金色觀察 | TRM Labs：2022年DeFi和跨鏈橋攻擊總結_ETH

文/TRM Labs，譯/金色財經xiaozou

根據TRM Labs對黑客事件的回顧，針對DeFi項目和跨鏈橋的黑客攻擊讓加密貨幣生態系統今年成為黑客攻擊創紀錄的一年。截至2022年11月，被盜資金已超過36億美元。

DeFi和非DeFi黑客攻擊竊取的總金額

3.5:1——這是針對DeFi的黑客攻擊與非DeFi攻擊的比例。?

80——這是今年由于DeFi攻擊導致的加密貨幣被盜總額的百分比，數額高達30億美元。

11x——跨鏈橋黑客攻擊平均規模大約是非跨鏈橋攻擊的11倍。針對DeFi支持的跨鏈橋黑客攻擊雖不如針對其他目標的黑客攻擊那么常見，但平均規模要大得多。

金色午報｜1月2日午間重要動態一覽:7:00-12:00關鍵詞：查理·芒格、V神、EOS、薩爾瓦多

1.查理·芒格：欽佩中國禁止加密貨幣；

2.V神：貨幣互聯網每筆交易的成本不應超過5美分仍是現在的目標；

3.EOS創始人：將部署應用程序使EOS成為DAO創建、增長和參與的平臺；

4.薩爾瓦多總統預測：2022年比特幣將達到10萬美元；

5.Mike Alfred：購買了10.6個比特幣，平均價格為47330美元；

6.Bilibili為知名UP主發放基于區塊鏈技術的數字認證；

7.a16z合伙人：NFT 讓藝術、音樂、寫作、游戲和其他創意內容更加豐富

8.截止目前已有160萬人注冊了Robinhood加密錢包。[2022/1/2 8:19:38]

13——這是截至2022年11月，TRM Labs檢測到的跨鏈橋黑客攻擊數量，失竊金額近20億美元。

金色相對論 | 李自鵬：目前ETH2.0的設計，對于想參與ETH Staking的用戶來說，并不友好:11月27日消息，在今日舉行的金色相對論中，針對“可以預測的是階段0會持續較長的一段時間，這段時間投資者存入的ETH和信標鏈出塊獎勵的BETH都無法兌現，這對于以太坊生態來說，是好是壞？有哪些補足辦法？”的問題，StaFi首席研究員李自鵬表示，ETH2.0 Phase 0 階段將在近期上線，用戶可以直接參與到信標鏈的Staking中，只需要質押32個ETH就可以成為節點，并享受年化5%至20%左右的Staking獎勵。但是目前ETH2.0的設計，對于想參與ETH Staking的用戶來說，并不友好：

1）Stakers必須掌握大量關于運行節點的知識，然后去運行驗證人客戶端，才能獲得質押收益。并且還要保持穩定的在線時間，避免雙簽等Slash行為，否則還會受到ETH 2.0 的懲罰，不僅沒能獲得質押收益，還可能出現賬戶余額從32ETH被罰沒成16ETH的情況。所以這對于單純希望獲得Staking獎勵的人來說，參與門檻太高；

2）每一個節點最多質押32個ETH，如果希望質押更多數量的ETH，就需要同時運行多個驗證人客戶端，進而增加節點的運營成本和運維難度；

3）如果用戶希望質押的數量低于32個ETH，則無法參與ETH2.0 Staking；

除了上述的高參與門檻外，Stakers在質押成功后還將面臨贖回的難題：只有等待 ETH2.0 Phase 2之后才能贖回原來的ETH。而ETH2.0 Phase 2上線的時間預計可能需要1～2年，這意味著Stakers的資產可能在1～2年內無法贖回流通，此種狀態讓絕大多數 Stakers 都難以承受。[2020/11/27 22:20:16]

9/10——截至當前，2022年10個最大的黑客攻擊中有9個是針對DeFi的，其中有5個是針對跨鏈橋的。如能預防最大的9次DeFi攻擊，將使65%的資金免于被盜。

分析 | 金色盤面：BTC期貨合約持倉變化:金色盤面綜合分析： 據OKEX數據顯示，目前做多賬戶69%，做空賬戶31%，多頭持倉比例22.69%，空頭持倉比例19.27%，從數據看，做多賬戶優勢明顯，空頭短線承壓，但隨著價格不斷推高，風險也在加劇。截止發稿，季度BTC0928合約價格為7231美元，現貨價格為7259美元，貼水28美元，市場做多熱情有所減弱，注意做好風險控制。[2018/9/3]

據Defilama數據，DeFi的總鎖定價值（TVL）在過去兩年里呈爆炸式增長，從2020年10月的約100億美元增長到2022年11月的420億美元。Defilama數據同樣顯示，在11月底的7天里，橋交易量約為13億美元。

除了規模龐大外，DeFi項目和跨鏈橋的其他兩個關鍵特征使它們成為潛在黑客的理想目標，也更容易遭受攻擊：

分析 | 金色盤面：IOTA再次上行測試0.94美元阻力:金色盤面分析師表示：IOTA再次上行測試0.94美元阻力，注意關注能否突破。[2018/8/3]

復雜性：DeFi生態系統復雜且相互關聯，這讓黑客以開發人員無法預料或測試的方式利用漏洞。例如，在閃電貸款攻擊中，黑客可以使用與目標無關的服務來操縱資產價格或放大攻擊對主要目標的影響。

透明度：DeFi項目自然非常重視透明度，通常構建在開源代碼之上。這使得任何人，無論是安全研究人員還是黑客，都可以查看代碼并搜尋可利用的漏洞。

一些黑客還聲稱，可以在不違反法律的情況下操縱和攻擊DeFi項目。這可能導致潛在攻擊者將DeFi項目視為比CeFi目標風險更低的項目。

2022年10月，基于Solana的平臺Mango Markets損失了約1.15億美元，原因是有個團隊操縱了其價格預言機（決定代幣價值的權威）。自稱為黑客領袖的Avraham Eisenberg后來透露了自己的身份，并將其團隊活動描述為“利潤豐厚的交易策略”，而非黑客行為。Eisenberg是否會被起訴，目前尚不清楚。

Mango Markets黑客發布推文稱其行為是合法的

到目前為止，基礎設施攻擊、代碼漏洞攻擊和協議攻擊占今年黑客竊取資金總量的大部分。一些黑客還組合使用這些攻擊類型來竊取資金。

基礎設施攻擊讓黑客侵入目標的安全控件，進行未經授權的交易，例如將資金從受害者地址發送到黑客所控地址。這種攻擊類型的常見方法有竊取私鑰、助記詞，及前端攻擊。

針對智能合約的代碼漏洞攻擊使攻擊者能夠在未經授權的情況下從DeFi協議中移除資金。在智能合約代碼漏洞攻擊中，黑客可能會使用已發現的漏洞對協議展開攻擊。今年早些時候，Solana的wormhole橋成為黑客攻擊的目標，導致該DeFi協議中超過3億美元被盜取。

協議攻擊是一種業務邏輯攻擊，主要結果是攻擊者可以操縱代幣的價格，并創造套利機會，在一個市場低買，在另一個市場高賣。閃電貸款和治理操縱是其中最常見的協議攻擊類型。

最近FTX和其他備受矚目的中心化加密公司（如Celsius和Voyager等CeFi）的失敗，可能會使人們對DeFi解決方案越來越感興趣。如果投資者因此大批涌向DeFi，可能會進一步助長黑客的攻擊動機。

為了降低這種風險，DeFi項目應該求助于傳統的bug賞金計劃、智能合約安全審計和商業安全解決方案。

傳統的bug賞金計劃給黑客和安全研究人員發放獎勵，激勵他們發現漏洞并將漏洞報告給DeFi項目。然后就可以在攻擊利用該漏洞之前修補該漏洞。相比之下，加密賞金計劃在攻擊后向黑客支付資金鼓勵其歸還一定比例的被盜資金，這實際上會激勵黑客的攻擊行為。

安全審計可以發現DeFi項目頂梁柱——智能合約——中的漏洞，允許項目在黑客得以利用這些漏洞之前將其修復。但是，審計并不是萬無一失的，應該與其他安全控件和策略合并使用。

新的商業解決方案正在開發，以提高整個DeFi生態系統的安全性。特別是當與現有的控件（如智能合約審計）相結合時，創新的安全產品可能會提供更好的DeFi安全性，盡管現在判斷其效力還為時過早。

當結合使用時，這些控件和技術可以縮小DeFi協議的攻擊面。隨著DeFi的不斷增長，黑客將尋求更大膽的方法來利用其弱點和漏洞——因此，保持持續的警惕性必不可少。

金色財經 子木

金色早8點

去中心化金融社區

CertiK中文社區

虎嗅科技

區塊律動BlockBeats

深潮TechFlow

念青

Odaily星球日報

騰訊研究院

Tags：EFIDEFDEFIETHDefiCliqGenesisDefiWDEFIeth2.0幣價

pepe最新價格