DEF:DeFi 世界的安全問題頻發，黑客賞金獵人平臺 Immunefi 能夠解決嗎？_DEFI

作者：老雅痞

三年前，鎖定在DeFi的加密貨幣總價值僅有8億美元。到2021年2月，這個數字已經增長到400億美元；2021年4月，它達到了800億美元的里程碑；而現在，它已經超過2460億美元。這個新興賽道捕捉了資本流動性的價值得到快速增長。

從黑客的角度來看，對defi生態系統的攻擊是一種理想并且快速的致富手段，這里顯然成為了各種黑客和欺詐者的游樂園。CipherTrace在最新的《加密資產犯罪和反洗錢報告》中指出，截至7月底，與DeFi相關的黑客事件已經讓用戶們損失了3.61億美元。他們的主要手法是什么？而我們又該如何應對。

DeFi協議的資金是如何被盜的？

REENTRANCYATTACK(重入攻擊）

一個鮮明的例子是發生在2020年4月19日的DForce黑客事件。

在defi協議上，首先智能合約有以下四個提款步驟：

DeFi平臺Dot.Finance遷移到Moonbeam:金色財經報道，去中心化金融協議Dot.Finance宣布將從幣安智能鏈 (BSC) 遷移到Polkadot區塊鏈上的第二條平行鏈Moonbeam。該項目還將立即在 Moonriver上啟動。在眾籌活動成功之后，Dot Finance 在 11 月底贏得了第二次平行鏈拍賣，從總共 200,000 名參與者中籌集了 3500 萬 DOT（約合 14 億美元）。以太坊聯合創始人Gavin Wood創建了 Polkadot，以使區塊鏈可互操作：平行鏈模型的創建相信 Web 3 的未來將涉及許多不同類型的區塊鏈協同工作。中繼鏈上共有 100 個插槽，負責完成交易的 Polkadot 區塊鏈。最多可以租用一個插槽96周。（u.today）[2022/1/5 8:25:49]

用戶調用合約，準備從合約中提現所有資金。

合約檢查用戶在合約中是否有資金。

合約將用戶在合約中的資金發送給用戶。

火幣 DeFi Labs 已與 Kava Labs 達成戰略合作:據官方消息，火幣 DeFi Labs 已與 Cosmos 生態 DeFi 平臺 Kava Labs 達成戰略合作，目前Kava DeFi 平臺已支持 HBTC。

此外，近日于火幣 Global 上新挖礦專區上線的 \"鎖倉 HBTC, 領 Kava 獎勵\"，500 HBTC 的額度，在上線 5分鐘后即告售罄。

HBTC 是一種具備安全性且穩定錨定（1:1）的ERC20 BTC 資產，目前已被以太坊、HECO及 Cosmos 等公鏈支持，并已登陸20多家去中心化協議包含知名協議如 Kava、Curve、Harvest、C.R.E.A.M 等。

Kava 是一個提供多資產的 DeFi 平臺，它提供了穩定幣 (USDX)，借貸等一系列去中心化金融服務。[2021/3/15 18:45:36]

合約自行更新，用戶在合約中沒有資金。

重入漏洞允許黑客在合約完全執行之前再次調用合約。在上面的例子中，攻擊者可以在第三步和第四步之間重新進入合約，并在用戶余額更新之前再次退出。通過重復這個過程，他們可以從合約中提取所有現有的資金，在一個循環中反復提取資金從而盜取了2500萬美元。

Gate.io“天天理財”DeFi流動性挖礦賺USDG理財明日開啟:據官方公告，Gate.io 將于3月10日（明日）中午12:00上線《Gate.io“天天理財” 第150期 DeFi流動性挖礦賺USDG（7天）》，總額度 1000000 USDG，鎖倉期限7天。[2021/3/9 18:29:02]

FLASHLOANATTACK

最近，閃電攻擊已經成為最流行的黑客攻擊方法。閃電貸款是一種只在一次區塊鏈交易內有效的貸款，沒有違約風險。它意味著貸款人同意向借款人提供任何金額的貸款，前提是在給定的時間內將該金額歸還貸款人，否則貸款人可以回滾整個交易。黑客規避了貸款機制，這帶來了各種漏洞，如資產價格操縱。?

閃電貸款攻擊是對某一平臺的智能合約安全性的濫用，攻擊者通常會借入大量不需要抵押的資金。然后他們在一個交易平臺操縱加密貨幣資產的價格，并迅速在另一個交易平臺轉賣

智能合約的漏洞

數據：DeFi代幣總市值超79億美元:DeFiMarketCap數據顯示，去中心化金融（DeFi）代幣的總市值超79億美元，現報約79.35億美元。[2020/7/12]

編碼錯誤產生于不小心執行的智能合約安全審計或未檢查的智能合約漏洞和脆弱性。令人遺憾的是，許多區塊鏈項目的創始人決定在測試覆蓋率不足的情況下運行他們的項目，并忽視了安全審計的相關性，這種疏忽導致被攻擊的可能性增加，給投資者帶來損失。?

價格預言機的操縱：代表例子MakerDao

智能合約的執行依賴于價格oracle所提供的準確數據。然而，獲得這些價格數據并不像人們希望的那樣安全和可靠。如果oracle提供不準確的數據，智能合約將導致交易錯誤的執行。這一事實有利于那些試圖操縱價格對自己有利的黑客。操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊，其本質是對預言機進行操控，造成內外價格差并利用閃電貸等新型金融工具從中套利。

DeFi協議Aave現已支持BUSD:DeFi協議Aave Protocol現已支持穩定幣BUSD的存款和借貸，用戶可以存款BUSD獲得利息，或借取BUSD。[2020/3/29]

應運而生的Defi漏洞賞金平臺

傳統的網站和應用程序Bug賞金平臺，如HackerOne和BugCrowd，在這種舊世界的模式中取得了成功。但現有的"Web2.0"bug賞金和與區塊鏈和加密貨幣相關的"Web3.0"bug新時代之間存在巨大差異。在去中心化金融時代，Web3.0漏洞懸賞的關鍵性質是與實際貨幣價值相關，而不僅僅是軟件漏洞。

什么是Immunefi?

Immunefi于2020年12月推出，通過Bug賞金提供智能合約安全。更重要的是，他們已經宣稱是世界上首屈一指的bug賞金平臺!Immunefi有遏制DeFi黑客攻擊問題的野心。為了實現這一目標，它為區塊鏈項目提供咨詢服務、漏洞檢測、項目管理，以及最重要的是，提供一支白帽黑客的軍隊。Immunefi尋求將DeFi協議與黑客聯系起來，以保護平臺和用戶的資產。

什么是漏洞（Bug)賞金？

漏洞賞金計劃為發現智能合約和應用程序的潛在漏洞的安全研究人員提供獎勵。此外，賞金激勵白帽黑客發現并向項目報告漏洞，而項目則根據漏洞的嚴重程度向他們支付報酬。

傳統bug賞金面臨的困境

經濟激勵

雖然世界上把黑客分為白帽黑客和傳統黑客，但大多數人都在灰色地帶活動。舉個例子：有一個發現了可以快速賺取500萬美元的漏洞的黑客，他自身在巨大的利益面前會陷入道德的困境，他是做正確的事與有bug的平臺談判，以此獲得5千美元的bug賞金？還是他自己對這個bug采取行動？如果沒有一個一致的、公平的白帽子獎勵系統，人性黑暗面的誘惑將永遠存在。

報告

Defi項目通常沒有人負責處理bug賞金事件。因此，如果一個白帽試圖報告一個漏洞，試圖找到決策人。另外，如果CTO收到了來自外部的風險提示，說他們的代碼有缺陷，他們的自尊心很容易占據上風，賞金獵人并不討好。即使發現bug全部過程都被通過適當的渠道報告給公司負責人，也不能保證公司會獎賞。財務部門可能還會與開發團隊對漏洞賞金的價值產生分歧，整個過程可能會陷入一系列的死胡同。

Immunefi的賞金計劃

Immunefi平臺代表他們的白帽子和項目團隊處理/溝通和談判，這大大提高了效率壓縮了雙方的時間成本，Immunefi讓黑客保持匿名，并且不要求提供KYC文件。

Immunefi平臺已經發布一些有利可圖的賞金，其客戶Astroport提供高達300萬美元的獎勵。其他引人注目的賞金來自Celer，價值高達20萬美元，xDAI高達200萬美元，Sushi發布的125萬美元賞金。

Immunefi目前有7100萬美元的懸賞金，它想把獵取bug的工作從一種愛好變成一種可行的職業。到目前為止，該平臺已經支付了1000多萬美元，為客戶避免了200億美元的資金受到損失。

如何啟動賞金計劃？

在客戶填寫了Immunefibug賞金登記表后，他們會收到一份調查問卷

Immunefi開始根據這些問題的答案起草一份bug賞金計劃，該草案之后會被發送給客戶進行審查，修改完成后，該程序將被移交給Immunefi的運營專家。運營專家與項目團隊合作，確定賞金活動的啟動時間和賞金的公關/營銷細節以及費用和支付如何進行。

在Immunefi上發布一個bug賞金不需要預付費用。當黑客發現真正的漏洞時，客戶只需在bug賞金的基礎上向Immunefi支付10%的績效費用。

由于defi領域的快速發展，隨之而來的安全問題使大多數平臺和用戶資金受到損失，這也許可以解釋為什么Immunefi，DeFi的新興bug賞金和安全服務平臺之一能夠迅速捕捉價值，目前已經融資了550萬美元的資金，由ElectricCapital領投，參與的還有BlueprintForest、FrameworkVentures、BitscaleCapital、P2PCapital、IDEOColab、TheLAO、BRCapital、3rdPrimeVentures、NorthIslandVentures和其他個人投資者。

Amador在接受TechCrunch采訪時補充說："現實情況是，Web3是一個對抗性更強的環境，這意味著漏洞賞金過程的每個部分都與以前不同，從報告的提交和處理，到報告的驗證，再到支付的談判都是如此。傳統的Web2bug賞金是一種方便的錯誤修復工具，而我們的Web3bug賞金則是DeFi項目的一個更為關鍵的應急系統。

隨著DeFi生態積木不斷豐富壯大，安全問題一直是高懸在頭頂上的達摩克里斯之劍，DeFi被黑客攻擊的事件仍然不會停止，未來還會繼續發生，這一點無需贅述。

Tags：EFIDEFDEFIIMMCEFI價格Yearn DeFi ForkEco DeFiimm幣什么時候上交易所

FIL