短短两三个月时间，DeFi就从小风口迅速成长为加密世界的基础设施。

DeFi在野蛮生长的同时，也暴露出了存在的问题——合约安全。

作为去中心化金融，它的安全性完全依赖于智能合约。

所以DeFi在刚爆发时，无数项目在FOMO情绪下大干快上，因此也就暴露出了合约安全问题。

据PeckShield统计，自6月份Compound开启流动性挖矿以来，DeFi领域因为合约安全问题至少造成400万美元的损失。

有意而为之的比如上线13小时就转走超120万美元的EMD（翡翠）。

当然更多还是无意间导致的，比如前两天发生的Soda（苏打水），400多个ETH被恶意清算。

不过目前合约已修复，并且团队赔偿了用户所有损失。

链茶馆以Soda为例，复盘合约漏洞从被发现到修复到赔付的惊魂48小时，希望能让DeFi参与者引以为戒，规避本不该发生却偏偏很常见的风险。

Soda苏打水——出道即巅峰

Soda是一个抵押借贷平台，9月15日在以太坊上创建，9月20日正式开挖头矿。

Soda开盘不到6个小时，就暴涨到了500美元，锁仓金额更是超过8000万美元。

很多由大机构背书的DeFi项目，其实也没有取得过这样的成绩，更何况这是由一支匿名团队开发出来的。

因为Soda的挖矿规则真的很有吸引力——双币制。

具体来说就是，用户可以用WETH挖矿SODA，然后抵押自己正在挖矿中的WETH，借出平台发行的合成资产SoETH，然后把SoETH换成更多的WETH，去挖更多的SODA。

简单来说就是……可以把本金放大3.5倍。

所以Soda刚出道就站到C位，但万万没想到这就是巅峰了，因为很快就被发现了合约漏洞。

吹哨人预警代码漏洞

9月20日下午5点，一个叫废X废的微博用户发出了关于Soda.finance（Soda）协议的风险提示。

“不要抵押WETH借SoETH，合约有漏洞，其他人可以随便清算你的借款单。”

废X废第一时间发现了漏洞，并告知Soda官方，而他本人却并没有利用漏洞来攻击获利（只是为了演示而清算了一个ETH）。

因为Soda官方没有第一时间回应，所以废X废选择将风险预警公之于众。

据链茶馆了解，Soda官方是在Soda的discord群里获知消息的，因为有用户把上述微博截图转到了群里。

但当时用户群里普遍认为是因为项目火爆而被人黑而已，所以也就没在意。

但在1个小时后，Soda官方确认了Bug的存在，引起了恐慌性的资金出逃。

当时WETH池中抵押资产超过1000万美元，借出的SoETH也接近700万美元。 (责任编辑：admin)