月亮链 月亮链
Ctrl+D收藏月亮链

DEF:?欧科云链OKLink行业观察:遭黑客两连击 DeFi生态鸣起丧钟还是进入休整_EFI

作者:

时间:1900/1/1 0:00:00

对于DeFi (Decentralized Finance)投资者来讲,这一周都不会太平静。北京时间4 月 19 日上午 8 点 45 分,国产 DeFi 借贷协议 Lendf.Me 被曝遭受黑客攻击。这是继 4 月 18 日 Uniswap 被黑客攻击损失 1278 枚 ETH(价值约 22 万美元)之后,DeFi生态出现的又一重大安全事件 。

最新动向

两起安全事件接连爆发后,项目方、区块链安全公司纷纷跟进。4月18日,也就是周六,Uniswap 的imBTC被盗走;周日,Lendf.Me上价值2500万美金的资产被黑客洗劫一空;周一,dForce创始人杨民道如期于Medium发文通报“Lendf.Me被黑”一事的处理进展,表示“在过去的24小时里,一直在不停地工作,并将在以后的文章中详细介绍Lendf.Me采取的所有行动。”周二,黑客返还全部资产,dForce创始人杨民道公布后续行动计划。

基于Polygon的社区建设实验NFT项目Paulygon即将推出:金色财经报道,基于Polygon的交互式艺术品社区建设实验NFT项目Paulygon即将推出。Paulygon将为其合作伙伴协议发布自定义NFT集合,用户可结合20多个合作伙伴协议的链上查询以及数百个独特的配件来进行解锁。目前其合作伙伴包括LayerZero、DefiLlama、Frax Finance、FlywheelDeFi、Gains Network、Arkham、Polymarket、0VIX、Dopex、Diamond Pepes、Qi Dao、Gelato、BROZO等。[2023/3/30 13:34:47]

Lendf.Me 被攻击累计的损失约 24,696,616 美元,具体盗取的币种包括USDT、WETH、WBTC等12个币种。据欧科云链OKLink区块链浏览器显示,北京时间4月21日开始,Lendf.Me攻击者地址0xa9bf70a420d364e923c74448d9d817d3f2a77822下的资产在不断往外转出。当日14点,Lendf.Me攻击者地址下的ETH余额减少至$279.27。一小时后,该地址下ETH余额已经为0。随着各方的介入,最新消息显示黑客已退回全部被盗资产。

彭博社:Gemini Trust前首席运营官加入币安担任首席合规官:金色财经报道,Gemini Trust的前首席运营官Noah Perlman已开始担任币安的首席合规官,目前币安正面临日益严峻的监管挑战。Perlman于今年1月开始在币安任职。

据悉,Perlman离开Gemini时,Gemini正在应对数字资产市场的动荡和合作伙伴Genesis的破产,许多Gemini用户已经将他们的代币借给了Genesis。(彭博社)[2023/2/14 12:05:16]

 图片来源:oklink.com,4月21日13:30 

乌克兰商业银行发布TASCOMBANK发布Stellar运行数字货币试点报告:1月13日消息,乌克兰商业银行发布TASCOMBANK发布Stellar运行数字货币试点报告,报告向乌克兰国家银行和乌克兰数字化转型部强调在区块链上发行电子货币的优势,包括在所有流通阶段和所有交易参与者之间透明度和问责制,低交易成本、即时支付功能以及高吞吐量区块链平台,还可以提高客户数据的安全性和机密性。

据悉,2021年12月,恒星币发展基金会宣布,恒星币区块链将用于试点乌克兰国家货币格里夫纳的电子版本。该试点由金融科技公司Bitt和TASCOMBANK进行,将由该国中央银行在数字化转型部的鼓励下进行监督。[2023/1/13 11:10:07]

NEAR已发布第1阶段分片的测试网,主网预计下月发布:8月17日消息,NEAR第1阶段分片的测试网已在Github发布,预计将在下个月发布主网。[2022/8/17 12:31:39]

图片来源:oklink.com,4月21日14:00

重入攻击

目前已知的情况是,攻击者利用了 imBTC 采用的 ERC-777 标准的一个漏洞,执行重入攻击(Reentrancy attack ),导致市值约 2500 万美金的资产从 Lendf.Me合约里被取出。

而18日下午,攻击Uniswap的手法与此次Lendf.Me类似,两次事件的攻击者极有可能是同一伙人。黑客利用Uniswap和ERC777的兼容性问题,在进行ETH与imBTC交易时利用ERC777中的多次迭代调用tokensToSend来实现重入攻击。

Elrond生态DEX项目Maiar发生系列可疑活动,目前已停机维护:6月6日消息,Elrond 创始人兼首席执行官 Beniamin Mincu 在推特上表示,他的其团队正在调查 Maiar 的“可疑活动”,并将很快提供更新。目前,Maiar DEX 官网显示正在进行定期维护,运营将很快恢复。[2022/6/6 4:05:03]

解释重入攻击之前,我们来复习一个关于以太坊的知识点。以太坊上的每一个代币都是一个合约,而这些合约都是根据某个标准来写。大多数用户更熟知的是ERC20标准,欧科云链OKLink区块链浏览器显示,截至4月21日,以太坊上ERC20代币数高达214075,且数量呈现上升趋势。 

 图片来源:oklink.com

然而,即使是ERC20同一标准下,代币在合约之间的转账仍然不是很方便。ERC777便应运而生,兼容ERC20的基础上又添加了新的内容。

此次事件中的Uniswap是根据ERC20标准设计的。Uniswap v1有一个工厂合约和一个交易合约,通过工厂合约,每个代币都可以和以太坊生成一个交易合约。也就是说,任何满足ERC20标准的合约都能够通过工厂合约直接注册到Uniswap上而不需要许可。ERC777兼容ERC20,ERC777标准下的合约同样也可以注册到Uniswap。

通常来讲,智能合约在正常执行期间可以通过执行函数调用,或者简单地转移以太坊来执行对其他智能合约的调用。这些智能合约本身可以称为其他智能合约,它们可以回调到调用他们的智能合约或回调栈中的任何其他智能合约。在这种情况下,我们说智能合约被重新输入,这种情况被称为可重入性。

重入本身不是问题,但智能合约以“不一致”的状态重新输入时,就会出现问题。Uniswap 上使用 ERC777 的安全性问题早在19年6月就被发现并公开过。ERC777 的 Uniswap 交易对会因为 在ERC777 标准里存在,而不存在于 ERC20 里被攻击,这时候,重新输入就变成了重入攻击。

防御对策

这已经不是第一次DeFi 系统性风控漏洞被黑客利用了。从之前闹得沸沸扬扬的闪电货bZx漏洞事件到此次的二连击事件,2020年还未过半,DeFi就经历了三次大规模资产风险事件。

2月,bZx遭受攻击,其协议漏洞被利用,攻击者套利99万美元;3月12日的极端行情下,MakerDao等协议突发强制清算,机器人程序未及时调高gas费,有用户趁机以0出价获得系统拍卖的抵押资产,给MakerDao造成了567万美元的损失;此次的黑客二连击事件中,被盗资产更是高达2500万美元。DeFi 基础设施的脆弱性暴漏无疑。

DeFi 的创建者本意是利用代码和智能合约创建一个无需审查权限、人人可参与的开放金融生态。其大规模发展的基础设施是各种去中心化协议。虽然有更美好的愿景,但DeFi 在抗风险能力上甚至不及中心化系统。

接连的安全事件让人们醒悟,没有0漏洞的协议,安全才是重中之重。对于项目方而言,在开发合约时就应把合约安全问题列为重点。可以将合约代码开源,让更多专业人士和技术团队参与进来,分析整理出易发生的意外事件,提升合约编写的安全性和功能准确性,防患于未然。其次,项目方可以与安全机构加强合作,审查代码。个人用户也需要在决策时格外谨慎,选择投资项目之前,利用好区块链浏览器等工具更全面地了解项目的链上信息才是关键。

这是一个快速迭代的领域,经此几劫,DeFi生态是丧钟长鸣还是进入休整,相信不久就能看到结果。这也是一个长期发展的行业,代码即法律的愿景还没有实现,更多的法规及监管介入才能帮助DeFi 生态健康发展。DeFi可能会在未来爆发,但这个可能或许还需要数十年的沉默期来铺垫。

标签:DEFDEFIEFIENDDefi Shopping StakeKingDeFiMetaegg DeFiTEND币

币安交易所app下载热门资讯
BTC:低位大换手+新增用户入场 底部逐步形成?_区块链技术的特点

狂人说央行数字货币DCEP强势袭来,昨日,媒体曝出农行开始测试DCEP钱包,今天,更加劲爆的消息就来了,支付宝参与央行数字货币的运营,这意味着,未来我们使用的支付宝支付功能.

1900/1/1 0:00:00
区块链:金色观察 | 一文读懂索尼的区块链布局_以太坊官网钱包下载教程

尽管许多国家由于COVID-19而处于停滞状态,但技术的主要参与者仍在继续开发创新的基础设施,以备我们再次行动之时.

1900/1/1 0:00:00
BTC:BTC如何操作?关注这个形态_ETH

文章开始前,先吹波牛,走一波关注!你懂的。前期大饼崩盘前,本人在03月04日参加金色沙龙、即BTC血崩前,就看空2020减半!以及早在大半年之前,2019.09.03比特币还是一万刀以上的时候,

1900/1/1 0:00:00
ETH:ETH 2.0 质押经济机制将到来 投资者会作何反应?_ETH2币

前言:本文提到了ETH2.0驱动ETH变化的7个理由,本文完全是以一种乐观的方式叙述ETH发展的前景,并没有充分考虑各种潜在风险和市场因素,所以需要大家有自己的判断.

1900/1/1 0:00:00
加密货币:如何更好的囤币?_STAK

相对于每天追涨杀跌做短线、做合约的那批人,囤币党在加密货币世界里是一个小众的存在。他们忽略市场的噪声,看中真正的长远价值,不管市场涨涨跌跌他们都坚定的持有,不停的积累自己囤币的数量,相对于价格的.

1900/1/1 0:00:00
区块链:金色观察 | DC/EP 越来越近 各商业银行动作频频_btc钱包官网

1000年前,世界上首张纸币“交子”诞生在中国。1000年后,从交子到数字货币,中国又一次引领货币金融创新变革.

1900/1/1 0:00:00