事实证明，许多事情，不一定要“活久见”，而是要活在恰逢其时的年代。

2020年，我们与90岁的巴菲特一起，第一次经历了席卷全球的残酷病毒；第一次见识了史无前例的美国股市连续熔断；第一次看到了不可思议的“负油价”和“买油买到倒欠银行几百万”的欲哭无泪。

就在4月21日，我们又见证了一笔价值1.75亿元人民币的数字资产从被盗，到中转，最后“物归原主”的奇幻之旅。这注定是一个可以改编成电影剧本的故事。

“头孢配啤酒”式的致命伤害

首先，我们试图向圈外的读者来说明一下什么是“数字资产”。

我们知道上帝创造了黄金、白银这些不能吃、不能喝，作用也比较有限的石头；而人们在漫长的历史中，将这些石头“共同认为”是财富与价值的度量衡。

10年前，一个或者一群叫“中本聪”的人创造一个同样不能吃、不能喝，但是代表人类当前最高智慧结晶的数字货币，人们称之为比特币。比特币一经问世，就收获了一些人的共识，具备了价值，随后还有包括ETH、ETC、BCH在内的为数不多的数字货币，也取得了人们的共识，人们称之为数字资产。

这些数字资产，可以随时在火币、币安等交易所变现为等价的法定货币。这与大家身边每天有人推荐投资的“区块链”，那些可以让人“一夜暴富”的所谓“数字货币”，真的是完全不同的概念。

说完这个前提，我们可以开始故事了：

两天前的4月19日上午，亚洲地区最大的DeFi平台dForce旗下的贷款协议Lendf.Me遭到黑客攻击，导致价值约1.75亿元人民币的真正的数字资产被洗劫一空。

人们或许会问，区块链不是号称最牛逼最安全的吗，为什么还会遭遇黑客呢？管理1.75亿元资产的区块链平台，为什么会如此不堪一击？

区块链虽然安全且牛逼，但是基于区块链的许多技术还是太年轻了。

具体技术方面的问题，讲多了实在枯燥。大致情况是，黑客利用ERC777合约和DeFi平台的兼容性问题，在Lendf.Me上多次调用重入攻击，并以imBTC进行不断的重复抵押，将Lendf.Me上价值1.75亿元的资产洗劫一空。

整个事件中，ERC777合约本身并没有问题，它是一个牛逼到可能颠覆现有银行体系的智能合约。dForce旗下的Lendf.Me本身也没有问题，他是由华人创办的当前最牛逼的DeFi平台之一，由全球首屈一指的安全机构PeckShield进行安全审计。

然而，当Lendf.me加入了基于ERC777的imBTC，由于ERC777合约与DeFi协议的兼容性问题，黑客的机会就来了。

ERC777标准扩展的功能之一是提供了“hook”机制，“hook”函数能够在一笔交易完成前后将通知发送给交易双方，并允许其取消交易，确保了交易相对的客观公正。因为“hook”函数通知是需要操作时间的，黑客就利用这一点，发起重入攻击，在用户一笔交易未完成的时候，又发起一笔新的交易，扰乱了原有的交易节奏。

形象来讲，就是头孢遇上了啤酒，头孢本身是好药，啤酒也是好酒，但是头孢配上了啤酒，就可能出现双硫仑样反应，严重者会致死。

头孢配啤酒，一喝到永久。

区块链圈的“拯救大兵dForce”行动

攻击事件发生后，搞砸了1.75亿的dForce团队并没有“甩锅”或者“跑路”，而是第一时间组织起圈内有史以来最声势浩大的一次“追币行动”（不知道有没有代号）。实际上，dForce的两位创始人杨民道和许昕，都是业内的“教父”级人物，而dForce本身，也代表了DeFi领域至少中国范围内“全村人的希望”，它不能也不应该垮掉。

一时间，整个区块链圈开启了一场“拯救大兵dForce”行动：

首先，dForce通过其投资人（Multicoin Capital、CMBI、火币资本等）紧急联系了各大稳定币资产发行方和去中心化金融协议团队。

接下来，官方开始联系各大中心化交易所和钱包等合作方的高层，要求将黑客地址以及相关涉案账号加入监控并冻结被盗资产。

其中，dForce的意向合作方，Conflux项目的联合创始人张元杰通过个人关系联系到USDT发行方Tether的高层，希望他们能够设法锁定或冻结涉及该起事件的USDT资产。

4 月 19 日下午，dForce、星火与 imToken安全团队在线下集结，并与慢雾远程连线成立临时安全团队，开始进行资产追回。

另一方面，在杨民道和许昕的影响力之下，整个中国地区以太坊技术圈都默默行动起来，一张指向涉事黑客的天罗地网悄悄张开……

4月19日晚间，感受到压力的黑客在链上留下信息“Better Future”。随后，黑客向 Lendf.Me Admin地址转回大约价值200万美元的数字资产。

4 月 20 日，基于黑客在攻击前后留下的痕迹，联合安全团队成功确定了准确的黑客画像，并开始与国内外各方资源进行交叉对比，获得突破性线索。随后，dForce官方在推特上发布了一堆“符号码”，疑似通过“密码”向黑客喊话或者进行“谈判”。

4 月 21 日 13 点 33 分，按照官方说法，“黑客在重重压力下，与我方主动沟通，所有资产被成功找回”。当天晚间dForce表示：“整个过程中，dForce 团队未曾获得任何合作方向我方提供的用户敏感信息，向给我们提供了支持和帮助的合作伙伴、用户和投资人致以最诚挚的感谢。”

一个“重重压力”，道尽了黑客的艰难处境：真实身份接近被掌握，所有数字资产变现的渠道接近被完全封堵，仿佛听到四周都有人在喊话“里面的人听着，你已经被包围了……”

“中心化真香”的反思

事件已经有了一个良好的结果，但是留下的影响，无疑是巨大的。除了老生常谈的“安全问题”，更值得反思的一点是，到底什么才是真正合适的“去中心化”？

整个“1.75亿”黑客事件中，我们看到的种种情形，被业内人士戏称为“去中心化借贷、中心化抓人”，“中心化，真香”！试想一下，假如没有中心化的新加坡警方的介入，没有大型中心化交易所的“KYC认证”，没有中心化的“IP上网痕迹”等等，黑客还真有可能逍遥法外。

DeFi到底应该追求怎样的“去中心化”，这是一个非常深刻的问题。

在未来理想化的DeFi场景下，我们的绝大多数链下资产和个人信用，都将在政府法定背书的前提下实现“上链”。我们的借贷业务不再需要银行，而是藉由庞大的DeFi借贷市场，通过抵押数字货币、“上链资产”或藉由个人信用实时获取需要的法币资金。受监管的智能合约平台仅需要少量的维护人员，只需收取不到当前“息差”十分之一的手续费，从而为实体经济解放大量人力资源，降低巨额成本。

在这样的场景下，我们实际上反而更需要的是，更强有力、更智能高效的中心化政府与监管部门，来实现和执行“链上资产”与实物资产的映射和转移，来防止作恶的发生。

假设一下，在一个纯粹去中心化的系统里，如果没有人能够阻止作恶，假如真的是纯粹的“Code is Law”。那么是不是谁写代码最牛逼，谁就可以为所欲为？实际上，或许我们所需要的，只是中心的“透明可视化”，一种中心可以阻止作恶但自己无法作恶的理想机制。

进一步猜想，此前一切中心化的“恶”，大多源自信息的不对称和不透明，而区块链技术所要解决的重点，或许就是信息不对称与信息透明的问题，从而由此共建一种群体性的“善的中心化”。