短短两三个月时间，DeFi就从小风口迅速成长为加密世界的基础设施。

然而，DeFi的迅速发展也暴露出了存在的问题，其中一个重要问题就是合约安全。DeFi的安全性完全依赖于智能合约。因此，在DeFi刚爆发时，无数项目在FOMO情绪下盲目行动，导致了合约安全问题的暴露。

据PeckShield统计，自6月份Compound开启流动性挖矿以来，DeFi领域因合约安全问题至少造成了400万美元的损失。有的项目甚至上线仅13小时就转走了超过120万美元的资金。当然，也有一些问题是无意间造成的，比如前两天发生的Soda，400多个ETH被恶意清算。不过目前该合约已修复，并且团队赔偿了用户的损失。

以Soda为例，复盘了合约漏洞从发现到修复到赔付的惊魂48小时，希望能让DeFi的参与者引以为戒，避免那些本不该发生但却很常见的风险。

Soda是一个抵押借贷平台，在9月15日在以太坊上创建，在9月20日正式开启挖矿。Soda的短期表现非常出色，开盘不到6个小时就暴涨到了500美元，并且锁仓金额超过了8000万美元。尽管许多得到大机构支持的DeFi项目也没有取得这样的成绩，但Soda却由一支匿名团队开发。这得益于Soda的挖矿规则，即双币制。用户可以用WETH挖矿SODA，并抵押正在挖矿中的WETH，借出平台发行的SoETH，然后将SoETH换成更多的WETH，继续挖矿。简单来说，就是可以将本金放大3.5倍。

然而，Soda的巅峰很快就被发现了合约漏洞。一个名为"废X废"的微博用户在9月20日下午五点发出了关于Soda协议漏洞的风险提示。他第一时间发现了漏洞并告知了Soda官方。尽管Soda官方没有第一时间作出回应，"废X废"选择将风险公之于众。当时，用户群里普遍认为这只是因为项目火爆而被黑而已，所以没有太在意。然而，一个小时之后，Soda官方确认了漏洞的存在，引发了恐慌性的资金出逃。当时WETH池中的抵押资产超过了1000万美元，借出的SoETH也接近了700万美元。换言之，理论上黑客可以通过发起清算，对超过1000万美元的资产造成几百万美元的损失。因此，在接下来的几个小时里，Soda的币价从400美元跌到了50美元，锁仓资金大量流失。

尽管Soda在当晚凌晨4点发布了补丁并部署了新的智能合约，但用户们依然担心，因为补丁需要至少48小时才能生效。实际上在那个晚上就有至少6个黑客试图利用漏洞来获利。与此同时，也有一些用户冒着风险不断增加投资。因此，48小时内黑客与巨鲸之间进行了激烈的博弈。

经过漫长的48小时等待，补丁终于生效。据Soda官方统计数据，本次漏洞共导致14位用户受损，被清算的WETH总量为448个，实际损失为134.5个WETH。Soda官方提出了补偿方案，用SoETH赔偿用户损失的WETH，即被清算总量的30%。据了解，大部分用户已经接受了这个方案。

然而，Soda经历了这次重创，币价从300美元跌到了7美元，缩水近50倍。更糟糕的是，Soda遭遇了"机枪池"的阻击。在Soda的Bug还没有修复的时候，YFV就已经开通了Soda的机枪池，并注入了几百万美元的资金。这意味着Soda的挖矿收益很容易被机枪池挖走。更讽刺的是，YFV复制了一部分Soda的代码，并命名为DrinkSODA。Soda官方的应