DeFi之道 | 最常見的DeFi黑客攻擊和漏洞利用類型有哪些？_USD

引言

我們都知道機會是d與風險并的存，DeFi的世界也不例外。在DeFi世界中，相比于掙錢，人們可能更容易蒙受財產損失。雖然這些風險不能完全避免，但通過謹慎的風險管理和判斷，你至少可以減少被“吊打”的次數。

那么在DeFi世界中，人們最常見的虧損方式是什么？有哪些不同類型的黑客攻擊和漏洞利用？最重要的是，你應該怎樣才能把自己受到黑客攻擊的負面影響降到最低？你將在本文中找到這些問題的答案。

在我們開始之前你還需要了解的是，這篇文章是Finematics和rekt.news合作完成的。

rekt.news是一個匿名平臺，一些熱心的玩家和DeFi偵探會向該社區展示他們的發現。他們分析了所有主要的黑客攻擊和漏洞利用，并對加密貨幣和DeFi的所有項目合約提供了創造性的評論，這樣做的主要目的是為了教育和娛樂讀者。他們的網站rekt.news包含了自己出品的文章，以及一個人工智能生成的新聞聚合器，該聚合器提供了最近所有最重要的事件，特別是加密貨幣和DeFi領域的新聞。

現在回到本文的主題，我是如何在DeFi中翻車的？

DeFi資產管理平臺Zapper推出更易使用的觀察錢包功能:DeFi資產管理平臺Zapper推出優化版錢包觀察功能，用戶可以通過在通訊錄頁面中添加外部的地址，便可觀察這些地址的資產情況。在此之前，Zapper未提供類似的功能，用戶需要從已連接的錢包解綁后，才可觀察其他錢包。團隊表示，該功能可以用來觀察鯨魚用戶的行為，或者通過觀察其他用戶的策略以學習和適應自己的策略。[2021/7/21 1:07:53]

我們沒有足夠充足的時間在本篇文章中涵蓋每一種類型的攻擊，當然，這其中有許多黑客攻擊的類型仍然未被人們發現，但是有一些黑客技術經常會發生，我們現在就來看幾個例子。

RugPull

“rugpull”已經成為整個DeFi的一個常用術語，它現在多被用來指許多類型的黑客和漏洞利用，但它實際上指的是突然從流動性池子中移走大部分流動性的一種特定技術。

流動性的突然損失可能會造成代幣的死亡螺旋，因為代幣持有者會試圖盡快出售手中的代幣，從而避免造成更多的損失。

rugpull通常是惡意團隊進行攻擊的最后一步，也是一種常見的“退出騙局”形式，即當他們試圖帶著資金逃跑時，協議會刪除它們之前所有的社交媒體痕跡。

由于這種類型的攻擊在技術上實施起來非常簡單，它通常是低投入項目快速獲取現金的首選技術，然而這并不意味著按照這種方式所獲取的利潤很低，因為目前已經有幾起主要的惡意攻擊導致用戶損失了數百萬美元。

DeFi基準利率今日為6.90%:金色財經報道，據同伴客數據顯示，05月20日DeFi去中心化金融基準利率為6.90%，較前一日下跌0.15%。同期美國國債抵押回購率（Repo Rate）為0.01%，二者利率差為6.89%。

DeFi基準利率代表了DeFi融資難易程度，利率越高說明融資成本越高，利率越低說明融資成本越低。其與Repo Rate的利率差則便于DeFi與傳統市場作進行同類比較。[2021/5/20 22:25:07]

其中一個例子就是MeerkatFinance，該項目在運營了一天之后，就獲得了1300萬BUSD和7.3萬BNB的收益，當時的總收益約為3100萬美元。

如果在一個項目中使用了一個大的流動資金池子，那么該項目團隊就不應該具有檢索這些資產的能力。如果他們這樣做了，那么你就相當于把自己的信任完全交給了項目團隊。

MeerkatFinance一開始并沒有這個能力，然而在攻擊前不久，MeerkatFinance的部署者“升級”了他們自己的2個Vaults，并且給他們自己進入Vault留了后門。

DeFi總市值330.9億美元 OKEx平臺WNXM領漲:據OKEx統計，DeFi項目當前總市值為330.9億美元，總鎖倉量為323.1億美元；

行情方面，今日DeFi代幣普漲，OKEx平臺DeFi幣種漲幅前三位分別是WNXM、MLN、AAVE；

截至18:00，OKEx平臺熱門DeFi幣種如下：[2021/1/22 16:48:13]

我們怎么才能避免被rugpull呢？

我們可以檢查項目的流動性是如何鎖定的，是否有時間鎖，是否有多重簽名？

對這個項目做些調查，弄清楚誰在支持它，這個項目的是做什么。

團隊是否被大家所熟知？如果是的話，你能發現他們的一些相關信息么？現在在網上證明身份變得越來越困難，詐騙者正轉向不同尋常的方法來建立他人的信任，比如DeTradeFund，一些人懷疑該公司使用深度造假技術制作了一段假冒CEO的視頻。rekt.news報道了這個故事。。

另一方面，如果你找不到任何關于項目方相關人員的信息，也請記住匿名團隊并不一定是一件壞事，因為比特幣的創始人至今仍是匿名的。

經濟利用/閃電貸

曾經有一段時間，似乎每周都有新的DeFi黑客事件出現，而閃電貸這個詞從未遠離過人們的視線。

Asproex（阿波羅）將于9月8日上線DeFi熱門幣種YFV、UMA、BAND、REN:據官方消息，Asproex（阿波羅）將于2020年9月8日正式上線DeFi熱門幣種YFV、UMA、BAND、REN? ，并于當日開通YFV/USDT、UMA/USDT、BAND/USDT、REN/USDT交易對。開放充提時間：9月8日16:00；開放交易時間：9月8日18:00。2020年，DeFi流動性挖礦盛行，Asproex（阿波羅）已率先切入“DeFi”生態賽道，后續將為用戶甄選更優質的DeFi項目，讓用戶安全快捷參與DeFi浪潮。

Asproex（阿波羅）作為首家離岸銀行控股持牌交易平臺，也是一家涵蓋CTO企業通證上市的交易平臺，持有5國牌照，為全球中小微企業提供融資難的解決方案，助力數字化上市。[2020/9/7]

閃速貸與“黑客攻擊”的聯系讓社區中的許多人相信，閃速貸是完全是負面的。

然而，值得注意的是，閃電貸交易已經適用于擁有大賬戶的鯨魚用戶，閃電貸本身并不是一種惡意工具，它們只是在很短的時間內提供大量資金。這些資金可以被用來利用代碼的漏洞，或者操縱定價并從套利的過程中獲利。

閃電貸是一種無抵押、無擔保的貸款，它必須在區塊鏈交易結束前償還；如果沒有償還，智能合約就會逆轉交易，那么貸款就像從未發生過一樣。

當前DeFi借貸總量為15.50億美元:金色財經報道，DeBank數據顯示，當前DeFi借貸總量約為15.50億美元。其中，Compound平臺約10.42億美元，占總體份額67.26%，Maker平臺約3.70億美元，占總體份額23.89%，Aave平臺約1.11億美元，占總體份額7.26%。

注：DeFi其實質是基于一套開放的賬戶體系，保證全球任何人都可以無門檻使用的一系列金融服務。這些金融服務主要由一些開源的智能合約來提供，整個服務的代碼和賬目都可以在區塊鏈上進行公開審計。[2020/8/9]

由于貸款的智能合約必須在其出借的同一交易中完成，因此借款人必須使用其他智能合約從而幫助他在交易結束前與貸款資金進行即時交易。

如果你想了解更多關于閃貸的信息，請點擊這里查看這篇文章。

大多數閃電貸攻擊都涉及使用大量資金操縱代幣價格。

大規模閃電貸攻擊的一個例子是HarvestFinance，該項目在2020年10月被攻擊后損失了3380萬美元。

在攻擊的兩個小時內，fUSDT下跌了13.7%，$FARM下跌了67%，因為黑客取出一筆5000萬美元的USDT閃電貸，然后使用CurveFinance的Y池來進行資金互換，穩定幣的價格出現了快速上漲。

這一連串的操作在7分鐘的時間段內發生。

接受USDT5000萬美元的閃電貸

將1140萬USDC互換成USDT->導致USDT價格上漲

將6060萬USDT存入Vault

兌換1140萬USDT到USDC->USDT價格下降

從Vault提取6110萬USDT>從而獲得50萬USDT利潤

重復上述過程32次。

通過TornadoCash將穩定幣轉換為renBTC并換成BTC和ETH。

在步驟4中，由于USDT價格的變化，攻擊者能夠提現出更多的USDT。由于USDT的價格在提現期間較低，他們的持有份額從Vault中提取更多的USDT。

大約4次循環的gaslimit為1000萬，雖然每次循環的利潤不到1%，但每次循環的利潤很快就增加到了50萬美元。

閃點貸經常被用來操縱價格，這也使得套利成為可能。為了避免對閃電貸價格操縱的攻擊再次發生，協議應該考慮使用可靠的去中心化預言機。

閃速貸還可以用于其他攻擊手段，如重入攻擊、搶先交易或套利。

套利

套利指的是利用不同市場之間的價格差異來產生利潤。這些類型的機會在不成熟的市場是非常常見的，如DeFi和加密貨幣。隨著流動性的增加和市場效率的提高，套利機會往往會減少。

如果一個池子被操縱來為套利提供空間，那么這也可能被認為是一種利用，因為流動性提供者最終可能會失去他們的資金，就像SaddleFinance一樣。

盡管項目方聲稱“已經解決了滑點的問題”，但是在今年1月的運行過程中，至少有3個主要的套利行為在6分鐘內從早期的流動性提供者手中拿走了7.9枚比特幣。

4.01BTC139961美元，2021年1月19日04:06:54PM+UTC

0.79BTC27573美元，2021年1月19日04:08:46PM+UTC

3.11BTC108548美元，2021年1月19日04:12:37PM+UTC

盡管這只是套利行為，但用戶還是蒙受了資金損失，因為SaddleFinance無法保護他們免受套利者的傷害，而這些套利者只是在代碼的限制內進行買賣。

這就引出了一個常見的問題，即在DeFi中損失資金：

這到底是一次黑客攻擊，還是利用了項目方的漏洞？

DeFi仍然是一個全新的概念，整個行業就像是一場實驗，我們在建立新的金融體系時其實也是在測試新的想法。這意味著漏洞經常出現在真實的代碼中，當這些漏洞可以被用來提現資金而不需要強制操縱任何東西時，我們或許最好稱之為“漏洞利用”。

然而，它也可以適用于所有的黑客，因為他們只能使用已編寫的代碼進行操作。不管我們稱他們為黑客還是漏洞利用，最終的結果都是一樣的。如果存在漏洞，那么最終會有人利用它們，而我們是幾乎無法阻止這種情況發生的。

當然了，即使安全審計過得項目也不能保證安全。

審計

rekt.news還對最多的黑客攻擊和漏洞利用進行了排名，它不僅顯示了協議被竊取的金額，還顯示了在黑客入侵前是誰對協議進行了審計。

如果我們看到rekt的排行榜，就會發現大多數被黑的協議實際上在攻擊之前已經完成了安全審計。這證明了審計并不是協議安全的保證，審計公司也可能會出現失誤。

Rekt的排行榜顯示了出事項目的審計方以及被利用的特定代碼片段。

根據排行榜顯示的信息，目前最臭名昭著的安全公司是：Peckshield有3個失敗的審計，Certik有2個，Quantstamp也有2個。

rekt.news最近報道過許多審計過的協議，文章的結果表明，經過審計的協議和未經審計的協議之間的差別很小。

用戶經常犯這樣的錯誤，認為一個安全審計可以永遠保證整個協議的安全，然而，所有的DeFi協議都存在著變數，即使一個協議被非常徹底地進行了審計，但是一個小的更新也會使審計變得無用。

總結

你怎么看DeFi世界發生的黑客事件？你曾經被黑過么？

還有，別忘了去看看rekt.news更多類似的內容。

如果你喜歡閱讀這篇文章，你也可以在Youtube?和推特上查看Finematics?。

Tags：EFIDEFDEFIUSDNINEFI價格DeFi Coin BonusEVAL DEFIusdt幣圈最新消息

火幣交易所