月亮链 月亮链
Ctrl+D收藏月亮链

DEF:为了防止DeFi攻击 我们都要做什么?_EFI

作者:

时间:1900/1/1 0:00:00

智能合约给了我们去中心化,无需信任,去信任等众多特点,但去除人为操作之后,一旦智能合约开了天窗,那么资产有可能被黑客予取予求。DeFi普及率和采用率升高,项目方鱼龙混杂,如何才能火眼金睛的保护资产变得愈来愈重要。

本片比较浅尝辄止的分析了2021年以来DeFi被攻击的例子,并且提出了预防的方式。偏简单易懂。

目前,DeFi细分市场有两个特点:一是它正飙升至前所未有的高度:它监管不力,几乎没有任何拥有资源或技术技能的人能够经营智能合约并吸引用户。这两个因素使得该领域对攻击者来说十分诱人。

这些攻击究竟是如何发生的?如何保护自己?我们将研究其机制,并提供DeFi中最大攻击的例子,以便了解哪些协议需要特别谨慎。

DeFi提供基于区块链的金融服务,如借贷和生息。关键的一点是,DeFi是具有包容性且无需许可的——任何人,无论他们的公民身份、社会地位和信用历史如何,每个人都可以利用它。DeFi是去信任的,因为它运行在智能合约上——所有的条款和条件都是事先描述过的,用代码编写,现在无需人工干预就可以执行。在这里,用户唯一可以信任的是协议团队编写良好代码的能力。反过来,由于大多数项目都是开源的,审计和社区通常会检查这一点。

CZ:曾起诉Binance的VC如今成为了Binance Labs第二期基金的LP:7月15日消息,Binance创始人CZ于今日发布六周年公开信,他在信中表示,Binance的成长并不是一帆风顺的。此前,一家潜在风险投资机构向Binance提起诉讼,这场官司持续了若干年,Binance最终获得全面胜利。官司结束几年后,在Binance的邀请下,这家潜在投资机构还成为了Binance Labs第二期基金的有限合伙人,至今于Binance维持着良好的关系,大部分问题都可以得到解决。

据悉,红杉资本曾于2018年在香港对CZ提起诉讼,指控他在谈判期间接触IDG资本,违反了排他性协议。[2023/7/15 10:56:42]

然而,这怎么能给操纵留下空间呢?

攻击者如何利用DeFi中的不安全性?

对DeFi的黑客攻击是指某人利用协议的漏洞来获取锁定在协议中的资金。以下是实现这一目标的三个主要“策略”:

Solana首席执行官:Solana自创建之初就是为了提高速度:9月21日消息,Solana Labs联合创始人兼首席执行官Anatoly Yakovenko最近解释了该项目如何成功成为加密领域的巨头。最近在2021年SALT大会上接受Cointelegraph采访时,Yakovenko表示,他的项目专注于提高速度,以满足加密资产普及所需的规模需求。他补充说,Solana从第一天开始就是为了速度而构建的,与其他PoS网络不同的是,它针对特定的在线交易用例进行了优化,以支持每天进行数百万笔交易的平台。Yakovenko称,SOL最近被第三方验证器记录为每秒可处理20万笔交易,随着加密项目的硬件越来越好,“容量也在增加”。Solana依靠一个由60名志愿者组成的开发团队,自2020年3月进入市场以来,成功实现了爆炸式增长。该网络托管了400多个项目,其中有许多NFT和DeFi应用程序。(Crypto Globe)[2021/9/21 23:40:56]

DeFi项目制作得非常快,团队并不总是有时间彻底检查他们的代码。黑客利用了这些漏洞。

Jimmy Song:Blockstream很早就将BTC作为了储备资金:8月12日晚间,比特币核心开发者Jimmy Song发推称,应该表扬Blockstream(闪电网络开发公司),他们很久以前就把比特币作为公司的储备资产,这就是为什么他们自2016年以来不需要筹集任何资金的原因。[2020/8/12]

DeFi的每个协议都有自己的机制,用户如何锁定他们的资金,以及他们如何获得回报。有时候,协议的创始人并不知道这些机制是如何被滥用的,并成为大赚一笔的漏洞。

一些团队故意制造问题——他们通过出售他们的股份和倾销代币来滥用他们在项目中的巨大影响力(社区没有注意到这一点)。

让我们看一下DeFi中最广泛使用的两种机制——拉地毯和闪存贷款攻击。

拉地毯——在没人预料到的时候撤回流动性

在“拉地毯”中,业主或开发商突然从池中撤出流动性,引发恐慌,迫使所有人都卖掉资产。基本上,这是一个退出局。创始人在一个项目中所占的股份越高,这个项目就越可疑:“拉地毯”正是DeFi讨论的集中化风险之一。

声音 | 央行穆长春:稳定币的主要目的是为了推动全球跨境支付发展:中国人民银行数字货币研究所所长穆长春10日在“第十届财新峰会:开放的中国与世界”上表示,稳定币的主要目的是为了推动全球跨境支付向效率更高、成本更低、更普惠的方向发展。然而,跨境支付的成本问题不是技术造成的,主要是制度和监管成本的问题。新技术和新支付工具并不能从根本上解决这个问题。[2019/11/10]

它是这样开始的:创始人宣布了一个带有原生代币的新平台,提供了一些很酷的奖励。然后,该团队在去中心化的交易所(如Uniswap)上创建一个流动性池,代币与ETH、DAI或其他主要货币配对。用户被鼓励带来更多的流动性,因为这将给他们带来高收益。一旦代币价格上涨,创始人就会收回他们的流动性并消失。

开发者拥有大量股份并不是件好事,但即使有,也有一种保护项目的方法:开发者可以设置一种不允许他们在未来某一天之前退出的程序。这大大增加了对该项目的信任。

声音 | 社科院国际金融研究室主任:Libra的初衷肯定不是为了维护和增强美元霸权:据中国新闻周刊报道,社科院国际金融研究室主任刘东民向《中国新闻周刊》分析表示,Libra对现行国际货币体系影响比较大,无论是发达国家还是欠发达国家都会对其有严格的监管和要求。未来几年,Facebook需要跟各国政府和国际金融机构进行深入沟通和妥协,可能会改变策略。因此,Libra的落地不会太快,也不会太顺利。由于目前Libra锚定的一篮子货币比例还不清楚,尚不能判断是否会对美元全球霸权产生影响,不过Libra的初衷肯定不是为了维护和增强美元霸权。中国在研究数字货币上有着充足的时间窗口。Libra要想落地并不简单,需要相当长时间与各国政府和国际金融机构进行斡旋。因此,中国有着充足时间去研发自己的数字稳定币。此前,央行在数字货币做了很多工作,大量民营企业在区块链、第三方支付技术、数字货币研发上有着重组技术积累和实际应用。因此,中国只需要适当的政策调整,在数字稳定币研发上应该很快能够走到世界前列。[2019/7/19]

闪电贷款攻击——抽取和消除流动性

什么是“闪贷”?它允许用户在很短的时间内,在没有抵押品的情况下,借到无限量的钱——用户必须在下一个区块被开采之前偿还贷款和利息而开采只需几秒钟。如果用户不偿还贷款,交易将不会结束,借入的资金将从用户那里被拿走。

闪贷的关键用途之一是套利:从不同平台上的资产价差中获利。比如,以太坊在交易所A的成本为2000美元,在交易所B的成本为2100美元。用户可以获得价值2000美元的闪电贷款,在交易所A购买ETH,在交易所B出售,用户的利润将是100美元减去gas费和贷款费用。

闪电贷的无限性质为漏洞利用铺平了道路。以下是快速贷款攻击的一般方案:

一个攻击者借200个代币 A,价值10万美元(一个代币 A价值500美元)。

然后,他在A/B流动性池中大举买入代币B。这推高了代币B的价格,而代币A下跌,现在只值100美元。

当代币B暴涨时,攻击者以 100 美元的价格将其卖回代币 A。现在,相比最初的200代币,其可以买得起1000代币A(在价格下降5倍后)。

然而,攻击者只是在这个智能合约中降低了代币A的价格。闪贷的贷款人仍然以500美元的价格购买代币A。因此,攻击者用他的200代币A偿还贷款,并拿走剩下的800枚。

正如所看到的,闪电贷款利用了去中心化交易所的本质,而没有实际的黑客行为。他们只是简单地抛出抛售代币A,并移除池中相当一部分的流动性,这基本上是在窃取流动性提供者的资金。

1. Meerkat Finance 黑客

2. Alpha Homora 闪电贷款攻击

风险正在上升!今年2月在Alpha Homora攻击中,3700 万美元被盗。该借贷平台于2020年10月启动,最近升级为V2版本。在一个Alpha Homora V2池中,攻击者借入和出借了数百万个稳定币,使其价值膨胀,使攻击者获得巨额利润。

3. EasyFi 私钥失窃

今年4月,基于Polygon的借贷协议EasyFi遭遇了最严重的一次DeFi黑客攻击。在一次黑客攻击中,一名网络管理员的私钥被窃取,这让攻击者得以获得该公司的资金。价值7500万美元的三百万EASY代币被盗。除此之外,EasyFi的保险库里还有价值600万美元的稳定币被盗。

4. Saddle Finance 套利利用

这是另一个闪电贷款攻击,尤其是这次。Saddle Finance 是一种类似Curve的协议,用于交易包装资产和稳定币,在其发布一天后,于2021年1月21日遭到攻击。通过进行一系列的套利攻击,攻击者在短短6分钟内成功获取了近8个比特币的流动性。这可能是由于池的智能合约中的一个漏洞——攻击者将稳定币的价格拉得太高,以至于价值0.09 BTC的一个代币被换成了另一个价值 3.2 BTC 的代币。

“闪贷”总是出人意料地发生,人们也不可能总是提前看到“拉地毯”的可能性。然而,遵循这些建议将帮助用户更多地注意可疑迹象,并可能帮助用户避免金钱损失。特别注意:

团队和它的声誉。创始人和开发者是谁?团队是公开的吗?它曾经参与过任何值得信赖的加密项目吗?如果没有,这也不一定是坏事,但应该引起关注。

访问金库。这个团队有吗?到什么程度?如果创始人的持股比例过高,这并不是一个危险信号。

多重签名访问公司资金。如果开发人员启用了多签名访问库,并且团队之外的人拥有一些签名,这可能有助于防止“拉地毯”。

寿命及其流动性。如果开发人员将他们的资金锁定在一年左右的时间内,用户可以放心,团队至少在这段时间结束前不会退出。

随着 DeFi 的成熟,池中有相当数量的流动性,池中的大量流动性可能是降低闪电贷攻击风险的主要因素。

闪电贷最高限额不允许攻击。

对智能合约的安全审计将为易受攻击和配置错误的合约腾出空间。

更好的监管将有助于避免故意发布易受攻击的协议。

一些项目已经实施了社区漏洞奖励,帮助用户在协议中发现漏洞和后门获得奖励。

DeFi使用无需许可和去信任的工具在短时间内提高可观的收入,从而彻底改变了金融。然而,它的众多漏洞经常被攻击者和恶意开发人员使用。每次攻击都要求协议提高安全性,这就是DeFi黑客帮助该行业发展的方式。

标签:DEFDEFIEFINANGlobal DeFiDefi BombNINEFI币Linear Finance

比特币最新价格热门资讯
DAO:观点:加密投资为何应该 DAO 化?_opendao币最新价格

DAO 架构对投资最有利,或将颠覆资产管理的现有版图。这篇文章作为这一系列的第二部分,旨在更深入挖掘投资 DAO,论证一下投资为何应该 DAO 化.

1900/1/1 0:00:00
COI:Coinbase CEO炮轰美国新税收提案“毫无意义” 将破坏美国的加密创新_MBASE

美国两党基建法案要求扩大加密货币税收报告的提案受到多位业内人士的质疑。该提案将对处理加密货币的企业实施更严格的规则,扩大对经纪人的报告要求,并要求经纪人向美国国税局报告价值超过 10,000 美.

1900/1/1 0:00:00
NFT:NFT市场火热 多家企业试水NFT数字商品_数字资产有哪些类型

今年以来,基于区块链技术的NFT(非同质化权益证明)热度直线上升。NFT的创新之处在于提供了一种标记原生数字资产所有权的方法,有利于数字版权保护与授权.

1900/1/1 0:00:00
MPC:亦游戏亦金融:MPC将创造无限可能_BSPAY价格

2021年全球金融市场大起大落,震荡加剧全所未有。俗话说,危机往往伴随着机遇,在这动荡的环境中金融科技公司埋头深耕、创新层出不穷,涌现诸多经济模式.

1900/1/1 0:00:00
比特币:比特币重回4万美元 ProFunds推出比特币共同基金_比特币钱包的作用不正确的是

智通财经APP获悉,美国马里兰州的ProFunds公司周三推出了据称是首只与最大加密货币比特币价格相关的共同基金.

1900/1/1 0:00:00
DYDX:如何领取去中心化衍生品交易协议dYdX治理代币?_数字货币是什么东西

8月3日,去中心化衍生品交易协议 dYdX 宣布推出治理代币 DYDX,并对此前在平台上交互过的地址进行空投.

1900/1/1 0:00:00