2019年以来,DeFi逐渐成为区块链的热点,一时间大量资金开始涌入各类DeFi项目。自Synthetix项目崭露头角后,DeFi项目如雨后春笋般纷纷出现在人们的视线里。但随着DeFi的不断发展,DeFi项目的安全问题也愈发紧急。前不久发生的Balancer被攻击事件,攻击者利用Balancer资金池与通缩货币结合产生的漏洞,盗取资金池500,000美元。而后不到24小时,balancer再次遭受攻击,攻击者利用Compound“借贷即挖矿”的特性,窃取了资金池中无人认领的Comp币。
对于第一次攻击事件,我们在前面已经有分析,感兴趣的朋友可以移步。对于第二次攻击事件,笔者觉得攻击者的行为是介于薅羊毛和非法攻击之间,并不能一口咬定就是非法攻击。从一方面看,攻击者确实是违背了Balancer合约设计的理念,利用Balancer的代码漏洞窃取了本不属于自己的利益。但是从另一方面看,攻击者窃取的资金,并不是资金池内的本金,是Compound“借贷即挖矿”的特性而产生的盈利,且即使攻击者不攻击,Balancer合约本身也并没有合理的将这笔钱分配给用户。这就像一个超市每天产生的空纸盒,公司并没有明文规定怎么处理,一般都是堆积到一定程度后,某个发现的员工拿去卖出,此员工获得利益。这时候来了个外来的人,他发现了这些纸盒可以产生利益,所以就去应聘员工,卖出纸盒后马上离职再去下一家。Balancer官方在第二次事件发生后,也未对此做出相对的修复措施,这也间接表明了官方的态度,官方可能更倾向于这是一种“薅羊毛”行为。
成都链安:Wuliangye NFT项目疑似Rug Pull,共获利70.5个ETH:8月11日,成都链安鹰眼监测显示,Wuliangye NFT项目疑似Rug Pull,官网和社群已关闭。成都链安安全团队通过链必追-虚拟货币智能研判平台追踪发现,有595个地址购买了705个WLY NFT,项目方共获利70.5个ETH,接着将ETH交换为111316.22个USDT,最终转入0x28C6c06298d514Db089934071355E5743bf21d60地址(标记为Binance 14)。[2022/8/11 12:18:18]
而这次事件,总共涉及到了三个DeFi项目。Balancer、dydx和Compound。WhatisDeFi?
成都链安:BaconProtocol遭受攻击事件分析:据成都链安链必应-区块链安全态势感知平台舆情监测显示,BaconProtocol遭受黑客攻击损失约958,166 美元,关于本次攻击,成都链安团队第一时间进行了分析:1. 本次攻击利用重入漏洞,并凭借闪电贷扩大收益额。2:目前攻击者地址还没有被加入USDC的黑名单中。[2022/3/6 13:40:01]
DeFi中文意思是“去中心化金融”,旨在利用区块链技术完成传统金融中的借贷、存储、支付等功能,缩短金融交易中的交易时间,减少交易手续费,解决跨国难等问题。目前DeFi上火热的项目有Compound、Maker、dydx等,如下图所示:
动态 | 成都链安: 今日被盗巨鲸用户可能遭到了持续性攻击:金色财经消息,今日被曝被盗至少1500BTC和约6万BCH的大户可能早就被黑客选为攻击目标,被盗地址1Edu4yBtfAKwGGsQSa45euTSAG6A2Zbone自2018年1月23日起共收到5423枚BTC,其中绝大数来自长期持有BTC占据大户榜前50的地址1JsVdtXZHKnuzUihEjCPyRm5EEcxRjWGEh。2019年2月8日,用户生成了一笔金额为1662.4的巨额utxo并在19年多次使用该笔资金拆出小额进行交易,我们猜测黑客可能通过该地址与1JsVdtXZHKnuzUihEjCPyRm5EEcxRjWGEh的资金联系等确认了用户的身份,黑客可能在19年就确定了目标并进行了持久化的社会工程学攻击。攻击者在攻击得手后立刻开始了混币和资金转移,值得注意的是攻击者用于拆分资金的两个地址之一在19年颇为活跃,经成都链安AMl系统分析发现其中部分资金来自币安等交易所,这些交易所可能有相关提币记录,成都链安正在跟踪这一线索。[2020/2/22]
在DiFi的项目里,很多都是将传统金融行业的工具直接搬到区块链上,比如借贷、存储。但区块链和现实世界是有极大差异的,他们的底层逻辑是不同的。例如,在传统金融领域,“信用”是作为信贷的根本条件,银行会对一个人的信用进行评级,从而判断是否可以放贷给他。在区块链这个封闭的世界里,因区块链的隐私性,地址无法关联到人,也就不存在“信用”属性。如果要实现“信用”,就必须要有预言机来获取真实世界的信息。但也正是因为区块链与现实世界的不同,使得DeFi可以实现一些现实世界无法实现的功能。dydx闪电贷:0抵押借出3千万美元在balancer第一次事件中,攻击者利用dydx借贷了3千万美元,但是却无需任何抵押物。这在传统的金融领域是无法做到的,传统金融领域的借贷方式都是以“资产抵押”或者“信用抵押”作为规避借贷风险的手段,但因为区块链的特性,可以做到将一笔交易回滚,所以也就可以实现0抵押进行大额借款。dydx允许用户进行一笔0抵押的大额借款,用户只需在一笔交易中将借款进行归还即可。如果用户在一笔交易后并未将借款归还,那么交易将被回滚,花出去的钱又可以收回来,从而规避了本金风险。虽说在一笔交易中必须归还借款,但智能合约又允许用户在一笔交易中进行多次操作,用户可以在这笔交易中以低价大量买入某种代币,再以高价卖出,即使差价非常小,在巨量本金的基础下,也可以实现可观的收益。如果放在传统的金融领域,一般是难以实现这种操作的。但有了dydx,任何人都可以获得这一笔“巨额资金”。新事物的出现总是存在两面性,dydx闪电贷为一般人提供使用巨款的可能性的同时,也为躲在暗处的黑客提供了帮助。就如Balancer第一次被攻击,如果没有dydx,黑客必须筹集巨额的本金,才能实现将资金池内的通缩代币抽空,否则将无法进行攻击。Balancer:通过收取费用来管理自己的资产在传统金融里,用户需要向第三方的管理机构支付管理费用,从而平衡自己的资产,保障资产价值。但Balancer的出现打破了这一情况,资产拥有者可以通过收取费用来保障自己的资产价值。Balancer允许用户建立自己的资金池,将自己的不同资产放入池中,当不同资产的市场价格产生变化时,形成的差价会诱使套利者在资金池中进行兑换,从而使得资金池中的各种代币含量达到一种平衡。套利者通过套利行为获得利益,而资金拥有者也因此平衡了资产价值。假设一个资金池中有DAI和WBTC两种代币,当DAI在外部升值时,DAI兑换WBTC的比例就会减少,这会诱使套利者在此资金池将手中的WBTC兑换成DAI,直到资金池兑换比例和外部一样为止,这使得资金池内的DAI持有量上升,总体价值下降。当DAI在外部贬值时,又会诱使套利者将手中的DAI兑换成WBTC,因为早先持有大量的DAI,合算起来,总体价值再次回升。经过套利者的持续操作,资金池内总是保持着一种平衡。Balancer的这种资金池模型并没有太大问题,但当遇到如通缩货币或者Compound这种特殊的代币时,就会产生问题。Balancer资金池的核心是变动的兑换比例,正常情况下,这种比例会随不同代币的流入流出而变化,使得池内金额达到一种平衡,但遇到通缩货币或者Compound这类特殊货币时,流入流出的数据就与用于计算比例的数据产生误差,这种误差使得攻击者可以进行攻击并获利。如何看待DeFi
动态 | 成都链安再获联想创投、复星高科领投多轮数千万元融资:区块链安全公司成都链安科技有限公司继2018年5月分布式资本种子轮投资,2018年11月界石资本、盘古创富天使轮投资后,近期连获多轮融资,共计数千万人民币,由联想创投、复星高科领投,成创投、任子行战略投资,分布式资本、界石资本、盘古创富等老股东均跟投。
此次融资将用于持续深化区块链全生态安全布局、研发“一站式”区块链安全服务平台、开展自主可控的区块链安全技术研究、提升用户全新体验及全球化市场的拓展,助力成都链安成为全球区块链安全领域的行业标杆。在当前区块链新时代风口下,一方面成都链安将利用“一站式”区块链安全平台和服务,协助相关企业做好安全防护工作,提升安全防护能力,减少安全损失;另一方面将继续大力协助政府监管机构做好调查取证等工作,以切实加强安全监管;同时多为行业发展发出正能量的声音,带头建立起有序的行业规范,并促进安全标准建设。[2020/1/16]
从上面的两个项目不难看出,DeFi并不是简单的将现实世界的金融体系搬到链上就可以的。因为底层的不同,造就了DeFi能够做到现实金融体系无法做到的很多事情,比如0抵押借贷、跨国汇款等非常有前景的功能。但随之而来的还有很大的风险和问题,比如如何与现实世界互通、如何得到政府的认可以及如何解决安全问题。“给我一个支点,我可以撬动地球”。对比于传统金融,DeFi的底层靠的是智能合约,本质上是程序,程序拥有传统金融不可比拟的高效性和便捷性,但也存在传统金融无需考虑的代码漏洞问题。如果黑客在智能合约中找到了这样一个“支点”,便可以轻易撬动上千万的资产。所以成都链安建议各位读者,理性对待DeFi,选择安全且有发展前景的项目进行理性投资,在进行投资前,做好调研工作,对未公开智能合约和审计报告的项目,要保持警惕。
动态 | 成都链安推出Beosin-AML虚拟资产调查取证和反合规系统:为帮助虚拟资产服务商(VASP)监测交易风险、执行反合规程序,帮助监管部门监督VASP合规流程执行情况,帮助执法部门快速收集虚拟资产犯罪案件证据,为受害者提供技术协助,成都链安科技推出可视化的虚拟资产合规监测和调查取证分析系统Beosin-AML。系统上线技术援助服务,受害者被盗币或不慎参与了跑路盘、资金盘等非法项目后,可在网站提交相关信息,平台开展调查、分析和追踪等取证服务。成都链安Beosin-AML虚拟资产调查取证和反合规系统,采集链上交易数据,分析加密货币犯罪和安全事件,结合机器学习模型综合分析链上交易的合规和安全风险。帮助区块链行业建立合法、合规的应用生态。[2019/12/10]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。