONCLAIM token，让用户购买的保单可以交易，提高了用户的产品体验，这样一来，还能构建相应的流动性挖矿，而且NexusMutual还要对用户进行KYC认证的，显然cover并不需要。

然而这次cover自家合约漏洞被利用和上次NexusMutual还是有点不同的，NexusMutual是创始人被黑客盗币，NexusMutual智能合约还是比较安全的，但是这次cover则是自家的保险合约出现漏洞，这就显得有点打脸了，晚间黑客将4350枚以太币归还给cover官方，并留下了讽刺性的语句，这也让人们对智能合约的安全性感到担忧。

今年我们都成为defi爆发之年，defi的崛起虽然从18年到现在已经经历了三年多，但是从智能合约的安全性来看，其实已经算是比较长足的进步了。然而现在看来，这还远远不够，defi合约的安全性仍然是需要不断关注。

Defi目前主要有以下特点：

1、合约运行状态是公开透明的，不管谁怎么操作，这都能够链上查询出来，而不是像中心化交易所那样，数据不透明，使得人们看不清市场状态。

这虽然有一定的好处，那就是资金公开，便于投资者研究，但是一旦出现问题，那么也没法掩盖，比如中心化交易所遭遇盗窃的时候，如果资金不大，其实他们根本不会公开出来，只有资金量大的时候才会公开，而defi不用任何人公开，只要有人关注，自然会第一时间发现。

2、一般defi项目的合约代码也是公开的

因为defi项目需要透明化，因此如果代码不透明的话，那么这样会使得用户的不信任感增加，因此一般来说，项目方都要将部分或者全部合约代码公开，以便能够接受监督。

但是对于普通用户来说，很多人可能并不会去看代码，但是对于同行或者其他黑客来说，这就是一个宝库，因此他们会仔细研究项目的代码，以便找到相应的漏洞或者套利方法，从而编写相应的合约来进行盈利。

这里需要注意的是有的是针对合约套利的，大部分人称这样的人为defi科学家，还有一部分就是利用defi中的代码漏洞使用欺骗的方法进行盈利，这种我们一般称为defi黑客。

这就和早期的linux操作系统类似，linux是开源的系统，在经过全世界一群开源爱好者不断的更新和维护之后，直到今天也不会说这个系统是安全的，只能说linux上的系统可定制化比较高，不同的用户有不同的设置，然后相应的策略来应对黑客的行为。现在linux上的安全性相对比较好，那是因为在长时间的不断迭代之后才有的成绩，而以太坊智能合约EVM目前还比较新颖，因此相应的自然要有一定的时间来进行“进化”。

=其实不管是是什么，只要有资金的地方，透明性较高，那么都会出现这样的状况，defi不断被黑，其实这就是目前发展必然经历的一个阶段，defi现在还处于一个不够成熟的时期，这部分时期是任何方法都没法跳过的，主要原因是这部分没法去采用前人的经验去借鉴，因此只能走一步是一步，这样一来自然defi上发生的问题就比较多了，但是从长远角度来看，这对defi未来发展成熟是有一定好处的。