圖片來源:iStock
加密貨幣市場正在成為當今數字世界中最先進的金融生態系統之一。截至發稿時,總市值為2.7 萬億美元,比特幣和以太坊分別位居第一和第二位。雖然這兩種數字資產是加密貨幣行業的標誌,但其他新興領域,如去中心化金融(DeFi) 正逐漸吸引更多資本。
根據DeFi Llama 的統計數據,DeFi 協議中鎖定的總價值(TVL) 為2670 億美元,這個數字在2020 年伊始僅為10 億美元。 DeFi 應用引發了惡意攻擊的大幅上漲,佔2020 年和2021 年加密貨幣黑客攻擊的50% 以上。根據Cipher Trace 的最新報告,2021 年上半年DeFi 黑客攻擊總額為3.61 億美元。
那麼,惡意攻擊者有哪些針對受害者的方式呢?這些流氓玩家正在使用多種方法從去中心化應用程序(DApps) 和毫無戒心的加密貨幣投資者那裡吸取資金。但也許最流行的是身份盜竊、利用應用程序漏洞和網絡攻擊。
DApp 面臨的安全威脅
DApp 旨在作為去中心化的生態系統運行,允許創新者和開發人員構建去中心化的金融服務和應用程序。這些應用程序通過智能合約運行,智能合約充當中間人,根據預先編碼的條件/指令執行交易或操作。
儘管智能合約具有價值主張,但最近的發展表明,其中一些基礎設施容易受到惡意攻擊。本文的以下部分詳細介紹了攻擊者如何利用DApp 來獲取用戶資金或現有DeFi 協議中的匯集流動性。
身份盜竊
由於加密貨幣生態系統仍處於發展的早期階段,惡意攻擊者已經在身份盜用方面找到了優勢。在大多數情況下,攻擊者會傳播惡意軟件來欺騙DApp 用戶並破壞他們的身份。它們通過Internet 分發,包括提示用戶單擊惡意鏈接的網絡釣魚電子郵件。
過去,惡意攻擊者對合法網絡進行硬分叉,將用戶引導至他們的虛擬協議以竊取地址和加密貨幣。這種形式的惡意攻擊後來被稱為身份盜竊。
值得注意的是,一些高級惡意軟件,例如Glupteba,利用比特幣區塊鏈進行更新。這種特殊的惡意軟件通過腳本傳播,允許攻擊者訪問機密信息,包括用戶ID、加密貨幣、保存的cookie 和瀏覽歷史記錄。
利用應用程序漏洞
如前所述,智能合約並不像大多數人想像的那樣安全。這些區塊鏈開發基礎設施是由開發人員編寫的,他們有時可能會遺漏現有的錯誤; 同時,惡意攻擊者一直在尋找這種騙取資金的機會。
例如,Poly Network 黑客攻擊導致價值約6 億美元的資金被盜,原因是該平台的兩個基本智能合約中的訪問權限管理不善; EthCrossChainManager 和EthCrossChainData。
雖然Poly Network 黑客是迄今為止最大的DeFi 黑客,但由於智能合約基礎設施薄弱,其他協議也遇到了安全威脅。例如,Compound 最近發現自己處於十字路口,一個代幣分配錯誤導致錯誤地將價值7000 萬至8000 萬美元的COMP 代幣分配給了錯誤的用戶。
網絡攻擊
網絡攻擊是DApp 的另一個安全威脅,主要是當智能合約編碼不當時。與比特幣工作量證明(PoW)區塊鏈不同,大多數DApp 都利用權益證明(PoS) 共識,這意味著惡意攻擊者無需進行51% 攻擊即可控製網絡。相反,他們可以破壞智能合約並將匯集的資金發送到外部錢包。
Cream Finance 是建立在以太坊上的借貸協議之一,是DeFi 網絡攻擊的受害者。該協議在10 月份遭到破壞,導致資金損失1.3 億美元。根據對違規行為的跟進,攻擊者利用Cream 的借貸協議漏洞進行了一次閃貸交易。
理想情況下,閃貸攻擊涉及市場操縱以壓低借入資產的價值,讓攻擊者有機會以較低的價格回購代幣並償還貸款。
保護DApp 免受身份盜竊和網絡攻擊
儘管DeFi 漏洞使投資者付出了代價,但它們也產生了降低發生概率的原生解決方案。在這方面,我們有新興的解決方案,例如去中心化的數字身份錢包,使DApp 創新者和用戶能夠無縫、安全地與DeFi 交互。
Safle 去中心化區塊鏈身份錢包是目前解決DeFi 安全挑戰的解決方案之一。這個去中心化的生態系統使用戶能夠通過SafleID 錢包創建去中心化錢包,SafleID 錢包是一個兼容EVM 的智能合約錢包,支持多個區塊鍊網絡(以太坊、幣安智能鏈(BSC)和Polygon)。
借助Safle 的去中心化區塊鏈身份錢包,DApp 用戶可以與DeFi 協議進行交互,同時通過Safle 的保險庫保護他們的地址和私鑰。此外,該平台具有一個技術堆棧,允許開發人員將Safle 錢包集成到他們的DApp 中。利用該生態系統的加密貨幣用戶可以在無需擔心黑客洩露其身份的情況下進行操作。
至於智能合約的利用,最好的作戰方法是構建強大且經過測試的DApp。今天,大多數啟動的DApps項目在啟動前幾乎沒有經過嚴格的審計。這種自滿導致了對Poly Network 和Cream Finance 等著名協議的利用。也就是說,改變敘述永遠不會太晚。 DeFi 利益相關者可以通過採用適當的審計和激勵措施(例如漏洞賞金)來解決潛在的挑戰,從而提高市場的安全性。
總結
隨著越來越多的人接受加密貨幣資產的潛力,未來幾年市場可能會變得更大。既然如此,現有的市場參與者應該更加關注安全問題。一方面,創新者的任務是構建更強大的DApp,而另一方面,DApp 用戶在使用任何DeFi 協議之前必須進行更多的盡職調查。
得益於去中心化數字身份等解決方案,兩個群體的工作量都減少了。安全的數字身份將在促進DApp 和整個加密貨幣生態系統的發展方面發揮重要作用。
免責聲明:本文僅供參考。它不提供或旨在用作法律、稅務、投資、財務或其他建議。
資訊來源:由0x資訊編譯自CRYPTODAILY。版權歸作者所有,未經許可,不得轉載