区块链:区块链十大攻击方式系列二：DeFi 黑客攻击 真是防不胜防_Defi Bomb

欢迎来到成都链安策划的『区块链10大攻击方式』系列文章。上周分享了区块链十大攻击方式系列——51%攻击，大家看的还过瘾吗？

闲话少说，今天，我们开启系列文章第二篇——DeFi黑客攻击，继续为大家讲解区块链安全生态领域的那些攻击套路、漏洞。

01?-?什么是DeFi？黑客为何偏爱攻击DeFi项目？

区块链技术的诞生，为传统金融、数据隐私、供应链、跨境汇款等应用领域带来革命性的突破。其中「去中心化金融」便是这两年最为火热的应用之一。

法拉利结束与瑞士区块链技术公司Velas的合作协议:1月12日消息，据彭博社报道，法拉利的一级方程式车队已经结束了与区块链技术公司Velas Network AG的合作关系，该公司没有提供更多细节，表示不会对涉及争议、诉讼或两者的事项发表评论。[2023/1/13 11:09:07]

DeFi是去中心化金融DecentralizedFinance的缩写，它指的是基于区块链的金融服务体系。

和现在的金融体系不同，用户的资金不会存放在第三方的金融机构中，而是通过各种智能合约去实现协议和信任，如此可以最大程度地减少风险。它是一个完整的开源生态系统，提供贷款、交易、资产管理和支付等金融服务。

腾讯云发布区块链引擎与区块链可信计算平台 推动区块链应用落地:在腾讯全球数字生态大会产业区块链专场上，腾讯云发布区块链底层引擎和区块链可信计算平台两大产品，进一步丰富区块链产品矩阵。腾讯云区块链底层引擎是一个具有高可扩展性的企业区块链系统，主要解决产业区块链应用数据量过大带来的扩展性问题，以及区块链之间的跨链互操作问题，以实现更大规模跨组织的信息化协作。腾讯云区块链可信计算平台定位于解决数据应用过程中的数据隐私、安全和权属等问题，为数据提供方与数据使用方提供安全可信连接器。两款重量级产品的发布，也标志着腾讯云产业区块链产品矩阵进一步丰富。[2020/9/11]

DeFi攻击事件频发，最主要的原因还是其累计了巨额的资产。面对巨大的诱惑，黑客必然会想方设法去攻击。比如跨链项目不仅仅是链上智能合约，还有链下的代码，无论哪一部分出现了问题，都会被黑客所利用。

02?-?DeFi涉及到的安全问题都有哪些？

世界商业组织执行总干事陆军：区块链的核心部分一定要包含分布式大数据:金色财经现场报道，8月15日，2020国际数字经济生态峰会于赣州开幕，会上世界商业组织执行总干事、中国互联网协会应用创新工作委员会副主任、KMCN理事长陆军演讲表示，数字经济进入大众视野开始于G20峰会，数字经济是运用数字化手段对实体生活进行的提升，人民生活有物质生活和精神生活。数字经济与物质生活和精神生活有着莫大的关联，互联网+实体经济就是数字经济。人工智能、大数据、区块链分别代表了社会的生产力、生产资料、生产关系。生产关系的改善会极大的释放生产力，区块链是改善生产关系的最好工具。此外，区块链发展的核心部分一定要包含分布式大数据。[2020/8/15]

2022年第一季度，区块链领域共发生典型安全事件超过30起。总损失金额超12亿美元，与去年同期相比增长了823%。

山东济南市中区将建设省级区块链产业园区:5月10日上午，山东省济南市中区召开全区重点工作聚焦提升推进大会，全区将聚焦产业提质，做好优化升级。针对新一代人工智能、云计算、大数据等领域重大项目，建设省级区块链产业园区，实施数字经济园区建设突破行动。（齐鲁壹点）[2020/5/10]

数据显示，DeFi项目仍为黑客攻击的重点领域，其中主要涉及到的安全问题包括：闪电贷攻击、私钥泄露、智能合约重入攻击、Rugpull等等。

闪电贷攻击

闪电贷就是在一笔链上交易中完成借款和还款，无需抵押。由于一笔链上交易可以包含多种操作，使得攻击者可以在借款和还款间加入其它链上操作，以极低的成本撬动巨额资金，结合其他漏洞进行套利、价格操纵等攻击。

比如2022年4月17日，算法稳定币项目BeanstalkFarms遭黑客攻击，黑客获利近8000万美元，黑客通过闪电贷换取了350,000,000个DAI，500,000,000个USDC，150,000,000个USDT，32,100,950个BEAN和11,643,065个LUSD作为资金储备，再利用恶意提案，导致本次攻击的发生。

声音 | 浙江副省长：布局区块链等产业，力争数字经济核心产业增加值每年增长15%以上:2019年世界数字经济大会暨第九届中国智慧城市与智能经济博览会于2019年9月6日在浙江宁波正式开幕。浙江省人民政府副省长高兴夫在致辞中表示，打造产业培育的新优势，积极激发市场主体的活力，着力培育多层次、大中小微协同的生态，努力做强云计算、大数据、人工智能等新兴产业，提升高端软件、集成电路等基础产业，布局区块链、量子信息等前沿产业，着力培育5-8家世界一流的企业和3-5个世界级产业集群，力争数字经济核心产业增加值每年增长15%以上。（中国金融信息网）[2019/9/7]

详细分析可点击此处阅读：黑客获利近8000万美元，恶意提案如何防范？BeanstalkFarms被攻击事件分析

私钥泄露：

项目方由于遭受社会工程学或传统网络安全攻击，导致私钥泄露，从而项目方地址权限被盗取，从而攻击者可进行转账、提取等任意操作。

比如在2022年2月10日，DeFi应用DegoFinance遭到黑客攻击，成都链安安术团队进行分析时发现本次攻击由于项目方私钥泄露，黑客利用私钥提取了多个链上的资产。

详细分析可点击此处阅读：被盗约1700万美元，DeFi世界的乐高DegoFinance就这样“塌了”吗？

智能合约重入攻击：

在存在外部合约调用的项目中，如果外部合约调用发生在账本更新之前，且外部合约调用可以被用户控制，那么该项目可能存在重入风险。在项目未做重入防范的情况下，恶意的攻击者可以通过重入攻击威胁项目资金安全。

比如在2022年3月31日，OlaFinance遭遇智能合约重入攻击，损失约为467万美元。

详细分析可点击此处阅读：约467万美元的损失！OlaFinance被攻击事件简析

Rugpull：

“RugPull”是指项目方撤出支持、DEX流动性池或突然放弃一个项目，毫无征兆地就卷走投资者的资金。这是一个DeFi领域典型的退出局。

从黑客的角度来看，对区块链生态系统的攻击是一种理想的手段。因为这些系统是匿名的，而且行业暂时缺乏技术监管，这使得网络犯罪分子可以通过攻击安全性较低的DeFi项目或实施RugPull来获取金钱收益。

03?-?如何避免被黑客攻击？

经成都链安安全团队梳理和总结，2022年第一季度的安全事件中，尽管70%的被攻击项目经过了第三方安全公司的审计，但是30%未审计的项目，其被攻击之后的损失金额也达到了7.2亿美元，占第一季度总损失金额的60%。

可见?DeFi?项目上线之前的审计依旧重要。在我们研究之后，发现在未审计的项目中，50%的攻击手法都为合约漏洞利用。因此，尽早审计和及时修复代码漏洞，可以避免上线后项目被攻击造成的严重损失。

DeFi为许多机会打开了大门，特别是对于那些热衷于推动加密市场向前发展同时保持资金流动的去中心化模块的投资者和开发商。由于DeFi热潮的兴起，该领域也自然成为了黑客“大展拳脚”的重点对象。

安全性仍然是DeFi生态系统面临的重大挑战，因此DeFi项目方应做好前置预防工作，引入一整套态势感知、威胁情报、安全响应等全生命周期的安全解决方案，完善安全防护机制。作为用户，在选择项目时，应留意该项目是否经过安全审计，切不可掉以轻心。

标签：区块链EFIDEFDEFI区块链通俗易懂的例子有哪些MEFI币Defi BombDEFI价格

币赢热门资讯