88mph 攻击事件始末

　　11 月 16 日，固定利息加密借贷协议 88mph 启动流动性挖矿。

　　根据官方公告，此次流动性挖矿将持续 14 天，用户可通过存款和购买浮息债券获得其原生代币 MPH，通过在 Uniswap 上为 MPH/ETH 交易对提供流动性赚取更多原生代币 MPH，88mph 将通过此次挖矿计划总共分配 88,000 MPH，每日分配约为 6285 MPH。

　　就在流动性挖矿启动后两日，一名攻击者利用 MPHMinter 的合约漏洞试图盗取其在 Uniswap 流动性资金池中的所有 ETH，结果被著名白帽 samczsun 发现并通知了项目方。

　　开发者随即暂停了流动性挖矿，将 ETH/MPH 池中的资金转移到治理多签钱包中，以保持资金安全，并在不到 24 小时的时间里永久修复了漏洞。

　　与此同时，由于开发团队冻结了该名攻击者放在 MPH 债券合约中价值 10 万美元的资产，并决定将这些额外的收益分配给流动性提供者，此次向流动性提供者空投的 ETH 包括本金和攻击者的部分 ETH。也就是说，这一次攻击用户财产不仅没有损失，反而还小赚一笔。

　　截至目前为主，88mph 已宣布将于北京时间 11 月 21 日凌晨 4 点重启第二轮流动性挖矿，新启动的流动性挖矿同样持续 14 天，将向参与用户分发 88,000 MPH 代币。

　　值得一提的是，88mph 的开发者 Zefram Lou 背景坚实，涉足包括 Betoken 在内的多个区块链应用的核心开发，擅长以太坊 dApp 开发，熟练掌握 Python、Java，以及 Web 与 iOS 开发，热衷于区块链、机器学习、虚拟 / 增强 / 混合现实等，涉足的项目包括反大鲸 DAO 组织 WhalerDAO 、无损捐赠协议 PoolDAI 和 DAO 平台 Fantastic12。

　　事实上，88mph 早前就已通过 Quantstamp 的安全审核。根据 Quantstamp 出具的安全审核报告，88mph 的存款和债券智能合约已通过 Quantstamp 审核，其流动性挖矿和质押合约则是从 Synthetix 分叉而来。所有合约的所有权均已转移至 Timelock 合约。（Timelock 合约地址：0x4027d912A19E3Cd540FB580aF6A9088eAC738566#code）

　　此次安全审核中，Quantstamp 总共发现了 16 个问题，其中，高风险问题有 2 个（已解决），中风险有 1 个（已解决），低风险问题有 8 个（已解决），信息风险问题有 3 个（已解决）。

　　虽然遭遇安全漏洞攻击，但这个名为「88mph」的项目仍有可圈可点之处可以看出，通过 Quantstamp 安全审核的仅仅是存款和债券智能合约，被攻击则是由 MPHMinter 合约漏洞导致。

　　这再一次提醒我们，在参与高回报的 DeFi 挖矿策略游戏时，应把安全看作是头等大事，即使团队开发经验丰富，合约已通过审核，也不能保障百分之百的安全。

　　不过，刨去安全风险，这个名为「88mph」的项目仍有可圈可点之处，以下简要介绍 88mph 有何独特之处、实现原理、独特的经济模型，以及刨去安全风险，这个项目的流动性挖矿是否值得参与？ (责任编辑：admin)