智能合約給了我們去中心化,無需信任,去信任等眾多特點,但去除人為操作之后,一旦智能合約開了天窗,那么資產有可能被黑客予取予求。DeFi普及率和采用率升高,項目方魚龍混雜,如何才能火眼金睛的保護資產變得愈來愈重要。
本片比較淺嘗輒止的分析了2021年以來DeFi被攻擊的例子,并且提出了預防的方式。偏簡單易懂。
目前,DeFi細分市場有兩個特點:一是它正飆升至前所未有的高度:它監管不力,幾乎沒有任何擁有資源或技術技能的人能夠經營智能合約并吸引用戶。這兩個因素使得該領域對攻擊者來說十分誘人。
這些攻擊究竟是如何發生的?如何保護自己?我們將研究其機制,并提供DeFi中最大攻擊的例子,以便了解哪些協議需要特別謹慎。
最短的DeFi概述
DeFi提供基于區塊鏈的金融服務,如借貸和生息。關鍵的一點是,DeFi是具有包容性且無需許可的——任何人,無論他們的公民身份、社會地位和信用歷史如何,每個人都可以利用它。DeFi是去信任的,因為它運行在智能合約上——所有的條款和條件都是事先描述過的,用代碼編寫,現在無需人工干預就可以執行。在這里,用戶唯一可以信任的是協議團隊編寫良好代碼的能力。反過來,由于大多數項目都是開源的,審計和社區通常會檢查這一點。
V神:區塊鏈是為了將不同的人群聚集在一起,以便能夠更加信任彼此:金色財經報道,4 月 25 日 reState 基金會舉辦了一場虛擬會議,以太坊聯合創始人 Vitalik Buterin 與 Isha 基金會創始人討論技術與人類意識的交叉點。
V 神表示,區塊鏈是為了將不同的人群聚集在一起,以便能夠更加信任彼此,在許多不同類型的項目中跨越更遠的距離進行協作。新興技術實際上使人們更容易識別復雜的身份并在共同點上相互聯系。最終,每種技術在某種程度上都是一種社會技術,雖然新興技術不會解決用戶的所有問題,但該領域的協議和分歧有可能分別帶來已實現的合作和學習機會。我認為這些是我認識的以太坊和相關社區中很多人真正關心的想法。[2023/4/25 14:26:09]
然而,這怎么能給操縱留下空間呢?
攻擊者如何利用DeFi中的不安全性?
對DeFi的黑客攻擊是指某人利用協議的漏洞來獲取鎖定在協議中的資金。以下是實現這一目標的三個主要“策略”:
DeFi項目制作得非常快,團隊并不總是有時間徹底檢查他們的代碼。黑客利用了這些漏洞。
Solana首席執行官:Solana自創建之初就是為了提高速度:9月21日消息,Solana Labs聯合創始人兼首席執行官Anatoly Yakovenko最近解釋了該項目如何成功成為加密領域的巨頭。最近在2021年SALT大會上接受Cointelegraph采訪時,Yakovenko表示,他的項目專注于提高速度,以滿足加密資產普及所需的規模需求。他補充說,Solana從第一天開始就是為了速度而構建的,與其他PoS網絡不同的是,它針對特定的在線交易用例進行了優化,以支持每天進行數百萬筆交易的平臺。Yakovenko稱,SOL最近被第三方驗證器記錄為每秒可處理20萬筆交易,隨著加密項目的硬件越來越好,“容量也在增加”。Solana依靠一個由60名志愿者組成的開發團隊,自2020年3月進入市場以來,成功實現了爆炸式增長。該網絡托管了400多個項目,其中有許多NFT和DeFi應用程序。(Crypto Globe)[2021/9/21 23:40:56]
DeFi的每個協議都有自己的機制,用戶如何鎖定他們的資金,以及他們如何獲得回報。有時候,協議的創始人并不知道這些機制是如何被濫用的,并成為大賺一筆的漏洞。
Ikigai基金創始人:為了盈利而持有比特幣需要極大耐心:加密投資公司Ikigai基金創始人Travis Kling在推特表示,為了盈利而持有比特幣需要極大的耐心。他說,從歷史上看,比特幣已經將財富從不耐煩的投資者轉移到耐心的投資者。他補充說,目前銀行正在盡一切努力推動比特幣價格飆升。[2020/6/16]
一些團隊故意制造問題——他們通過出售他們的股份和傾銷代幣來濫用他們在項目中的巨大影響力。
DeFi中最常用的兩種攻擊方案
讓我們看一下DeFi中最廣泛使用的兩種機制——拉地毯和閃存貸款攻擊。
拉地毯——在沒人預料到的時候撤回流動性
在“拉地毯”中,業主或開發商突然從池中撤出流動性,引發恐慌,迫使所有人都賣掉資產。基本上,這是一個退出騙局。創始人在一個項目中所占的股份越高,這個項目就越可疑:“拉地毯”正是DeFi討論的集中化風險之一。
它是這樣開始的:創始人宣布了一個帶有原生代幣的新平臺,提供了一些很酷的獎勵。然后,該團隊在去中心化的交易所(如Uniswap)上創建一個流動性池,代幣與ETH、DAI或其他主要貨幣配對。用戶被鼓勵帶來更多的流動性,因為這將給他們帶來高收益。一旦代幣價格上漲,創始人就會收回他們的流動性并消失。
聲音 | Peter Schiff:關于Midas巖石的新聞是假消息 是為了推高比特幣價格的謊言:據AMBCrypto 6月30日消息,最近所謂的“Midas巖石”含有貴金屬、可以讓地球上每個人都成為億萬富翁的消息引起了比特幣投資者的注意。黃金愛好者Peter Schiff在推特表示,“一顆金色小行星的存在是假消息——一個為了推高比特幣價格而散布的謊言。Psyche 16是一顆稀有的金屬小行星,其成分類似于地核。它幾乎完全由鐵鎳合金制成,并含有少量其他金屬,可能包括黃金。” 黃金和比特幣一樣,有一個重要的特征使它們的價格越來越高,那就是稀缺。沒有稀缺性,兩者的價格都不會像今天這樣高。根據The Sun的文章,Midas巖石應該含有鎳、鉑、鐵、金和其他金屬,估計有8000萬億英鎊。Schiff提到這一點時表示,這是“假消息”,比特幣投資者利用這一消息傳播FUD,并推高比特幣的價格。Whale Panda在推特上發布了一條類似的推文,說明如果沒有稀缺特性,黃金將如何貶值。[2019/7/1]
開發者擁有大量股份并不是件好事,但即使有,也有一種保護項目的方法:開發者可以設置一種不允許他們在未來某一天之前退出的程序。這大大增加了對該項目的信任。
聲音 | 張首晟學生發文紀念恩師:他著迷區塊鏈不是為了利潤:張首晟學生@Heinsius發文對張首晟表示紀念同時對一些流言做出了回應。知乎作者@白無妨 對原文做出的翻譯:他興趣并不純粹基于利潤,而是有著更深遠的考慮。我認為他更重視區塊鏈精巧的設計和能夠從根本上改變信用系統的潛力。這么說是因為,每當討論這項技術的數學細節和技術前景時,他都顯露出極大的愉悅,而這些(激情)是完全沒有必要在私人場景里裝出來的。[2018/12/7]
閃電貸款攻擊——抽取和消除流動性
什么是“閃貸”?它允許用戶在很短的時間內,在沒有抵押品的情況下,借到無限量的錢——用戶必須在下一個區塊被開采之前償還貸款和利息而開采只需幾秒鐘。如果用戶不償還貸款,交易將不會結束,借入的資金將從用戶那里被拿走。
閃貸的關鍵用途之一是套利:從不同平臺上的資產價差中獲利。比如,以太坊在交易所A的成本為2000美元,在交易所B的成本為2100美元。用戶可以獲得價值2000美元的閃電貸款,在交易所A購買ETH,在交易所B出售,用戶的利潤將是100美元減去gas費和貸款費用。
閃電貸的無限性質為漏洞利用鋪平了道路。以下是快速貸款攻擊的一般方案:
一個攻擊者借200個代幣A,價值10萬美元(一個代幣A價值500美元)。
然后,他在A/B流動性池中大舉買入代幣B。這推高了代幣B的價格,而代幣A下跌,現在只值100美元。
當代幣B暴漲時,攻擊者以100美元的價格將其賣回代幣A。現在,相比最初的200代幣,其可以買得起1000代幣A(在價格下降5倍后)。
然而,攻擊者只是在這個智能合約中降低了代幣A的價格。閃貸的貸款人仍然以500美元的價格購買代幣A。因此,攻擊者用他的200代幣A償還貸款,并拿走剩下的800枚。
正如所看到的,閃電貸款利用了去中心化交易所的本質,而沒有實際的黑客行為。他們只是簡單地拋出拋售代幣A,并移除池中相當一部分的流動性,這基本上是在竊取流動性提供者的資金。
2021年的主要DeFi攻擊
1.?MeerkatFinance黑客
這是一個典型的拉地毯,然而,表現時異常的玩世不恭。MeerkatFinance是一種流動性挖礦協議,所有者甚至無法使用匯集的資金。在攻擊發生前不久(也就是項目啟動后的一天!),他們升級了協議,獲得了訪問權限,刪除了所有MeerkatFinance的社交媒體賬戶和他們的網站,帶著價值1300萬美元的穩定幣和價值1700萬美元的73000BNB的逃跑了。
2.?AlphaHomora閃電貸款攻擊
風險正在上升!今年2月在AlphaHomora攻擊中,3700萬美元被盜。該借貸平臺于2020年10月啟動,最近升級為V2版本。在一個AlphaHomoraV2池中,攻擊者借入和出借了數百萬個穩定幣,使其價值膨脹,使攻擊者獲得巨額利潤。
3.?EasyFi私鑰失竊
今年4月,基于Polygon的借貸協議EasyFi遭遇了最嚴重的一次DeFi黑客攻擊。在一次黑客攻擊中,一名網絡管理員的私鑰被竊取,這讓攻擊者得以獲得該公司的資金。價值7500萬美元的三百萬EASY代幣被盜。除此之外,EasyFi的保險庫里還有價值600萬美元的穩定幣被盜。
4.?SaddleFinance套利利用
這是另一個閃電貸款攻擊,尤其是這次。SaddleFinance是一種類似Curve的協議,用于交易包裝資產和穩定幣,在其發布一天后,于2021年1月21日遭到攻擊。通過進行一系列的套利攻擊,攻擊者在短短6分鐘內成功獲取了近8個比特幣的流動性。這可能是由于池的智能合約中的一個漏洞——攻擊者將穩定幣的價格拉得太高,以至于價值0.09BTC的一個代幣被換成了另一個價值3.2BTC的代幣。
如何避免選擇易受攻擊的協議?
“閃貸”總是出人意料地發生,人們也不可能總是提前看到“拉地毯”的可能性。然而,遵循這些建議將幫助用戶更多地注意可疑跡象,并可能幫助用戶避免金錢損失。特別注意:
團隊和它的聲譽。創始人和開發者是誰?團隊是公開的嗎?它曾經參與過任何值得信賴的加密項目嗎?如果沒有,這也不一定是壞事,但應該引起關注。
訪問金庫。這個團隊有嗎?到什么程度?如果創始人的持股比例過高,這并不是一個危險信號。
多重簽名訪問公司資金。如果開發人員啟用了多簽名訪問庫,并且團隊之外的人擁有一些簽名,這可能有助于防止“拉地毯”。
壽命及其流動性。如果開發人員將他們的資金鎖定在一年左右的時間內,用戶可以放心,團隊至少在這段時間結束前不會退出。
有什么措施可以保護DeFi不受攻擊?
隨著DeFi的成熟,池中有相當數量的流動性,池中的大量流動性可能是降低閃電貸攻擊風險的主要因素。
閃電貸最高限額不允許攻擊。
對智能合約的安全審計將為易受攻擊和配置錯誤的合約騰出空間。
更好的監管將有助于避免故意發布易受攻擊的協議。
一些項目已經實施了社區漏洞獎勵,幫助用戶在協議中發現漏洞和后門獲得獎勵。
總結
DeFi使用無需許可和去信任的工具在短時間內提高可觀的收入,從而徹底改變了金融。然而,它的眾多漏洞經常被攻擊者和惡意開發人員使用。每次攻擊都要求協議提高安全性,這就是DeFi黑客幫助該行業發展的方式。
去中心化金融(DeFi)已成為加密領域人們最愛討論的話題之一,每月都有數十個新項目推出。究其本質,DeFi應用程序支持創建自動執行的智能合約,一般來說,這些智能合約有助于加密資產的發行、借貸、交.
1900/1/1 0:00:00全球支付巨頭們正在積極布局加密貨幣,希望能夠吃下這個行業早期快速發展的紅利。2021年7月16日,Square首席執行官JackDorsey在推特上表示Square將開設一項新業務,開發比特幣硬.
1900/1/1 0:00:00隨著EIP1559的啟用,Eth1.0鏈的命運也因此決定了。8月5日,以太坊進行了倫敦升級,隨著升級部署成功,EIP-1559在內的5個EIP開始啟用.
1900/1/1 0:00:00Hi,小伙伴們~ GameFI的火爆行情讓人猝不及防,上半年之前很多人都沒預料到資本對NFT游戲會如此狂熱.
1900/1/1 0:00:00移動支付網消息:支付即結算,可能是數字人民幣最重要的一個屬性,也是對支付行業影響最大的一個方面.
1900/1/1 0:00:00金色財經區塊鏈8月4日訊?Facebook首席執行官馬克·扎克伯格(MarkZuckerberg)一直以來對元宇宙有一個愿景——有朝一日線上生活方式將會取代我們大部分的線下生活.
1900/1/1 0:00:00