買比特幣 買比特幣
Ctrl+D 買比特幣
ads

DEF:DeFi 頻遭攻擊 真的足夠「去中心化」嗎?_EFI

Author:

Time:1900/1/1 0:00:00

DeFi——去中心化金融,不同于過去中心化的傳統金融需要許多中介機構如銀行、證券交易所的參與,DeFi利用了區塊鏈的技術,逐漸發展出有別于傳統金融的金融商品,瘋狂受到追捧。根據DeFiPulse的數據,DeFi鎖倉量已飆升了200%以上,從2021年1月份的$320億到12月份的$980億。DeFi作為去中心化世界的明星產物,憑其去中心化、不可篡改、無需信任、開放透明可組合等特性為用戶打開了開放式金融的大門。

不過,DeFi真的足夠「去中心化」嗎?

從協議層面以及交互方式來看,DeFi的確足夠去中心化。但從一些攻擊事件上看,DeFi似乎顯得不那么去中心化。

2021年7月14日,波卡數字收藏品市場平臺BondlyFinance遭到攻擊,導致373,088,023美元的BONDLY代幣從BondlyStakingRewards合約中轉出,據官方調查,攻擊者通過精心策劃獲得了屬于Bondly首席執行官BrandonSmith的密碼帳戶的訪問權限。密碼帳戶包含Smith的硬件錢包的助記符恢復短語,復制后允許攻擊者訪問BONDLY智能合約,以及被泄露的公司錢包。

ABEYCHAIN 準備通過推出XSWAP改變DeFi:金色財經報道,多層區塊鏈協議ABEYCHAIN希望通過推出 XSWAP 來擴展現有的DeFi創新。目前超過 400 億美元被鎖定在幾個 DeFi 協議中。DeFi 改變人們對金融的看法,并使散戶投資者能夠獲得僅限于機構的金融機會。XSWAP 是下一代去中心化交易所,它利用高速和可擴展的 ABEYCHAIN 網絡來促進交易。XSWAP 通過使用自動做市商模型解決了這個問題。該模型根據平臺內的市場需求和供應跟蹤資產價格。(Dailyhodl)[2021/8/29 22:43:53]

有趣的是,該黑客似乎在四個月后又以相似的方式攻擊了另一個DeFi項目。

2021年11月5日,DeFi協議bZx發推稱控制Polygon和BSC部署的私鑰已被泄露,導致資金損失。據官方調查,黑客使用的錢包之一參與了BondlyFinance的攻擊。同時,本次漏洞利用與BondlyFinance的非常相似:黑客獲得了開發人員的密碼,然后從協議中操縱了一個智能合約。不久,bZx在更新的事故報告表示:“我們聘請了一家名叫Kaspersky的安全公司,該安全公司調查后認為這次攻擊很可能是由朝鮮黑客組織Lazarus執行的。”據慢霧AML旗下反洗錢追蹤系統MistTrack?分析,攻擊者初始資金來自Tornado.Cash轉入的0.9ETH,接著攻擊者一番操作將被盜資金分散到多個地址。然后攻擊者將多種代幣換為ETH,最后通過Tornado.Cash轉出10960ETH,以太坊部分的洗幣基本完成。

世界經濟論壇發布DeFi監管政策工具包:6月8日消息,世界經濟論壇 (WEF) 發布了關于 DeFi 的政策工具包。WEF認識到DeFi改變金融體系的潛力,因此該工具包包括多項政策建議,以幫助降低其風險。首先,它提供了對決策者重要因素的基本理解,還提供了DeFi的概述,同時通過案例研究探索和說明了它的好處和風險。這是世界經濟論壇在首次發布 DeFi Beyond the Hype 之后的第二份此類報告。(CoinDesk)[2021/6/8 23:21:48]

以上兩個事例都是無關合約問題,而是開發人員遭到釣魚攻擊致私鑰泄露從而影響用戶資金。回顧近期,私鑰泄露似乎變得非常熱門:Levyathan損失150萬美元、8ightFinance損失175萬美元、VulcanForged損失1.4億美元……我們不禁想,這是不是表示著線下實體實際掌管著控制權呢?

鎖倉量超過10億美元的DeFi項目達到26個:據defillama數據顯示,當前DeFi領域的鎖倉量超過1100億美元,超過10億美元的項目達到26個。來自以太坊生態的有19個,其中鎖倉最大的是MakerDAO,有95億美元。來自BSC的有4個,其中鎖倉最大的是pancakeswap,鎖倉量超過79億美元。來自Polygon的有1個,來自Terra的有1個(Mirror),多鏈項目有1個(Lido)。[2021/4/26 20:59:23]

除了釣魚攻擊,前端攻擊也是引發DeFi安全問題的高危據點。

2021年12月2日,據官方Discord消息,去中心化組織BadgerDAO遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。12月9日,Badger?發布了詳細的事故報告,報告稱此次事件是CloudflareWorkers上的惡意注入代碼片段導致的。CloudflareWorkers是一個運行腳本的界面,這些腳本在流經Cloudflare代理時對Web流量進行操作和更改。攻擊者在Badger工程師不知情或未授權的情況下獲取了項目方在Cloudflare后臺的APIKey,以此在網站的前端代碼里面注入一系列的惡意代碼。當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。用戶確認了那筆惡意交易,就會將代幣授權給攻擊者,然后攻擊者就可以在用戶不知情的情況下將代幣轉走。據慢霧AML旗下反洗錢追蹤系統MistTrack分析,黑客將部分獲利的加密貨幣換成renBTC,并通過renBTC將約2100BTC跨鏈轉移到14個BTC地址,目前暫無異動。

庫幣DeFi專區首發開盤SUN/USDT交易 漲幅超1900%:據庫幣KuCoin交易所消息,庫幣已于9月11日11:00首發上線SUN,開放SUN/USDT交易市場,SUN現報價500USDT,較開盤價25USDT漲幅超1900%。[2020/9/11]

在DeFi世界,合約一旦部署不可篡改不可撤回,理論上來說是不會受到人為的干預,這點確保了其去中心化的特點,但目前絕大多數前端仍是通過傳統架構實現,雖然網頁自身也在不斷在進化和發展,但是仍存在很多潛在的威脅,同時針對前端的攻擊往往容易被開發者忽視,這些錯誤因素使得攻擊者飽餐了一頓又一頓。

2021年9月17日,SushiswapCTO在推特上表示,SushiswapIDO平臺Miso的前端遭受攻擊。承包商的一名匿名員工將惡意代碼注入Miso前端,把拍賣錢包地址替換成了自己的錢包地址,導致864.8ETH被盜。

當前端問題開始影響資金的安全性,作為用戶不得不深思如何才能做到安全地參與DeFi項目,簡直如履薄冰。

總結

不管怎樣,“DeFi是否完全去中心化”這個問題也許會一直存在。與其說去中心化是DeFi最大的特性,不如說是DeFi世界的終極目標。而不論是作為用戶、審計機構還是作為項目方,我們經歷過如此多的DeFi安全事件后,是否仍然只將注意力聚焦到智能合約上呢?答案不言而喻。

參與DeFi項目本質上是把手中的資產轉移或授權給DeFi項目方,存在個人極大程度上不可控的安全風險。那我們普通用戶能做什么?慢霧為您準備了一份“DeFi資產安全解決方案”,點擊原文即可查閱。

Tags:DEFDEFIEFISWAPScarcity DeFiDefiCliqPINETWORKDEFI價格SecretSwap

比特幣最新價格
MET:Outlier Ventures創始人詳解MetaFi:元宇宙中的DeFi_METAM價格

譯者:Evelyn、Aaron|W3.HitchhikerDeFifortheMetaverse Introduction自2018年以來,去中心化金融的概念一直在加密貨幣社區中穩步發展.

1900/1/1 0:00:00
TOK:GameFi經濟模型是什么?它是如何設計的?_COTS Token

從國際象棋到4X策略,從傳統RPG桌游到AAA開放世界,游戲從來都不是純粹的娛樂,而是玩家在有限資源上進行競爭的平臺.

1900/1/1 0:00:00
WEB:零寬字符對ENS的影響 或比你想象的更大_web3.0幣圈

昨日,一位資深的Web2.0域名交易者「Hero桀」在其個人Mirror上發表了一篇名為《請停止注冊一切ENS域名,因為它一文不值》的文章.

1900/1/1 0:00:00
META:元宇宙游樂場來了?迪士尼已獲得“虛擬世界模擬器”技術專利_元宇宙平臺公司合法嗎

迪士尼離創建自己的虛擬主題公園更近了一步。迪士尼在2021年12月最后一周獲得了“虛擬世界模擬器”技術專利.

1900/1/1 0:00:00
ANTA:一覽周杰倫 Phanta Bear 爆火背后的邏輯_Sarcophagus

周杰倫“帶貨”PhantaBear事件回顧PhantaBear發布2022年1月1日上午11時.

1900/1/1 0:00:00
MET:2021元宇宙虛擬地產報告:深度解析生態進展與市場趨勢_Meta Rewards Token

2021年,「元宇宙」成為很多行業的出圈熱詞。同樣,在大洋彼岸的西方世界,「元宇宙」也發展的熱火朝天.

1900/1/1 0:00:00
ads