声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星财经官方立场。边肖:记得要集中注意力。来源:中国货币电讯报
分散的金融部门正以惊人的速度增长。三年前,DeFi lock的总价值只有8亿美元。到2021年2月,这一数字已增至400亿美元;2021年4月达到800亿美元的里程碑;现在,它的价值已经超过1400亿美元。一个新市场的快速增长肯定会吸引各种黑客和欺诈者的注意。
根据加密货币研究公司的报告,自2019年以来,由于黑客和其他漏洞攻击,DeFi领域已损失约2.849亿美元。从黑客的角度来看,对区块链生态系统的黑客攻击是致富的理想手段。因为这个系统是匿名的,他们有钱赚,任何黑客都可以在受害者不知情的情况下测试调整。2021年前四个月,亏损达到2.4亿美元。这些只是众所周知的案例。
我们估计实际损失数十亿美元。
DeFi协议的钱是怎么被偷的?我们分析了数十起黑客攻击,并确定了导致黑客攻击的最常见问题。滥用第三方协议和业务逻辑错误
任何攻击主要从对受害者的分析开始。区块链技术为自动调整和模拟黑客攻击场景提供了许多机会。为了使攻击快速而隐蔽,攻击者必须具备必要的编程技能和智能合约工作原理的知识。黑客的典型工具包允许他们从网络的主版本下载自己的区块链的完整副本,然后完全调整攻击过程,就像交易发生在真实的网络中一样。
接下来,攻击者需要研究项目的业务模型和所使用的外部服务。业务逻辑的数学模型和第三方服务的错误是黑客最常利用的两个问题。
智能合约的开发者在交易时通常需要比他们在任何给定时刻可能拥有的更多的相关数据。因此,他们被迫使用外部服务——,如Oracle。这些服务不是为在不信任的环境中运行而设计的,因此使用它们意味着额外的风险。根据一项统计数据(自2020年夏季以来),给定类型的风险占最少——,黑客攻击只有10次,造成的总损失约为5000万美元。编码错误
智能合同在IT领域是一个相对较新的概念。虽然它们很简单,但智能合约的编程语言需要一个完全不同的开发范式。开发者往往根本不具备必要的编码技能,出现严重错误,给用户造成巨大损失。
安全审计只能消除一部分这样的风险,因为市场上的审计公司大多对工作质量不负责,只对财务方面感兴趣。由于编码错误,超过100个项目被黑客攻击,导致总损失约5亿美元。一个突出的例子就是发生在2020年4月19日的dForce黑客事件。黑客利用ERC-777令牌标准的一个漏洞,结合重入攻击,窃取了2500万美元。闪电贷款、价格操纵和矿工罢工
提供给智能合约的信息仅在执行交易时相关。默认情况下,合同中包含的信息不会免受潜在的外部操纵。这使得一系列的攻击成为可能。
闪电贷是一种没有抵押物的贷款,但借出的加密货币需要在同一笔交易中归还。如果借款人未能归还资金,交易将被取消。这种贷款允许借款人获得大量加密货币,并用于自己的目的。通常,闪电贷款攻击涉及价格操纵。攻击者可以在交易中出售大量借来的代币以降低其价格,然后在回购代币之前以非常低的价值执行一系列动作。
基于工作量证明一致性算法,Miner攻击类似于闪电贷款对区块链的攻击。这种攻击方式更复杂,代价也更大,但可以绕过闪电贷的一些保护层。它是这样工作的。攻击者租用挖掘容量来形成一个只包含他们需要的事务的块。在给定的街区,他们可以先借用代币,操纵价格,然后归还借用的代币。
因为攻击者独立地形成进入块的事务及其序列,所以攻击实际上是原子性的(其他事务不能“嵌入”到攻击中),就像闪电贷款的情况一样。这种类型的攻击已被用于攻击100多个项目,总损失约为10亿美元。
随着时间的推移,黑客的平均数量一直在增加。2020年初,一次盗窃的金额高达数十万美元。到今年年底,这个数字已经上升到了几千万美元。开发商不称职。
最危险的风险类型涉及人为错误因素。人们为了寻求快速赚钱而求助于DeFi。许多开发人员资质很差,但仍试图在匆忙中推出项目。智能合约是开源的,因此很容易被黑客复制和改动。如果原始项目包含前三种类型的漏洞,那么它们就会蔓延到数百个克隆项目中。RFI SafeMoon是一个很好的例子,因为它包含一个关键的漏洞,被复制到一百个项目上,导致潜在损失超过20亿美元。