去中心化金融(DeFi) 的總價值鎖定(TVL) 超過1000 億美元,突顯了人們對這些新金融工具的信心。這項投資將繼續增加,但似乎隨著TVL 的每一個新記錄,都會報告另一次造成天文數字損失的網絡攻擊。
加密貨幣犯罪在2020 年下跌了57%,但DeFi 黑客數量大幅上漲,使公司和投資者損失數十億美元。僅在3 月份,短短五天內就發生了幾次攻擊,付費網絡損失了1.8 億美元。 5 月下旬,PancakeBunny 在一次閃電貸攻擊中損失了超過2 億美元。
很明顯,當前的區塊鏈安全協議存在太多漏洞和黑客攻擊。從網絡釣魚到網絡釣魚詐騙,該領域的安全性和技術並不像數字所顯示的那樣成熟。但是,開發人員和用戶都可以實施一些關鍵實踐來縮小這一差距。
去中心化的技術仍然是中心化的
無論協議聲稱多麼去中心化,其底層結構仍然是中心化的。看看我們互聯網的核心功能之一,DNS 記錄,每個域名仍然是中心化的——由政府、州或公司擁有,對域擁有最終權限,如果他們願意,可以關閉它。
去中心化中中心化的一個例子是智能合約。那些編寫以太坊或幣安智能合約的人對代碼中的內容擁有最終決定權,並且有辦法將惡意程序(如地毯拉)編碼到智能合約中。
在2020 年夏季的高產農業熱潮期間,我們看到許多協議湧現,以從湧入DeFi 的資金中獲利,這種情況一直持續到今年。 3 月,TurtleDex 執行了一次地毯式拉動,這實際上是智能合約中的一個後門,導致投資者竊取了250 萬美元。這個有意的功能允許開發人員編寫詐騙程序,然後根據代碼中的其他事件執行,而TurtleDex 是今年編寫地毯拉動程序的眾多項目之一。
相關:產量農業是一種時尚,但DeFi 有望改變我們與金錢互動的方式
智能合約審計是防止rug pulls 的一種好方法,但即便如此,我們仍會看到開發人員會將經過審計的智能合約切換為未經審計的智能合約的情況。 Compounder 的案例展示了一個騙局項目從該領域已知的、有信譽的名稱中獲得影響力是多麼容易。他們能夠迅速利用Harvest Finance 和Yearn.finance,然後再向他們的用戶拉攏地毯並帶走數百萬美元的加密貨幣。
相關:DeFi項目的默認審計是行業發展的必要條件
黑客的最新趨勢
除了地毯式攻擊之外,還有許多流行的攻擊如果沒有做好準備,可能會導致整個公司崩盤。 51% 攻擊——即一組礦工控制了網絡50% 以上的挖礦哈希率,允許他們排除或操縱交易記錄以執行雙花或破壞區塊鏈——仍然很常見。 Firo 和Grin 最近都遭受了51% 的攻擊。
即使是一些市值領先的加密貨幣項目仍然不安全。 2 月,據報導,Verge 網絡上200 天的XVG 交易被刪除,實際上是“前100 名加密貨幣中發生的最深層次的重組”。
我們接受這些錯誤作為區塊鏈體驗的一部分,但如果同樣的事情發生在一家大銀行,會是什麼反應?可能會有更多的媒體頭條和來自用戶和客戶的騷動。這些事件在加密貨幣中基本上沒有引起注意,因為用戶較少,但隨著最近的牛市,這種情況正在發生變化。不可避免地,公共區塊鏈的安全性將受到更多審查。
防止像拉地毯這樣的黑客行為的做法
不幸的是,對於開發人員來說,在加密貨幣中工作時總是有可能被黑客攻擊。問題不是如何防止黑客入侵,而是如何防止被黑客入侵的機會。硬件錢包的一些進步——例如Gnosis Safe 的多重簽名錢包——是提高整體安全性的關鍵因素。
使用多重簽名錢包允許多個用戶持有同一個錢包的密鑰,並且需要相互參與才能對帳戶執行操作。因為像這樣的錢包需要多個用戶的輸入才能進行交易,所以幾乎不可能用這種類型的保險庫執行地毯拉取。
另一種防止地毯拉扯的安全措施是時間鎖。許多去中心化應用程序使用時間鎖,因此如果開發人員試圖拉動其用戶,你會收到大約12 到24 小時的警告以移除資金。
這些類型的安全實踐將鼓勵對DeFi 的更廣泛信任,並圍繞安全創造一種將推動我們行業發展的文化。
提高數字貨幣包的安全性
錢包安全最終歸結為開發人員和用戶實施更智能的做法。定期的安全審計和內部安全實踐都有助於提高錢包的安全性。
雖然安全審計是一個很好的解決方案,但Uniswap 和其他基於自動做市商的去中心化交易所(DEX) 是未經許可的,因此無法進行定期審計。最佳實踐是了解“公平啟動”幣的具體細節——從DEX 啟動的項目。儘管這些項目中有許多是高質量的,但眾所周知,許多項目都有重大漏洞。開源代碼讓任何人都可以更輕鬆地自行審計並驗證智能合約是否安全,為用戶提供更多工具來實踐良好的安全性。
要求用戶實踐良好的安全性似乎是一項了不起的壯舉,但為了獲得加密貨幣的許多好處,尤其是DeFi,這是必需的。對於傳統銀行,銀行負責安全性,但在加密貨幣中,安全性歸結為開發人員和用戶的實踐。
如果你忘記了銀行加密貨幣或將資金匯給了錯誤的人,你可以聯繫你的銀行以減少交易,直到問題得到解決。但是在加密貨幣中,如果你丟失了密鑰或將錢匯到了錯誤的地址,則沒有備份選項。當然,許多好處之一是你不必擔心你的資金是否可用加密貨幣,而銀行可以關門大吉並實施資本管制,就像2015 年希臘銀行業危機中發生的那樣。
結論
作為開發人員,我們需要實施交叉驗證和安全審計,同時讓彼此對開發日益改進的安全實踐負責。
用戶應考慮執行自己的安全協議,並了解存儲和潛在黑客場景中的細微差別。對於被動加密貨幣持有者來說,一個好的做法是讓硬件錢包與互聯網斷開連接,或者100% 離線並且不需要在線同步任何固件更新的紙錢包。
網絡釣魚攻擊是互聯網黑客的原始類型之一,仍然很常見和頻繁。打擊網絡釣魚企圖的方法是驗證發件人是否真實。
不要在任何網站上輸入你的私鑰或種子短語,也不要通過公共渠道或DM 將它們發送給任何人。通常,你應該只在最初設置錢包時輸入你的種子短語。此外,只有在忘記加密貨幣後需要恢復錢包、需要將現有錢包導入新設備或使用兼容的錢包軟件時,才應輸入種子短語。通常建議使用永遠不會將你的種子洩露給任何類型軟件的硬件錢包設備——在許多情況下甚至不推薦可信錢包應用程序或軟件。
隨著我們繼續建設新的全球(主要是)DeFi 經濟,提高安全性至關重要,這樣主流採用和資本才能繼續流入該領域,從而下一代可以進入金融獨立的新領域。
本文不包含投資建議或建議。每一個投資和交易動作都涉及風險,讀者在做出決定時應自行研究。
此處表達的觀點、想法和意見僅代表作者本人,並不一定反映或代表Cointelegraph 的觀點和意見。
Kadan Stadelmann 是區塊鏈開發人員、運營安全專家和Komodo Platform 的首席技術官。他的經驗範圍從在政府部門的運營安全工作和啟動技術初創公司到應用程序開發和加密貨幣學。 Kadan 於2011 年開始他的區塊鏈技術之旅,並於2016 年加入Komodo 團隊。
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Kadan Stadelmann所有,未經許可,不得轉載