区块链:都说区块链“安全” 为什么 DeFi 黑客如此猖獗？_DEF

作者：Andrew Zola / Unchained

区块链使 DeFi 成为可能。事实上，区块链应该是安全的，那为什么如此多的 DeFi 平台和应用程序总是遭到黑客攻击？

加密情报公司 CipherTrace 在 2022 年年初发布的一份报告显示，去中心化金融 (DeFi) 占所有加密黑客攻击的 75% 以上。此外，在所有主要加密欺诈案件中，发生在 DeFi 领域的占比达到 54%，高于 2020 年的 3%。

首先，什么是区块链？

区块链是存储不同数据类型的分布式共享账本。例如，我们可以使用区块链来记录非同质代币 (NFT) 的所有权，当然还有加密货币交易。

尽管传统数据库可以轻松存储相同的信息，但区块链的独特之处在于没有集中的权限。它永远不会由中心化管理员在一个位置进行维护，例如 Excel 电子表格，一个人可以在没有监督的情况下进行更改。

相反，区块链数据库的多个相同副本存在于网络上的多台计算机或节点上。要在“链”中添加另一个“块”并将底层交易记录在分布式账本中，需要达成共识。

前中国人民银行副行长朱民：美国的银行还会发生爆仓:金色财经报道，前中国人民银行副行长朱民近日表示，硅谷银行这件事是一个非常典型的银行资产错配、期限错配、结构错配、管理不当，当外部环境变化的时候，特别是利率环境变化的时候，没能够及时调整产生的问题。朱民认为美联储与财政部的动作速度是比较慢的，硅谷银行事件是一个典型的银行管理错误，叠加银行内部的道德风险问题。美国的银行还会发生爆仓吗？朱民给出了肯定的答案：还会，至少在区域银行还会。[2023/3/19 13:13:38]

大多数节点必须在将新数据块添加到分类帐之前验证新数据的合法性。因此，理论上，任何人都几乎不可能进行欺诈交易。这是因为威胁者必须侵入每个节点并更改分类帐的每个副本以避免被发现。

虽然这不一定是不可能的，但这对黑客来说是一个巨大的挑战。此外，当您将一层权益证明 (PoS) 或工作量证明 (PoW) 交易验证方法添加到组合中时，系统变得极其困难。

POS（在 Algorand、EOS 和 Tezos 中很流行）使用随机选择的矿工来验证交易。另一方面，POW 使用竞争验证方法来确认交易。一旦交易被确认，一个新的区块将被添加到区块链中。

新火科技上线Sinohope Staking技术支持服务，布局去中心化业务:金色财经报道，新火科技宣布推出去中心化Staking技术支持服务Sinohope Staking。首期服务支持Cosmos链，未来计划拓展至以太坊、EOS、LINK等其他主流公链。

Sinohope Staking旨在提供安全专业的技术支持和服务，以便用户快捷高效地参与去中心公链Staking生态，平台不经手亦不会持有任何客户资产。客户无需托管虚拟货币资产，通过自主决定参与及 操作，自行管理资金，即可成为众多PoS公链的节点，从而获得稳健、低风险的收益。[2023/1/30 11:36:28]

因此，去中心化的公共区块链可以高度安全，因为网络上的每个人都必须验证交易是否合法执行。那么，为什么加密黑客频频成为头条新闻？问题的答案在于跨链桥。

什么是跨链桥？

跨链桥连接两个不同的区块链，并允许用户在没有任何中介或中央授权的情况下从一个区块链发送、接收或交换加密货币，例如加密货币。

推特未来几个月将进行大规模裁员，马斯克计划裁员75%:10月21日消息，据相关采访和文件显示，推特的员工可能会在未来几个月遭受大规模裁员的打击。据悉，马斯克在收购该公司的交易中告诉潜在投资者，他计划解雇推特7500名员工中的近75%，将公司员工数量精简至只有2000名以上。即使马斯克收购推特的交易失败(现在几乎没有迹象表明它会失败)，预计也会有大规模裁员。推特目前的管理层计划在明年年底前削减约8亿美元的人力成本，这意味着近四分之一的员工将离职。 (华盛顿邮报)[2022/10/21 16:33:30]

虽然这听起来很简单，但事实并非如此。跨链桥不像美元兑换欧元（这很简单），一个易理解的类比是：试图将您银行账户中的航空里程兑换成美元。

区块链桥的存在是为了在高 Gas 费或交易费用、快速交易、改善隐私、优化实用程序以及通过互操作性增强用户体验时为用户提供选择。

道富银行高管：计划将在2023年对资金和私人资产进行代币化:金色财经报道，道富银行（State Street）负责数字产品开发和创新的副总裁Nicole Olson表示，随着机构继续对加密领域表现出兴趣，代币化仍然是银行业务未来的重中之重。例如，使用分布式账本技术对资金和私人资产进行代币化以提高效率和可访问性是该公司在 2023 年的工作。Olson表示，State Street Digital 打算在今年年底之前提供托管一些“蓝筹”加密资产的能力，例如比特币和以太币，然后再推出其他资产。

Nicole Olson称.，代币化对我来说很令人兴奋，因为道富和客户都有很大的机会参与其中，它广泛地将数字技术添加到那些更传统的资产中，并将它们带入未来”。

截至 6 月 30 日，道富银行托管和管理的资产规模为 42.6 万亿美元，其资产管理部门的资产管理规模约为 3.9 万亿美元。[2022/8/30 12:56:34]

它还为用户提供选择自由并鼓励公平竞争。如果一个网络比另一个网络更快或更便宜，您可以以更低的成本简单地切换和移动数字资产。因此，跨链构成了 PancakeSwap 等平台的基础，用户可以在其中快速“交换”以太坊 (ETH) 等加密货币为 Binance (BNB)。

MicroStrategy比特币投资未实现亏损达到16.65亿美元:6月18日消息，Watcher.Guru发推称，MicroStrategy的比特币投资目前未实现亏损达到16.65亿美元。[2022/6/18 4:37:36]

然而，跨链桥（和侧链桥）有时可以颠覆 DeFi 的整个概念。大多数跨链桥依赖于各种外部验证器（例如：包装版代币或第三方托管，它们可能不是去中心化且免信任的）和中心化联盟来促成资产转移。

是什么让跨链桥易受攻击？

跨链网带来了重大的安全风险，由于连接了由不同实体开发的多个链，必须在更广泛的网络中有效地防范攻击。

从本质上讲，这使黑客通过简单地将代币从一条链移动到另一条链来窃取资金成为可能。此外，DeFi 平台是犯罪攻击的理想目标，因为它提供了快速的回报、隐私和匿名性，而且执法方面（仍然）相对较落后。

然而，我们不得不处理如此多的安全漏洞（如 MultiChain、Poly Network、Thorchain 和 Wormhole），原因归结为创始人没有认真对待安全性并且没有发现错误。例如，从 ETH 到 BNB 的交换需要以太坊、Binance 和跨链桥中的交换代理， ETH 和 BNB 可能是安全的，但如果桥接代理是薄弱环节，这也无济于事。

当托管人通过未经测试的安全实践和设计不良的系统来保护数百万甚至数十亿美元时，至少可以说，保护用户资金是一项挑战。

Wormhole 桥攻击

Wormhole 跨链桥攻击是有史以来第二大加密黑客攻击，导致损失超过 3 亿美元（或 120,000 ETH），怎么发生的？

Wormhole 允许用户在 Avalanche、Binance Smart Chain、Ethereum、Polygon、Solana 和 Terra 等链上桥接资产。因此，用户可以在区块链之间转移资产，并且桥通过锁定交易并将包装版本（例如 wETH）铸造到最终链来实现转移。

Solana 的软件功能不是最新的。一些黑客发现并利用了这种容易避免的技术疏忽。例如，威胁者能够通过在指令中注入恶意的“sysvar 帐户”来规避“验证签名”过程。结果，他们能够破坏这个跨链协议，因为它未能验证所有“验证者帐户”，从而使攻击者能够验证者签名并凭空铸造多达 120,000 ETH。

在这种情况下，跨链违规的根本原因是“验证签名”过程，因为合约有一个过时的功能，无法验证 sysvar 帐户的合法性。这些漏洞提醒人们，DeFi 仍处于起步阶段，这些项目本质上是实验。

在Wormhole 桥攻击之后我们可以信任 DeFi 吗？虽然我们不能 100% 完全信任任何技术，但随着 DeFi 的发展和成熟，黑客节点或使其离线将变得更加困难。这是因为加密技术只有在每个问题的解决方案和每次迭代中都会变得更好。

加密用户如何保护自己？

随着加密货币成为主流，网络犯罪也变得越来越流行。为了提高区块链安全性并加强跨链环境，加密新手和老手都必须严格遵循最佳实践来降低风险。

进行尽职调查

进行研究至关重要。了解区块链开发团队是否拥有积极透明的业绩记录。如果过去的 DeFi 项目有过安全事件的历史，那么他们可能在内部发布过程中存在问题。

查找这些信息并不简单。您必须深入研究加密世界并研究参与项目的每个人以及可能影响预期结果的所有相关因素。

选择由白帽黑客“审计”的协议

确保他们与已建立的白帽黑客服务合作，以识别和纠正潜在的跨链漏洞。如果团队未能充分解决内部风险和潜在漏洞，您可以期待威胁行为者对其进行“磨练”。

您可以通过遵循协议的公告并与黑客追踪服务提供商（如 Zokyo 和 Trail of Bit）保持联系来找到此信息。白帽黑客每天都在使 web3 变得更好、更安全。通过吸引白帽黑客，DeFi 平台还可以鼓励网络内的共识和协议以提高安全性。

查看锁仓总价值（TVL）

查看协议中锁定了多少加密货币（或存放和锁定的加密资产的总价值）。如果 TVL 加起来高达数十亿美元，并且协议已经活跃了很长时间，那么安全风险可能相对较低。但与往常一样，要格外小心。

随时了解最新消息

众所周知，加密世界会在一夜之间发生变化。因此，跟上包括区块链安全事件在内的最新发展至关重要。跟踪创始人正在做什么，以及他们是否仍在积极为项目做出贡献。如果团队已经“跑路”，您必须根据您的发现重新制定策略。

区块链安全每天都在变好，DeFi 将继续存在

区块链本身是高度安全的，但在多个区块链之间的互操作中可能会出现漏洞。虽然跨链桥肯定会带来许多安全挑战，但它们对于互操作性、可扩展性和增强用户体验至关重要。

由于 DeFi 领域仍处于起步阶段，随着每次安全事件的发生，整个生态系统都在变得越来越好。我们可以从每起加密黑客事件中学习，让DeFi空间更加安全和隐私。

尽管安全事件过去发生过，而且将来肯定会发生，但DeFi 团队都应该化被动为主动，永远将智能合约的安全性放在第一位，让自己远离头条新闻。唯有不断进步的安全性，才能稳固 DeFi 在行业中的强大地位。

编译及整理：比推 Mary Liu

标签：区块链EFIDEFIDEF数字人民币与区块链FireFiDeFi CoinDeFi Coin Bonus

AVAX热门资讯