DEF:解析当DeFi沦为黑客的「提款机」,我们如何保证它的安全性?

区块链技术的诞生,除了衍生出加密货币这类新兴资产以外,也为传统金融、数据隐私、供应链、跨境汇款等应用领域带来革命性的突破。其中「去中心化金融」便是当前最为人瞩目,采用率最高的应用之一。DeFi是去中心化金融DecentralizedFinance的缩写,它指的是基于区块链的金融服务体系。

和现在的金融体系不同,用户的资金不会存放在第三方的金融机构中,而是通过各种智能合约去实现协议和信任,如此可以最大程度地减少风险。它是一个完整的开源生态系统,提供贷款、交易、资产管理和支付等金融服务。去中心化金融DeFi为什么在这两年得到“爆发式”增长?他可以为人们带来了哪些实用的金融解决方案?为什么它总是变成了黑客的“提款机”?DeFi项目如何保证自身的安全?关于DeFi,我们需要了解更多。

安全团队:Reaper Farm项目遭到攻击事件解析,项目方损失约170万美元:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Reaper Farm项目遭到黑客攻击,成都链安安全团队发现由于_withdraw中owner地址可控且未作任何访问控制,导致调用withdraw或redeem函数可提取任意用户资产。攻击者(0x5636e55e4a72299a0f194c001841e2ce75bb527a)利用攻击合约(0x8162a5e187128565ace634e76fdd083cb04d0145)通过漏洞合约(0xcda5dea176f2df95082f4dadb96255bdb2bc7c7d)提取用户资金,累计获利62ETH,160万 DAI,约价值170万美元,目前攻击者(0x2c177d20B1b1d68Cc85D3215904A7BB6629Ca954)已通过跨链将所有获利资金转入Tornado.Cash,成都链安链必追平台将对被盗资金进行实时监控和追踪。[2022/8/2 2:54:19]

Cobo区块链安全团队公开0xDAO潜在盗币漏洞发现过程及技术细节解析:4月2日消息,0xDAO v2原计划上线前的几个小时,Cobo区块链安全团队启动对该项目的DaaS投前例行安全评估工作,随后在github开源的项目代码中发现了一个严重的安全漏洞。经评估,如果 0xDAO v2此时继续上线,该漏洞预计会造成数亿美金的资产损失。Cobo区块链安全团队立即启动应急预案,快速通过多个渠道联系到0xDAO项目方,提交该漏洞的完整攻击流程,紧急叫停了项目上线,随后协助0xDAO项目方对该漏洞进行了修复。

日前,0xDAO官方发布推文向Cobo区块链安全团队表示了感谢,并且表示会按照严重漏洞级别给予Cobo区块链安全团队漏洞赏金奖励。[2022/4/2 14:00:31]

为什么我们会看到DeFi的兴起?近日,加密分析公司Chainalysis发布全球DeFi采用指数,美国、越南、泰国、中国、英国分列前五。该指数对154个国家/地区进行了排名,由三个指标组成:DeFi平台接收的链上加密货币价值,按人均购买力平价加权计算;DeFi平台接收的总零售价值;以及DeFi平台上的个人存款。Chainalysis指出,许多排名靠前的国家都是现在或之前存在大量加密货币价值流动的国家,通常是中高收入国家,或拥有发达的加密货币市场、尤其是强大的专业和机构市场的国家。除上述5国外,西欧国家排名也比较靠前。

ENS开发负责人:以太坊已支持CCIP读取与ENS通配符解析解决方案:3月14日,ENS开发负责人Nick Johnson在推特上表示,以太坊已支持CCIP读取与ENS通配符解析解决方案。据悉,跨链互操作协议(CCIP)为ENS采用的跨链解决方案,旨在支持在二层网络上发行链上的域名。[2022/3/14 13:55:55]

其实,DeFi的初期爆红可以追朔至去年底开始流行的「YieldFarming」。也即「流动性挖矿」,意思是:只要用户与DeFi平台互动或提供流动性,就能获得该平台发行的代币作为奖励。DeFi平台实施流动性挖矿,可以为其在短时间吸引大量资金与流动性,并快速取得市场的关注度。紧接着,DeFi一路高歌,迎来了DeFiSummer,一直到现在,DeFi相关项目依然在继续向前推进。根据加密分析公司DeFiPulse的数据,锁定在DeFi合约中的总价值已从去年9月的100亿美元增至今年8月的800多亿美元。当然,DeFi的兴起,还在在于它的一些优势。去中心化金融能够从根本上改变金融体系,区块链技术和DeFi使系统更加值得信赖、更具成本效益和透明性,没有银行账户的人可以进入经济体系,为投资者开辟新的机会。DeFi采用率将继续增长,或许它的未来前景一片广阔,但是安全问题,是DeFi目前遇到的最严峻的挑战。黑客为什么热衷于攻击DeFi项目?根据安全公司的一份报告,到目前为止,去中心化金融系统中的黑客攻击占2021年全球所有主要黑客攻击的近76%。欺诈者通过虚假项目瞄准这些高价值合同,该报告称,与去年的1.29亿美元相比,DeFi黑客总共损失了3.61亿美元。许多DeFi项目可能会因为开发人员的代码漏洞而被黑客攻击,此外,报告补充说,其他网络犯罪分子可以通过快速贷款并操纵代币价格来破解DeFi协议。

奇虎360公开“基于联盟区块链的标识解析方法”专利:8月30日消息,北京奇虎科技有限公司、中国信息通信研究院日前联合公开一种“基于联盟区块链的标识解析方法、装置、存储介质及服务器”专利,申请日期为2021年4月29日,申请公布号:CN113315811A。天眼查App显示,该专利属于计算机技术领域。方法包括在第一对外节点接收到标识解析请求的情况下,从第一对外节点对应的本地数据库中查询是否存在与标识解析请求中的标识符对应的IPFS哈希值。

若未查询到IPFS哈希值,则基于标识解析请求向联盟区块链中除第一对外节点之外的其他节点发送第一查询请求;接收由联盟区块链中响应于第一查询请求的节点发送的IPFS哈希值,并基于IPFS哈希值通过第一对外节点访问IPFS服务,以获取IPFS哈希值对应的标识解析信息由此可有效提高对标识解析过程的安全性,保证通过标识解析得到的数据不易被篡改。(邮箱网)[2021/8/30 22:45:51]

DeFiBox上线Mdex 合约解析功能:据官方公告,Heco 数据合作平台 DeFiBox 现已上线Heco项目Mdex 的合约解析功能,用户通过 DeFiBox 可以直观查看收益率,并根据相关数据进行策略调整,提高了用户体验。[2021/1/27 13:38:26]

刚刚过去的八月,链必安-区块链安全态势感知平台舆情监测显示就有13起典型DeFi安全事件。比如8月4日,跨链收益率提升平台PopsicleFinance下SorbettoFragola产品遭到攻击,损失近2070万美元;8月10日,跨链协议PolyNetwork遭受攻击,Ethereum、BinanceChain、Polygon3条链上近6亿美元资金被盗;8月30日,抵押借贷平台CreamFinance遭遇闪电贷攻击,损失1800万美元。DeFi攻击事件频发,最主要的原因还是其累计了巨额的资产。面对巨大的诱惑,黑客必然会想方设法去攻击。比如跨链项目不仅仅是链上智能合约,还有链下的代码,无论哪一部分出现了问题,都会被黑客所利用。从黑客的角度来看,对区块链生态系统的攻击是一种理想的手段。因为这些系统是匿名的,而且行业暂时缺乏技术监管,这使得网络犯罪分子可以通过攻击安全性较低的DeFi项目或实施地毯式来获取金钱收益。DeFi项目如何避免被黑客攻击?成都链安技术团队分析了几十起黑客攻击,找出了黑客攻击最长用的方法还是:闪电贷攻击、合约业务漏洞攻击、重入攻击。传统智能合约项目,只需要做好链上代码的审计便能避免绝大多数的风险。而跨链项目却有所不同,跨链项目存在一定的特殊性,安全的考量不能局限于智能合约层面。对于投资者,如何保护好自己的财产同样重要。创造性的DeFi产品可能会带来严重的风险。例如,在2021年6月,亿万富翁企业家马克·库班透露,他一直在交易一个DeFi代币,该代币在一天之内跌至零,结果证明这是一个局。作为用户,在参与区块链相关项目时,一定要注意甄别,选择经过专业的审计公司完备审计过的项目,并且要对整个项目进行详细的了解。同时,在参与项目后,需要对项目的最新动态进行关注,一旦发生了安全事件,及时的将资金撤回,避免遭受更大的损失,必要时可以寻求安全公司的帮助。

写在最后DeFi为许多机会打开了大门,特别是对于那些热衷于推动加密市场向前发展同时保持资金流动的去中心化模块的投资者和开发商。安全性仍然是DeFi生态系统面临的重大挑战,但是随着技术的发展,再加上适当的审计措施,相信DeFi生态系统将越来越好。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:46ms0-5:937ms