比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

回顧2021DeFi攻擊案例:如何避免選擇易受攻擊的協議_DEF

Author:

Time:1900/1/1 0:00:00

智能合約給了我們去中心化,無需信任,去信任等眾多特點,但去除人為操作之后,一旦智能合約開了天窗,那么資產有可能被黑客予取予求。DeFi普及率和采用率升高,項目方魚龍混雜,如何才能火眼金睛的保護資產變得愈來愈重要。

本片比較淺嘗輒止的分析了2021年以來DeFi被攻擊的例子,并且提出了預防的方式。偏簡單易懂。

目前,DeFi細分市場有兩個特點:一是它正飆升至前所未有的高度:它監管不力,幾乎沒有任何擁有資源或技術技能的人能夠經營智能合約并吸引用戶。這兩個因素使得該領域對攻擊者來說十分誘人。

這些攻擊究竟是如何發生的?如何保護自己?我們將研究其機制,并提供DeFi中最大攻擊的例子,以便了解哪些協議需要特別謹慎。

最短的DeFi概述

DeFi提供基于區塊鏈的金融服務,如借貸和生息。關鍵的一點是,DeFi是具有包容性且無需許可的——任何人,無論他們的公民身份、社會地位和信用歷史如何,每個人都可以利用它。DeFi是去信任的,因為它運行在智能合約上——所有的條款和條件都是事先描述過的,用代碼編寫,現在無需人工干預就可以執行。在這里,用戶唯一可以信任的是協議團隊編寫良好代碼的能力。反過來,由于大多數項目都是開源的,審計和社區通常會檢查這一點。

Solana官方數據回顧:截至到21日,Solana總共鑄造了100萬個NFT:12月22日消息,Solana官方發文回顧2021年,截至到21日,Solana總共鑄造了100萬個NFT;5,985次公開回購;114 億美元的TVL;16億美元的TVL鎖定在Stake Pools;1,135個RPC節點;1,328個全球驗證節點;生態系統中共有5,145個項目;45,500,750,478筆交易計數。[2021/12/22 7:55:12]

然而,這怎么能給操縱留下空間呢?

攻擊者如何利用DeFi中的不安全性?

對DeFi的黑客攻擊是指某人利用協議的漏洞來獲取鎖定在協議中的資金。以下是實現這一目標的三個主要“策略”:

DeFi項目制作得非常快,團隊并不總是有時間徹底檢查他們的代碼。黑客利用了這些漏洞。

DeFi的每個協議都有自己的機制,用戶如何鎖定他們的資金,以及他們如何獲得回報。有時候,協議的創始人并不知道這些機制是如何被濫用的,并成為大賺一筆的漏洞。

一些團隊故意制造問題——他們通過出售他們的股份和傾銷代幣來濫用他們在項目中的巨大影響力。

ETC Labs發文回顧51%攻擊事件:并不打算回滾任何交易:8月11日,ETC Labs官方發文回顧總結近期51%攻擊事件。官方表示,首先在攻擊期間,官方與礦工及交易所保持聯系,就攻擊事件提供建議,要求暫停存取款,并確保使用Geth或Besu核心客戶端。其次,官方就攻擊事件作出相關聲明:1.指責向攻擊者出售算力的礦池并不合理。雖然礦池可以改進系統鼓勵礦工誠實行為,但并不對整個網絡安全負責。2.指責ETC鏈本身也不合理。ETC協議是完全按照其設計在運行,惡意礦工挖出的區塊根據共識規則是有效的,只不過其總體算力占比最大。因此,針對此次事件,官方并不打算回滾任何交易。官方強調稱,所有的PoW鏈都很容易受到攻擊。不要只關注ETC受攻擊,需要認識到這是任何PoW鏈普遍的弱點。無論哪個社區都應該共同努力減少安全風險。最后,官方表示,ETC正在實施一系列措施以防止攻擊再次發生:1.正在建立更健全的監測和快速反應系統,以此提早預警。2.正在研究一種新的挖礦算法,以減少攻擊可能性,并限制攻擊破壞性。3.正與礦工、礦池建立合作關系,提高算力鼓勵誠實挖礦行為;4.正與Kobre & Kim律師事務所、以及CipherTrace合作,協助進行刑事調查。5.ETC將繼續堅持其理念,繼續進行技術開發。[2020/8/11]

DeFi中最常用的兩種攻擊方案

公告 | VB交易所2019年度回顧:已完成1億枚VBT回購:VB交易所發布2019年度回顧公告。數據顯示,截止2020年1月13日,VB平臺累計注冊用戶511572人,累計上線交易對37個,24小時交易額穩步在5億人民幣附近,與超過50+區塊鏈媒體財經建立合作關系,平臺已成功被coinmaketcap(CMC),coingecko, mytoken ,sosolx等多家區塊鏈數據平臺收錄。

VBT是VB交易所的平臺幣,過去一年總計銷毀9088630420枚VBT, VBT總量9.1億余枚,流通量5.9億余枚。VB交易所將使用2019年的平臺手續費收入從二級市場上累計回購2億枚VBT,其中1億枚VBT已回購完成,剩余1億枚VBT的二級市場回購將于2020年3月份前完成,回購完畢將進行相關公示。[2020/1/13]

讓我們看一下DeFi中最廣泛使用的兩種機制——拉地毯和閃存貸款攻擊。

拉地毯——在沒人預料到的時候撤回流動性

動態 | 美國SEC主席在財年預算申請證詞中回顧2018年加密貨幣相關工作:美國證券交易委員會(SEC)官網今日發布了SEC主席Jay Clayton在國會就SEC 2020財年預算申請發表的證詞。在回顧2018年的工作時,Clayton提及該機構解決了一些加密貨幣、ICO和類似產品和技術出現的問題。SEC合規檢查和檢查辦公室(OCIE)在2018年公布了2019年的審查優先事項,其中包括數字資產(加密貨幣、coin和token)。此外,SEC還創建了一個網站,向公眾宣傳涉及ICO的欺詐行為。[2019/5/9]

在“拉地毯”中,業主或開發商突然從池中撤出流動性,引發恐慌,迫使所有人都賣掉資產。基本上,這是一個退出騙局。創始人在一個項目中所占的股份越高,這個項目就越可疑:“拉地毯”正是DeFi討論的集中化風險之一。

它是這樣開始的:創始人宣布了一個帶有原生代幣的新平臺,提供了一些很酷的獎勵。然后,該團隊在去中心化的交易所(如Uniswap)上創建一個流動性池,代幣與ETH、DAI或其他主要貨幣配對。用戶被鼓勵帶來更多的流動性,因為這將給他們帶來高收益。一旦代幣價格上漲,創始人就會收回他們的流動性并消失。

行情 | 11月加密貨幣市場單月跌幅回顧:比特幣現金跌幅最高為60%,其次是比特幣跌幅45%,EOS從5.2美元跌至2.87美元下跌45%,以太坊跌幅約為42%,萊特幣從50美元跌至32美元下跌了36%左右,恒星幣跌幅不到30%,瑞波幣相對較好價格跌幅僅為15%。總結:11月跌幅在30%以下的加密貨幣包括瑞波幣、恒星幣和新經幣,而“最大輸家”包括比特幣現金、以太坊、EOS和ADA。[2018/12/4]

開發者擁有大量股份并不是件好事,但即使有,也有一種保護項目的方法:開發者可以設置一種不允許他們在未來某一天之前退出的程序。這大大增加了對該項目的信任。

閃電貸款攻擊——抽取和消除流動性

什么是“閃貸”?它允許用戶在很短的時間內,在沒有抵押品的情況下,借到無限量的錢——用戶必須在下一個區塊被開采之前償還貸款和利息而開采只需幾秒鐘。如果用戶不償還貸款,交易將不會結束,借入的資金將從用戶那里被拿走。

閃貸的關鍵用途之一是套利:從不同平臺上的資產價差中獲利。比如,以太坊在交易所A的成本為2000美元,在交易所B的成本為2100美元。用戶可以獲得價值2000美元的閃電貸款,在交易所A購買ETH,在交易所B出售,用戶的利潤將是100美元減去gas費和貸款費用。

閃電貸的無限性質為漏洞利用鋪平了道路。以下是快速貸款攻擊的一般方案:

一個攻擊者借200個代幣A,價值10萬美元(一個代幣A價值500美元)。

然后,他在A/B流動性池中大舉買入代幣B。這推高了代幣B的價格,而代幣A下跌,現在只值100美元。

當代幣B暴漲時,攻擊者以100美元的價格將其賣回代幣A。現在,相比最初的200代幣,其可以買得起1000代幣A(在價格下降5倍后)。

然而,攻擊者只是在這個智能合約中降低了代幣A的價格。閃貸的貸款人仍然以500美元的價格購買代幣A。因此,攻擊者用他的200代幣A償還貸款,并拿走剩下的800枚。

正如所看到的,閃電貸款利用了去中心化交易所的本質,而沒有實際的黑客行為。他們只是簡單地拋出拋售代幣A,并移除池中相當一部分的流動性,這基本上是在竊取流動性提供者的資金。

2021年的主要DeFi攻擊

1.?MeerkatFinance黑客這是一個典型的拉地毯,然而,表現時異常的玩世不恭。MeerkatFinance是一種流動性挖礦協議,所有者甚至無法使用匯集的資金。在攻擊發生前不久(也就是項目啟動后的一天!),他們升級了協議,獲得了訪問權限,刪除了所有MeerkatFinance的社交媒體賬戶和他們的網站,帶著價值1300萬美元的穩定幣和價值1700萬美元的73000BNB的逃跑了。2.?AlphaHomora閃電貸款攻擊

風險正在上升!今年2月在AlphaHomora攻擊中,3700萬美元被盜。該借貸平臺于2020年10月啟動,最近升級為V2版本。在一個AlphaHomoraV2池中,攻擊者借入和出借了數百萬個穩定幣,使其價值膨脹,使攻擊者獲得巨額利潤。

3.?EasyFi私鑰失竊

今年4月,基于Polygon的借貸協議EasyFi遭遇了最嚴重的一次DeFi黑客攻擊。在一次黑客攻擊中,一名網絡管理員的私鑰被竊取,這讓攻擊者得以獲得該公司的資金。價值7500萬美元的三百萬EASY代幣被盜。除此之外,EasyFi的保險庫里還有價值600萬美元的穩定幣被盜。

4.?SaddleFinance套利利用

這是另一個閃電貸款攻擊,尤其是這次。SaddleFinance是一種類似Curve的協議,用于交易包裝資產和穩定幣,在其發布一天后,于2021年1月21日遭到攻擊。通過進行一系列的套利攻擊,攻擊者在短短6分鐘內成功獲取了近8個比特幣的流動性。這可能是由于池的智能合約中的一個漏洞——攻擊者將穩定幣的價格拉得太高,以至于價值0.09BTC的一個代幣被換成了另一個價值3.2BTC的代幣。

如何避免選擇易受攻擊的協議?

“閃貸”總是出人意料地發生,人們也不可能總是提前看到“拉地毯”的可能性。然而,遵循這些建議將幫助用戶更多地注意可疑跡象,并可能幫助用戶避免金錢損失。特別注意:

團隊和它的聲譽。創始人和開發者是誰?團隊是公開的嗎?它曾經參與過任何值得信賴的加密項目嗎?如果沒有,這也不一定是壞事,但應該引起關注。

訪問金庫。這個團隊有嗎?到什么程度?如果創始人的持股比例過高,這并不是一個危險信號。

多重簽名訪問公司資金。如果開發人員啟用了多簽名訪問庫,并且團隊之外的人擁有一些簽名,這可能有助于防止“拉地毯”。

壽命及其流動性。如果開發人員將他們的資金鎖定在一年左右的時間內,用戶可以放心,團隊至少在這段時間結束前不會退出。

有什么措施可以保護DeFi不受攻擊?

隨著DeFi的成熟,池中有相當數量的流動性,池中的大量流動性可能是降低閃電貸攻擊風險的主要因素。

閃電貸最高限額不允許攻擊。

對智能合約的安全審計將為易受攻擊和配置錯誤的合約騰出空間。

更好的監管將有助于避免故意發布易受攻擊的協議。

一些項目已經實施了社區漏洞獎勵,幫助用戶在協議中發現漏洞和后門獲得獎勵。

總結

DeFi使用無需許可和去信任的工具在短時間內提高可觀的收入,從而徹底改變了金融。然而,它的眾多漏洞經常被攻擊者和惡意開發人員使用。每次攻擊都要求協議提高安全性,這就是DeFi黑客幫助該行業發展的方式。

Tags:EFIDEFIDEFETCPEFI幣deFIREDeFiChainetc幣2021年猛漲

狗狗幣價格
NFT構成數字出版嗎?合規怎么做?_區塊鏈

對于NFT的相關應用,現在大多從經濟金融的角度對其進行理解,認為其代表不可替代令牌。而不可替代是一個經濟學術語,你可以用它來描述家具、歌曲文件或電腦之類的東西,這些東西不能與其他物品互換.

1900/1/1 0:00:00
Twitter的140件NFT在OpenSea交易量突破500萬美元_TWI

8月10日消息,Twitter在6月30日發布的NFT系列“The140Collection”在OpenSeaNFT市場上創造了1700ETH的總交易量.

1900/1/1 0:00:00
柬埔寨央行數字貨幣Bakong用戶數大增,上半年交易額達5億美元_KON

日經新聞報道,柬埔寨央行數字貨幣Bakong自2020年10月正式推出以來,用戶數大增,截至6月,Bakong電子錢包用戶數較三個月前翻了一番,達到20萬.

1900/1/1 0:00:00
熱議NFT:數字化未來的重要基石_Maker

當前,NFT已經從小眾的區塊鏈空間“出圈”,在全世界引起了病營銷般的關注。除了動輒創出天價“吸睛”外,NFT在當今日益虛擬的世界以及不久的未來所扮演的角色,也成為熱議的話題之一.

1900/1/1 0:00:00
金色前哨 | 梅西接受巴黎圣日爾曼粉絲代幣PSG作為部分薪酬_PSG

據巴黎圣日爾曼俱樂部官方信息,足球明星利昂內爾·梅西在轉會到法國巴黎圣日爾曼俱樂部后的財務方案將包括以加密貨幣粉絲代幣PSG支付.

1900/1/1 0:00:00
獨家 | 靈蹤安全:去中心化跨鏈的曲折發展_比特幣

本文由“靈蹤安全”原創,授權“金色財經”獨家首發,轉載請注明出處。8月10日,跨鏈協議PolyNetwork遭到攻擊,依賴該協議的O3Swap跨鏈交易協議連帶受到牽連,其所支持的三條公鏈以太坊、.

1900/1/1 0:00:00
ads