比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > AVAX > Info

DeFi協議是如何被黑客攻擊的?_DEFI

Author:

Time:1900/1/1 0:00:00

對幾十次黑客攻擊的分析確定了去中心化金融領域的主要載體和典型漏洞。

去中心化金融領域正在以驚人的速度增長。三年前,DeFi鎖定的總價值僅為8億美元。到2021年2月,這一數字已增至400億美元;2021年4月,它達到了800億美元的里程碑;現在,它的價值已經超過1400億美元。一個新市場的如此快速增長,肯定會吸引各種黑客和欺詐者的注意。

根據加密貨幣研究公司的一份報告,自2019年以來,DeFi領域因黑客和其他漏洞攻擊而損失了約2.849億美元。從黑客的角度來看,對區塊鏈生態系統的黑客攻擊是一種理想的致富手段。因為這種系統是匿名的,他們有錢可賺,而且任何黑客都可以在受害者不知情的情況下進行測試和調整。在2021年的前四個月,損失達到了2.4億美元。而這些只是公開知道的案例。我們估計真正的損失達到了數十億美元。

Terra舊鏈DeFi鎖倉量僅剩3845萬美元:金色財經報道,據 defillama 最新數據顯示,Terra 舊鏈 DeFi 鎖倉量僅剩 3845 萬美元,其中 Anchor 協議鎖倉量約為 2300 萬美元。Terra 鏈上 DeFi 鎖倉量曾超過 300 億美元,但隨著 UST/LUNA 穩定幣崩盤,從五月初以來該指標出現斷崖式下跌。[2022/5/31 3:52:33]

DeFi協議的錢是如何被盜的?我們分析了幾十起黑客攻擊事件,確定了導致黑客攻擊的最常見問題。

濫用第三方協議和業務邏輯錯誤

任何攻擊都主要從分析受害者開始。區塊鏈技術為自動調整和模擬黑客攻擊的場景提供了許多機會。為了使攻擊快速而隱蔽,攻擊者必須具備必要的編程技能和智能合約工作原理的知識。黑客的典型工具包允許他們從網絡的主要版本中下載自己的區塊鏈的完整副本,然后對攻擊過程進行全面調整,就好像交易發生在真實的網絡中一樣。

DeFi巨鯨0xb1地址背后團隊將推出新DeFi應用Fodl Finance:9月28日消息,DeFi巨鯨0xb1地址背后團隊“0xb1.484 | 四八四”宣布將在接下來幾周推出一個新的DeFi應用Fodl Finance。團隊表示在2020年至2021年5月期間管理了0xb1地址中持有的資金,目前已與該資金和它們來自的組織沒有關系,運營推特的團隊沒有改變,在過去6個月開發了Fodl Finance,該協議將提供無利率的杠桿多頭/空頭服務。[2021/9/28 17:12:02]

接下來,攻擊者需要研究項目的業務模式和使用的外部服務。業務邏輯的數學模型和第三方服務的錯誤是最常被黑客利用的兩個問題。

DeFi 概念板塊今日平均漲幅為1.03%:金色財經行情顯示,DeFi 概念板塊今日平均漲幅為1.03%。47個幣種中21個上漲,26個下跌,其中領漲幣種為:ANT(+24.33%)、CRV(+22.06%)、FOR(+18.49%)。領跌幣種為:HOT(-8.95%)、SRM(-8.75%)、SUSHI(-6.76%)。[2021/3/3 18:09:31]

智能合約的開發者在交易時需要的相關數據往往超過他們在任何特定時刻可能擁有的數據。因此,他們被迫使用外部服務——例如,預言機。這些服務并不是為在去信任的環境中運作而設計的,所以它們的使用意味著額外的風險。根據一個統計數據,既定類型的風險占損失的比例最小——只有10次黑客攻擊,造成的損失總額約為5000萬美元。

徐坤:Compound會引發一眾Defi項目效仿 但其成功很難復制:OKEx首席戰略官徐坤剛剛發微博稱,Compound的“借貸即挖礦”一周就吸引了5億美金新增鎖倉價值,不僅將Defi總市值推向新高,也一舉超越Maker Dao成為龍頭,這勢必會引發一眾Defi項目效仿。但Compound是已經具備一定流動性基礎,挖礦激勵模式只是起到了催化增長的作用,如果其他項目本身沒有實際業務支撐就照抄作業,很難復制這樣的成功。同時,Compound目前的估值偏高,畢竟鎖倉價值與MKR相當,市值卻已經是其5倍之多了,挖礦人需要注意風險。此外,正如我之前的觀點,系統性風險以及代碼漏洞猶如達摩克里斯之劍,依舊是整個Defi生態不可輕視的因素。[2020/6/24]

編碼錯誤

智能合約在IT領域是一個相對較新的概念。盡管它們很簡單,但智能合約的編程語言需要一個完全不同的開發范式。開發人員往往根本不具備必要的編碼技能,并犯下嚴重錯誤,導致用戶的巨大損失。?

安全審計只能消除這類風險的一部分,因為市場上的大多數審計公司對他們的工作質量不承擔任何責任,只對財務方面感興趣。由于編碼錯誤,超過100個項目而被黑客攻擊,造成的總損失約為5億美元。一個鮮明的例子是發生在2020年4月19日的dForce黑客事件。黑客利用ERC-777代幣標準中的一個漏洞,結合重入攻擊,偷走了2500萬美元。

閃電貸、價格操縱和礦工攻擊

提供給智能合約的信息只在執行交易時相關。在默認情況下,合約不能幸免于對其中包含的信息進行潛在的外部操縱。這使得一系列的攻擊成為可能。

閃電貸是一種沒有抵押物的貸款,但需要在同一筆交易中歸還所借的加密貨幣。如果借款人未能歸還資金,交易將被取消。這種貸款允許借款人收到大量的加密貨幣并將其用于自己的目的。通常情況下,閃電貸攻擊涉及價格操縱。攻擊者可以先在交易中賣出大量借來的代幣,從而降低其價格,然后在買回代幣之前,以非常低的價值執行一系列行動。

礦工攻擊類似于基于工作量證明共識算法的區塊鏈上的閃電貸攻擊。這種類型的攻擊更加復雜和昂貴,但它可以繞過閃電貸的一些保護層。它的工作原理是這樣的。攻擊者租用挖礦能力,形成一個只包含他們需要的交易的區塊。在給定的區塊內,他們可以首先借用代幣,操縱價格,然后歸還借用的代幣。由于攻擊者獨立形成了進入區塊的交易,以及它們的順序,攻擊實際上是原子性的,就像閃電貸的情況。這種類型的攻擊已經被用來攻擊100多個項目,損失總額約為10億美元。

隨著時間的推移,黑客的平均數量一直在增加。在2020年初,一次盜竊金額就高達數十萬美元。到今年年底,這個數字已經上升到數千萬美元。

開發者不稱職

最危險的風險類型涉及人為錯誤因素。人們為了尋求快速賺錢而求助于DeFi。許多開發人員資質很差,但仍試圖在匆忙中推出項目。智能合約是開源的,因此很容易被黑客復制和改動。如果原始項目包含前三種類型的漏洞,那么它們就會蔓延到數百個克隆項目中。RFISafeMoon是一個很好的例子,因為它包含一個關鍵的漏洞,被復制到一百個項目上,導致潛在損失超過20億美元。

文:GUESTAUTHORS

Tags:EFIDEFIDEFUNDGEFI幣DeFiStarterDEFI幣THUNDERCAKE

AVAX
腦洞大開:未來的算法保險究竟可以怎么玩?_USD

去中心化保險的構想一直是區塊鏈應用理想用例的經典例子之一。保險企業有動機盡可能長時間地拖延索賠,而由于這個過程幾乎完全沒有透明度,用戶嚴重缺乏知情權,這導致整體的用戶體驗不佳.

1900/1/1 0:00:00
金色早報 | 摩根大通:CTA交易員被迫退出比特幣和以太坊的空頭頭寸_區塊鏈

頭條 ▌摩根大通:CTA交易員被迫退出比特幣和以太坊的空頭頭寸8月14日消息,摩根大通表示:CTA交易員被迫退出比特幣和以太坊的空頭頭寸,并開始建立多頭頭寸.

1900/1/1 0:00:00
漫威NFT來了 動漫IP如何打開虛擬資產新世界?_API

通過NFT,IP作品的傳播范圍得到了放大,鏈上的流通性也帶來了新的增值空間。今年以來,“NFT”在全球掀起浩大的聲勢.

1900/1/1 0:00:00
扎克伯格:元宇宙將改變Facebook甚至整個互聯網_CEB

在未來,我們就像是生活在Facebook版的《楚門的世界》。“元宇宙”(Metaverse)聽起來可能像是威廉·吉布森(WilliamGibson)小說里的一些陳詞濫調,但Facebook首席執.

1900/1/1 0:00:00
NFT 新構想:用 NFT 自下而上講故事 顛覆傳統自上而下講故事模式_YOU

一個好的故事會讓你有所感觸。如果對故事擁有所有權,會讓這些情緒更加強烈。用NFT講故事,可以成為講故事的一種有力方式:對新舊故事都是如此。過去幾個月,多個項目一直在探索這個故事與NFT的交叉點.

1900/1/1 0:00:00
Solana生態中有哪些值得關注的GameFi項目?_SOL

原文標題:《Solana生態中值得關注的GameFi項目匯總》?GameFi的概念早在2019年就已經在區塊鏈領域被提出,經過市場的不斷演化,形成了Game+DeFi+NFT的新商業模式.

1900/1/1 0:00:00
ads