EFI:解析当DeFi沦为黑客的「提款机」，我们如何保证它的安全性？_去中心化金融defi入门分析与理解

区块链技术的诞生，除了衍生出加密货币这类新兴资产以外，也为传统金融、数据隐私、供应链、跨境汇款等应用领域带来革命性的突破。其中「去中心化金融」便是当前最为人瞩目，采用率最高的应用之一。DeFi是去中心化金融DecentralizedFinance的缩写，它指的是基于区块链的金融服务体系。

和现在的金融体系不同，用户的资金不会存放在第三方的金融机构中，而是通过各种智能合约去实现协议和信任，如此可以最大程度地减少风险。它是一个完整的开源生态系统，提供贷款、交易、资产管理和支付等金融服务。去中心化金融DeFi为什么在这两年得到“爆发式”增长？他可以为人们带来了哪些实用的金融解决方案？为什么它总是变成了黑客的“提款机”？DeFi项目如何保证自身的安全？关于DeFi，我们需要了解更多。

Numen发布微软漏洞解析，黑客可通过该漏洞获取Windows完全控制权:6月9日消息，安全机构 Numen Cyber Labs 发布微软 win32k 提权漏洞解析。Numen 表示，该漏洞系 win32k 提权漏洞，是微软 Windows 系统层面的漏洞。通过该漏洞，黑客可获取 Windows 的完全控制权。

Numen 指出，win32k 漏洞历史众所周知。但在最新的 windows11 预览版中，微软已经在尝试使用 Rust 重构该部分内核代码。未来该类型的漏洞在新系统可能被杜绝。

此前报道，5 月，微软发布的补丁更新解决了 38 个安全漏洞，其中包括一个零日漏洞。[2023/6/9 21:25:55]

SPACE ID与ENS合作实现.bnb.eth和.eth.bnb的相互解析:金色财经报道，Web3域名和身份平台SPACE ID与以太坊域名服务ENS达成合作，通过ERC-3668（CCIP读取）将.bnb域名引入以太坊网络，实现.bnb.eth和.eth.bnb的相互解析。在MetaMask上输入xxx.bnb.eth，会在以太坊上解析为用户的BNB Chain地址。[2023/5/5 14:44:15]

为什么我们会看到DeFi的兴起？近日，加密分析公司Chainalysis发布全球DeFi采用指数，美国、越南、泰国、中国、英国分列前五。该指数对154个国家/地区进行了排名，由三个指标组成：DeFi平台接收的链上加密货币价值，按人均购买力平价加权计算；DeFi平台接收的总零售价值；以及DeFi平台上的个人存款。Chainalysis指出，许多排名靠前的国家都是现在或之前存在大量加密货币价值流动的国家，通常是中高收入国家，或拥有发达的加密货币市场、尤其是强大的专业和机构市场的国家。除上述5国外，西欧国家排名也比较靠前。

Beosin：Avalanche链上Platypus项目损失850万美元攻击事件解析:2月17日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示，Avalanche链上的Platypus项目合约遭受闪电贷攻击，Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押，该函数会为攻击者铸造等量的LP-USDC，随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中，然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额，_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限，利用该返回值通过borrow函数铸造了大量USP（获利点），由于攻击者自身存在利用LP-USDC借贷的大量债务（USP），那么在正常逻辑下是不应该能提取出质押品的，但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题，仅检测了用户的借贷额是否超过该用户的borrowLimitUSP（借贷上限）而没有检查用户是否归还债务的情况下，使攻击者成功提取出了质押品（4400万LP-USDC）。归还4400万USDC闪电贷后， 攻击者还剩余41,794,533USP，随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。[2023/2/17 12:12:32]

WalletConnect 发布钱包开源解决方案 Web3Modal v2.0 版本，新增 ENS 域名解析等功能:9月17日消息，Web3 基础设施 WalletConnect 发布钱包开源解决方案Web3Modal v2.0版本，新功能包括可自定义的UI、支持上百个钱包、最终用户登陆、可定制的条款和条件、ENS域名解析，未来几周内也计划添加和增强更多功能，包括支持React和Vanilla等多种框架、为账户地址和实时余额等功能预建组件、支持非EVM链等。[2022/9/17 7:02:59]

其实，DeFi的初期爆红可以追朔至去年底开始流行的「YieldFarming」。也即「流动性挖矿」，意思是：只要用户与DeFi平台互动或提供流动性，就能获得该平台发行的代币作为奖励。DeFi平台实施流动性挖矿，可以为其在短时间吸引大量资金与流动性，并快速取得市场的关注度。紧接着，DeFi一路高歌，迎来了DeFiSummer，一直到现在，DeFi相关项目依然在继续向前推进。根据加密分析公司DeFiPulse的数据，锁定在DeFi合约中的总价值已从去年9月的100亿美元增至今年8月的800多亿美元。当然，DeFi的兴起，还在在于它的一些优势。去中心化金融能够从根本上改变金融体系，区块链技术和DeFi使系统更加值得信赖、更具成本效益和透明性，没有银行账户的人可以进入经济体系，为投资者开辟新的机会。DeFi采用率将继续增长，或许它的未来前景一片广阔，但是安全问题，是DeFi目前遇到的最严峻的挑战。黑客为什么热衷于攻击DeFi项目？根据安全公司的一份报告，到目前为止，去中心化金融系统中的黑客攻击占2021年全球所有主要黑客攻击的近76%。欺诈者通过虚假项目瞄准这些高价值合同，该报告称，与去年的1.29亿美元相比，DeFi黑客总共损失了3.61亿美元。许多DeFi项目可能会因为开发人员的代码漏洞而被黑客攻击，此外，报告补充说，其他网络犯罪分子可以通过快速贷款并操纵代币价格来破解DeFi协议。

安全团队：Reaper Farm项目遭到攻击事件解析，项目方损失约170万美元:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，Reaper Farm项目遭到黑客攻击，成都链安安全团队发现由于_withdraw中owner地址可控且未作任何访问控制，导致调用withdraw或redeem函数可提取任意用户资产。攻击者(0x5636e55e4a72299a0f194c001841e2ce75bb527a)利用攻击合约(0x8162a5e187128565ace634e76fdd083cb04d0145)通过漏洞合约(0xcda5dea176f2df95082f4dadb96255bdb2bc7c7d)提取用户资金，累计获利62ETH，160万 DAI，约价值170万美元，目前攻击者(0x2c177d20B1b1d68Cc85D3215904A7BB6629Ca954)已通过跨链将所有获利资金转入Tornado.Cash，成都链安链必追平台将对被盗资金进行实时监控和追踪。[2022/8/2 2:54:19]

刚刚过去的八月，链必安-区块链安全态势感知平台舆情监测显示就有13起典型DeFi安全事件。比如8月4日，跨链收益率提升平台PopsicleFinance下SorbettoFragola产品遭到攻击，损失近2070万美元；8月10日，跨链协议PolyNetwork遭受攻击，Ethereum、BinanceChain、Polygon3条链上近6亿美元资金被盗；8月30日，抵押借贷平台CreamFinance遭遇闪电贷攻击，损失1800万美元。DeFi攻击事件频发，最主要的原因还是其累计了巨额的资产。面对巨大的诱惑，黑客必然会想方设法去攻击。比如跨链项目不仅仅是链上智能合约，还有链下的代码，无论哪一部分出现了问题，都会被黑客所利用。从黑客的角度来看，对区块链生态系统的攻击是一种理想的手段。因为这些系统是匿名的，而且行业暂时缺乏技术监管，这使得网络犯罪分子可以通过攻击安全性较低的DeFi项目或实施地毯式来获取金钱收益。DeFi项目如何避免被黑客攻击？成都链安技术团队分析了几十起黑客攻击，找出了黑客攻击最长用的方法还是：闪电贷攻击、合约业务漏洞攻击、重入攻击。传统智能合约项目，只需要做好链上代码的审计便能避免绝大多数的风险。而跨链项目却有所不同，跨链项目存在一定的特殊性，安全的考量不能局限于智能合约层面。对于投资者，如何保护好自己的财产同样重要。创造性的DeFi产品可能会带来严重的风险。例如，在2021年6月，亿万富翁企业家马克·库班透露，他一直在交易一个DeFi代币，该代币在一天之内跌至零，结果证明这是一个局。作为用户，在参与区块链相关项目时，一定要注意甄别，选择经过专业的审计公司完备审计过的项目，并且要对整个项目进行详细的了解。同时，在参与项目后，需要对项目的最新动态进行关注，一旦发生了安全事件，及时的将资金撤回，避免遭受更大的损失，必要时可以寻求安全公司的帮助。

写在最后DeFi为许多机会打开了大门，特别是对于那些热衷于推动加密市场向前发展同时保持资金流动的去中心化模块的投资者和开发商。安全性仍然是DeFi生态系统面临的重大挑战，但是随着技术的发展，再加上适当的审计措施，相信DeFi生态系统将越来越好。

标签：EFIDEFIDEF区块链MEFI币去中心化金融defi入门分析与理解DeFi Wizard区块链域名

火币APP下载热门资讯