05月12日 18:40
简体中文
English
Tiếng Việt
Español
Русский
Français (Afrique)
Português
ไทย
Indonesia
日本語
بالعربية
Українська
自十多年前出现以来,DeFi领域一直是金融业发展的关键部分。去中心化化金融引入了虚拟资产、智能合约、DAO治理和其他有助于基于区块链运营的产品。
DeFi模式及其组件消除了中心化实体作为金融运营媒介的需要。2008年的经济危机促使建立了这一新的金融系统,让用户能管控自己的资产。在过去的几年中,DeFi行业得到了广泛的发展;它的诸多好处使它在全球聚集了数百万参与者。根据ChainAnalysis的数据显示,该市场的总价值最近达到了相当可观的的峰值——2560亿美元。
然而,随着去中心化化金融的全面扩张,出现了很大程度的风险。更多的DeFi项目被不法之徒利用,2022年的过去四个月比以往任何时候都更清楚地揭示了这一点。据ChainAnalysis报告显示,DeFi协议占今年目前为止所有被盗加密货币事件的97%。
就在一个多月前,Lazarus黑客攻击了Axie Infinity的Ronin bridge,造成6.25亿美元的损失,这是区块链和加密领域有史以来最大规模的抢劫事件,创历史之最。
我们将持续关注2022年黑客和漏洞攻击的大规模增加情况,例如,DeFi的运行原理,DeFi的主要目标是,有没有措施可以阻止用户资金泄露出让黑客发现的漏洞?
为解决这方面的诸多问题,我们必须确定几个核心要点。
什么是DeFi漏洞利用,它们是如何发生的?
当不法之徒成功利用DeFi协议或平台的智能合约或安全系统中的漏洞或缺陷时,就会发生黑客攻击或漏洞攻击;一旦个人或集体获得用户资金的后门访问权,通常就意味者上述资产被盗。
今年第一季度,不法之徒已净赚价值13亿美元的被盗加密货币。与2021年第一季度损失的1.54亿美元相比,这是一个非常庞大的数字。正如华尔街报道所述,黑客们每周对该行业进行一次黑客攻击,最终实现了这一目标。
在2020年至2021年期间,黑客攻击事件数量增至初始数量的两倍,从117起增至250起;不可否认的是,DeFi漏洞正成为一种常见现象。自去中心化金融面市以来,黑客们使用了一系列方法行不法之事,其中一些在过去四个月内使用过,包括:
1、安全漏洞
当网络参与者非法访问平台的系统和数据时,就会发生安全漏洞。ChainAnalysis将其描述为“像小偷似的盗走加密货币”,该分析公司还表示,从2020年到目前,此类攻击盗走的加密资金占总被盗加密资金的35%。
Ronin漏洞就是一个例子,黑客通过接管侧链9个验证程序节点中的5个,成功实施了攻击。
图源:Chainalysi s
2、代码漏洞
2月18日,以太坊的DeFi项目Beanstalk成为治理漏洞的牺牲品,造成1.82亿美元的损失。
攻击者从贷款平台AAVE获得了10亿美元的贷款资金,从而实施了攻击;然后,他们购买了大量Beanstalk的原生BEAN代币,并控制了该项目67%的治理代币。黑客批准了他们之前发布的两个恶意提案,并将资金转移到来外部钱包。
就这样,黑客获得了一笔快速贷款,这是借款人短期内保留的相当数量的资金,无需抵押品。闪电贷的目的更合乎道德,但就像Beanstalk Farms网络攻击一样,不法之徒利用这笔钱来操纵智能合约中的漏洞,以获取收益,或者以传统的方式,通过操纵市场价格以获取收益。闪电贷攻击只是代码漏洞的一个例子。
恶意团伙以跨链桥梁为目标,实施了2022年最大规模的抢劫。要了解这类的代码攻击是如何发生的,我们必须首先考虑它们的目标,即跨链桥。
跨链桥可以描述为两个区块链网络之间的路径。它们促进区块链之间的资产转移;然而,在此过程中,大量资金会集中在一处,这无疑引来了黑客们的贪婪觊觎目光。
攻击者利用跨链漏洞的一个例子是2月份发生的区块链桥Wormhole Portal。此次攻击导致该平台损失3.25亿美元,并加剧了投资者对跨链技术的质疑与否定。
为什么DeFi黑客攻击事件日益频发
攻击事件增多的第一个也是最明显的原因是,去中心化化的金融业已演变成一个吸引人的目标。随着该行业用户群的扩大,数百个项目已首次亮相,而且有更多的资金可供窃取。现金流正在增加,不法之徒对此非常清楚。
据Rekt排行榜上的数据显示,10个遭受最大漏洞攻击的项目中有8个没有经过安全审计。安全审计需要对协议的代码进行全面审查,以发现错误和智能合约中可能存在的漏洞。这些审计通常发生在项目发布之前,并构成去中心化融资的一个关键安全方面。通过这种预防威胁评估,开发商可以减少潜在的攻击,同时降低投资者风险。
DeFi受欢迎程度增加的另一个不利影响是大量设计不良的项目涌入。攻击者并不是唯一注意到去中心化金融有利可图性质的人。许多人渴望参与这个蓬勃发展的行业,而不合格的开发商似乎对发布自己的项目毫无顾忌。
网络犯罪分子利用DeFi协议的开源代码进行网络攻击。黑客需要时间来搜索关键漏洞进行攻击,由于不称职的开发人员所研发的大量项目都不合格,漏洞百出,会因漏洞遭到攻击也就不足为奇了。
DeFi生态系统包含各种组件,随着行业多年的发展,这些组件也随之发展。去中心化的金融行业追求更高的易用性和可访问性,同时为用户提供可观的回报。更复杂的应用程序(如跨链桥)往往更容易被攻击利用,因为程序过于复杂,一些潜在的缺陷很容易会被忽视。
2022年DeFi黑客攻击日益频发的影响
黑客、投资者和开发商在将注意力转向去中心化金融业时,都在关注资金情况。这表明,如前所述,该行业规模出现了显著增长。然而,这些黑客攻击行为不仅表明攻击者和其他个人在跟踪资金情况。
区块链安全公司Immunefi的创始人兼首席执行官Mitchell Amador在接受雅虎财经(Yahoo Finance)的
采访 时表示,DeFi领域参与者应该预计此类复杂的攻击会越来越普遍。朝鲜的Lazarus黑客等不法分子团体正在内部构建更多的网络犯罪专业知识。
值得注意的是,黑客数量的增加似乎是从去年主导该行业的网络欺诈行为开始转变的。DeFi参与者越来越了解相关欺诈方法,因此可以避免这些攻击风险。安全漏洞和代码漏洞是目前更严重的威胁,对安全的需求落在平台和协议上。
骇人听闻的黑客攻击行为对整个DeFi领域构成了严重威胁;这引发了人们对去中心化金融可靠性的质疑,并可能阻碍该行业的进一步发展。接下来,让我们看看平台可以防止黑客攻击的一些方法。
避免黑客攻击的措施
需要解决的一个关键方面是智能合约安全性。对任何项目的代码进行定期审核将大大有助于防止黑客攻击,因为定期审核可以帮助开发人员发现他们可以及时解决的漏洞和缺陷。
当然,这并不能百分之百地阻止攻击,这就需要额外的措施,如区块链分析,以帮助研究人员发现可疑的市场动向。Chainalyis提供了过去几年黑客在实施抢劫后如何洗钱的数据。
这些信息提供了现金流的大概情况,可以帮助分析师追踪被盗资金,以帮助追回资金。通过这种方式,Axie Infinity的开发团队Sky Mavis追回了一小部分被盗资金。
重要的是,要注意对此类的网络攻击行为进行总结和反思。Ronin黑客攻击事件重新引发了人们对DeFi真正去中心化必要性的讨论。中心化验证(仅九个验证程序节点)使网桥易受攻击。很明显,去中心化不仅仅是一种意识形态,而是保障区块链安全性的实际需要。
作者:Gate.io研究员
M. Olatunji 译者:
Joy Z.
声明:
*本文仅代表研究员观点,不构成任何交易建议。
*本文内容为原创,版权为Gate.io所有,如需转载请注明作者和出处,否则将追究法律责任。