今年以来,DeFi成为了区块链的新风口,包括最高暴涨166倍的COMP在内的诸多DeFi项目,都出现了让人拍断大腿的行情,而DeFi锁定的资金也稳步上涨到20.8亿美金,成为了加密货币领域当之无愧的热门话题。
然而这块流淌着财富的去中心化金融热土,也被黑客盯上了……
半年内被盗3500万美金
1500美元左右的投入,90万美元的收益。
在行情惨淡的当下,这样亮眼的收益表现,任谁都羡慕。不过,并不是所有人都有这样的实力和勇气,因为完成这单生意的是一名黑客。
7月1日,DeFi平台Uniswap上发生黑客攻击事件。一名黑客仅用了0.9个ETH就盗走了91万枚VETH,完成了上文所说的,低投资高回报的生意。
而就在事件发生的前两天,另外一个DeFi平台同样也发生了黑客攻击事件。
6月29日,一名黑客在Balancer上用dydx的闪电贷不断交易通缩币,利用系统的机制漏洞盗走了价值50万美金的加密货币。
一波未平一波又起,让人意想不到的是,在同一天内,黑客故技重施,攻击Balancer部分流动性矿池中的COMP交易对,将价值10.8ETH的COMP盗走。
独家|比特币当前全网未确认交易笔数超过5.3万笔:金色财经消息,据欧科云链OKLink链上数据显示,比特币24h链上活跃地址数逾104.48万,环比上升2.58%;链上真实交易量约75.2万BTC,环比上升8.06%;链上交易笔数逾34.02万笔,环比上升8.49%。
截至上午10时,BTC全网难度为20.00T,全网算力为135.78EH/s,较前日下降1.44EH/s,未确认交易数逾5.35万笔。[2020/10/23]
短时间内,接连发生的黑客盗币事件让加密货币领域的不少投资者大跌眼镜。
事实上,黑客攻击在DeFi领域并不稀奇,DeepChain深链统计发现,在最近的5个月里一共发生了5起黑客攻击事件。
详情请看以下表格:
2020年被黑客盗币的DeFi项目汇总
DeFi是一种基于开源协议的开放式金融协议,用区块链技术和当前的加密货币金融体系整合,消除诸如银行之类的第三方中介,让用户可以使用去中心化的金融服务来完成放贷、利用抵押套利等活动。
对于DeFi平台和项目来说,最重要的问题就是确保安全性,这是其与传统中心化金融竞争,获取用户,扩大影响力的基础。毕竟每一个金融平台或产品的用户都不愿意看到财产受损,不论摆在面前的是DeFi还是CeFi。
独家 | OK战略副总裁徐坤:央行数字货币是对现有支付体系的补充:今日,金色财经独家采访OK战略副总裁徐坤对于央行数字货币的看法,徐坤表示:支付体系是商业网络的基石,牵一发而动全身。央行数字货币需要平衡的方面有很多,既要满足高效、安全、稳定,还要注重易用性,这必然要求引入市场力量,通过竞争来优选出最可行的实施方案。
支付的基础是账户体系与媒介,央行数字货币是对现有支付体系的补充,从账户互通、媒介流通的层面上,央行数字货币的运营离不开当前正在承担支付清算功能的机构,包括商业银行、支付企业等等,具体哪些机构会参与其中、参与的深度如何,一是看技术研发能力,二是看用户运营能力。[2019/8/28]
随着各种黑客盗取资金池事件的发生,可以看到的是用户对DeFi项目安全性的质疑越来越多,毕竟被黑客光顾后,血本无归是常态。
不可否认,DeFi是区块链非常不错的应用方向,资金和注意力也不断向这个领域涌入,但也要承认的是,黑客一直在暗处潜伏,伺机而动。
DeFi被盗最大事件:dForce被盗2500万美元
今年年初发生的几起DeFi项目被盗事件只在小范围内获得了关注。直到dForce被盗2500万美元爆出后,DeFi的安全性问题才引起了广泛热议。
毕竟,这是过往被盗事件中金额最大的一笔,另外,被盗资产后来成功追回的神反转也让这件事多了不少记忆点。
独家 | 丹华资本丁若宇:以太坊君士坦丁堡硬分叉标志着以太坊3.0时代的到来:就即将到来的以太坊硬分叉,金色财经独家采访到了丹华资本董事总经理丁若宇,他表示:以太坊君士坦丁堡硬分叉标志着以太坊3.0时代的到来。从PoW工作量证明到PoS权益证明的核心layer 1共识层切换,以太坊3.0将带来一系列底层技术更新和多个EIP(ethereum improvement proposal)迭代,包括super quadratic分片技术、零知识证明STARKs、数据可用性证明、链下扩容(EIP 1014)以及未来在以太坊serenity阶段将上线的Casper CBC等。这次战略升级标志着以太坊在公链扩容、安全性、经济体系(EIP 1283)和更加难且去中心化的挖矿机制(EIP 1234)上的升级,赋予了以太坊持币者更多参与公链共识的权利。近期ethereum classic分叉链受到PoW 51%算力攻击后,v神曾表示“没有让51%算力恶意攻击比51%持币权益证明恶意攻击更高昂成本的秘诀,只因以太坊算力大于ethereum classic 20倍而暂时未受攻击“,侧面表示了v神对PoS提高主链安全性的信心。以太坊核心社区为此次硬分叉准备已久,是一场有共识有秩序的分叉,相比Bitcoin Cash前段时间的竞争性恶意分叉,此次以太坊分叉过渡会更平滑。[2019/1/10]
独家 | 新增翻版Fomo3D智能合约“剪刀石头布”Jan Ken Pon:第三方大数据评级机构RatingToken最新数据显示,2018年8月8日全球共新增757个合约地址,其中177个为代币型智能合约。据RatingToken团队发布的“新增代币型智能合约风险榜”,Jan Ken Pon(JKP)、Opporty(OPP)和bank(BANK)风险最高,检测得分分别为1.97、2.80和2.80,其中Jan Ken Pon在日语中意为“剪刀石头布”,是类Fomo3D游戏,存在14个安全风险。其他登上该风险榜TOP10的还包括Debt Coins(DEBT)、APAY(APAY)、RUBBER(REC)、RIGACOIN(RIGA)、dodgers(DOD)、MudToken(MUD)和SuperstartupX(SSX)。如需查看更多智能合约检测结果,请查看原文链接。[2018/8/9]
DeFi被黑客攻击部分事件
4月19日8点45分,dForce生态系统中的借贷平台Lendf.Me在区块高度9899681处遭受黑客攻击。
4月19日11点32分黑客将Lendf.Me的价值2500万的加密货币的锁仓洗劫一空。通过Defipulse.com可以清楚看到,只剩下6USD锁仓和5.5USDC锁仓,几乎清零。
独家 | 金色盘面分析师:BTC主要下跌趋势进入尾声:金色盘面分析师表示,BTC主要下跌趋势进入尾声,1小时K线如果收出十字星,短线有望止跌,但筑底需要过程,建仓时机尚不成熟。黄金位7380有较强的支撑作用。[2018/8/1]
Lendf.Me资金池被黑客洗劫一空
为了防止发生二次被盗,dForce官方在4月19日12点57分将Lendf.Me和USDx合约关闭。
此外,还第一时间联系了各大交易所和钱包,冻结了黑客地址并加入监管,让黑客难以套现。之后报警,并联系星火、Imtoken和慢雾安全团队开始找回资产。
4月20日,官方根据黑客攻击以及后续留下的痕迹,根据多方对比找到了黑客的蛛丝马迹。或许是迫于压力,黑客慢慢地向项目方返还了所有资产。
虽然最终资金得以追回,但对于用户来说,确实经历了一次劫难。
另外,此次黑客事件对DeFi项目的声誉影响很大,经历过该事件的不少用户对DeFi项目的信心都产生了动摇。
“以后再也不想把资金放在DeFi项目上了,不怕跑路但是怕黑客把本金直接盗走,还是放在余额宝比较安心。”
有用户表示,自己在Lendf.Me上面存了2000USDT,本以为找到了既安全稳妥,收益又比银行更高的理财方式,没想到竟然发生了黑客盗币事件,虽然最后钱回来了,但想想还是后怕。
某Lendf.Me大户也在被盗之后表示:不确定性是这个世界的本质,世界上不存在“无风险收益”,投资需要遵守“分散原则”,此次损失虽大,但是对总体金额来说,占比不大。个人会继续参与DeFi的投资和建设,以调整之后的风险意识参与。
为什么DeFi项目容易被黑客盯上?
面对频频发生的黑客事件,可能很多人会问一句:Why?
目前DeFi项目被黑客盯上主要有以下两个原因:第一,资金池大,用户少,项目问题难以被发现;第二,项目不成熟,漏洞多,黑客试错成本低。
DeFi项目的锁定资金池状况
从2019年开始,DeFi的资金规模和使用的人数就不断稳步上升。目前DeFi锁仓资金池的前三名分别是Compound、Maker和Sythetix。原本长期高居第一的Maker锁仓的资金池被后续利用COMP作为激励的Compound快速超越。
虽然这些资金池的资金稳步上涨,但背后却存在着问题。
DeFi项目的日活状况
通过上图可以看到,单个DeFi项目的最高日活也才1653人。而这1653人还可能包含一人多号的情况,所以真实的数据会再打一些折扣。也就是说,使用DeFi的用户很少。
这一方面是因为DeFi的使用门槛较高,对于新用户来说不够友好;另一方面是因为市场中并没有那么多真实的借贷需求。
所以,在一些人看来,DeFi更像是为大户量身定做的套利工具,大量的锁仓资金也都是大户的生财的本金。
这就在事实上导致了上面所说的问题,资金池大,参与人数少,很多潜在的风险与漏洞难以在使用中被人发现和察觉。
DeFi项目被黑客盯上的另外一个原因是:项目处于发展的早期,漏洞多,黑客试错成本过低。
短时间出现的这么多起盗币事件,其实已经给了我们提示,目前的DeFi项目还不够成熟,存在不少机制漏洞和系统风险,而黑客可以凭借极低的成本完成攻击和盗币。
拿闪电贷来说,它的出现给黑客提供了0成本试错的机会,可以不断地去尝试攻击DeFi项目寻找漏洞。只要找到了机会就可以空手套白狼,盗走资金。
对于黑客来说,还有另一种更高级的攻击手法,单个DeFi项目没有问题,但是可以将DeFi协议组合使用攻击DeFi项目,套出资产。
bZx第一次攻击方式
bZx第二次攻击方式
比如在今年2月15日的bZx的两次攻击事件中,第一次攻击使用了5个DeFi协议,第二次攻击使用了4个DeFi协议。两次攻击都是在一个15秒的以太坊区块中完成,两次攻击耗费118.21美元的手续费,共获利价值92万美金的以太坊。
无需编程的闪电贷操作界面
近期,在一场黑客马拉松中又推出了不需要编程的闪电贷,这也给了DeFi项目带来了更多的挑战。
对于黑客来说,成功也许不需要10年,DeFi项目漏洞找对了,就是一瞬间。
如何面对不安全的DeFi?
DeFi可能是未来的发展趋势,也是可能出现大规模落地应用的一个方向,不能因为黑客的攻击就彻底否认了这个方向。
不过,在给DeFi项目成长时间和空间的同时,也要做到防患于未然。
对于项目方而言,需要更加谨慎地进行系统与机制设计,以及准备好风险应对的措施与手段。
对于小散户来说,目前DeFi参与的门槛高、手续费贵,如果厌恶风险,或许等到底层技术完善,DeFi发展成熟后再参与也是不错的选择。
对于大户来说,要抵御DeFi项目的风险,可以将资金分散于不同的项目,也可以购买相关的保险。
DeFi的崛起也带动了一些衍生品的出现,比如出现了DeFi相关的保险。当资金被黑客盗取时,可以获得保险赔付,将风险降到最低。
风险和收益往往是相伴的,如果能够在高收益的同时又降低风险和门槛的话,那么DeFi将会吸引更多的用户参与,实现其真正的价值。
但在此之前,DeFi还有很长的路要走,还有很多的黑客攻击与风险需要应对。
参考资料:
《TheUltimateGuidetoProtectingYourselfintheCryptoSpace》
《ArbsExploitDeFitoMake$900kinSeconds;ProvokeSoul-SearchingintheProcess》
dForce官方文章《黑客攻击事件还原》
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。