DeFi —— 去中心化金融,不同於過去中心化的傳統金融需要許多中介機構如銀行、證券交易所的參與,DeFi 利用了區塊鏈的技術,逐漸發展出有別於傳統金融的金融商品,瘋狂受到追捧。根據DeFi Pulse 的數據,DeFi 鎖倉量已飆升了200% 以上,從2021 年1 月份的$320 億到12 月份的$980 億。 DeFi 作為去中心化世界的明星產物,憑其去中心化、不可篡改、無需信任、開放透明可組合等特性為用戶打開了開放式金融的大門。
不過,DeFi 真的足夠「去中心化」嗎?
從協議層面以及交互方式來看,DeFi 的確足夠去中心化。但從一些攻擊事件上看,DeFi 似乎顯得不那麼去中心化。
☟
2021 年7 月14 日,波卡數字收藏品市場平台Bondly Finance 遭到攻擊,導致373,088,023 美元的BONDLY 代幣從Bondly Staking Rewards 合約中轉出,據官方調查,攻擊者通過精心策劃獲得了屬於Bondly 首席執行官Brandon Smith 的密碼帳戶的訪問權限。密碼帳戶包含Smith 的硬件錢包的助記符恢復短語,複製後允許攻擊者訪問BONDLY 智能合約,以及被洩露的公司錢包。
有趣的是,該黑客似乎在四個月後又以相似的方式攻擊了另一個DeFi 項目。
2021 年11 月5 日,DeFi 協議bZx 發推稱控制Polygon 和BSC 部署的私鑰已被洩露,導致資金損失。據官方調查,黑客使用的錢包之一參與了Bondly Finance 的攻擊。同時,本次漏洞利用與Bondly Finance 的非常相似:黑客獲得了開發人員的密碼,然後從協議中操縱了一個智能合約。不久,bZx 在更新的事故報告表示:“我們聘請了一家名叫Kaspersky 的安全公司,該安全公司調查後認為這次攻擊很可能是由朝鮮黑客組織Lazarus 執行的。”據慢霧AML 旗下反洗錢追踪系統MistTrack 分析,攻擊者初始資金來自Tornado.Cash 轉入的0.9 ETH,接著攻擊者一番操作將被盜資金分散到多個地址。然後攻擊者將多種代幣換為ETH,最後通過Tornado.Cash 轉出10960 ETH,以太坊部分的洗幣基本完成。
以上兩個事例都是無關合約問題,而是開發人員遭到釣魚攻擊致私鑰洩露從而影響用戶資金。回顧近期,私鑰洩露似乎變得非常熱門:Levyathan 損失150 萬美元、8ight Finance 損失175 萬美元、Vulcan Forged 損失1.4 億美元……我們不禁想,這是不是表示著線下實體(DeFi 開發人員)實際掌管著控制權呢?
除了釣魚攻擊,前端攻擊也是引發DeFi 安全問題的高危據點。
2021 年12 月2 日,據官方Discord 消息,去中心化組織Badger DAO 遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。 12 月9 日,Badger 發布了詳細的事故報告,報告稱此次事件是Cloudflare Workers 上的惡意注入代碼片段導致的。 Cloudflare Workers 是一個運行腳本的界面,這些腳本在流經Cloudflare 代理時對Web 流量進行操作和更改。攻擊者在Badger 工程師不知情或未授權的情況下獲取了項目方在Cloudflare 後台的API Key,以此在網站的前端代碼裡面注入一系列的惡意代碼。當用戶訪問前端網站時,觸發惡意代碼後會發起交易讓用戶去確認。用戶確認了那筆惡意交易,就會將代幣授權(approve)給攻擊者,然後攻擊者就可以在用戶不知情的情況下將代幣轉走。據慢霧AML 旗下反洗錢追踪系統MistTrack 分析,黑客將部分獲利的加密貨幣換成renBTC,並通過renBTC 將約2100 BTC 跨鏈轉移到14 個BTC 地址,目前暫無異動。
在DeFi 世界,合約一旦部署不可篡改不可撤回,理論上來說是不會受到人為的干預,這點確保了其去中心化的特點,但目前絕大多數前端仍是通過傳統架構實現,雖然網頁自身也在不斷在進化和發展,但是仍存在很多潛在的威脅,同時針對前端的攻擊往往容易被開發者忽視,這些錯誤因素使得攻擊者飽餐了一頓又一頓。
2021 年9 月17 日,Sushiswap CTO 在推特上表示,Sushiswap IDO 平台Miso 的前端遭受攻擊。承包商的一名匿名員工將惡意代碼注入Miso 前端,把拍賣錢包地址替換成了自己的錢包地址,導致864.8 ETH(約307 萬美元)被盜。
當前端問題開始影響資金的安全性,作為用戶不得不深思如何才能做到安全地參與DeFi 項目,簡直如履薄冰。
總結
不管怎樣,“DeFi 是否完全去中心化”這個問題也許會一直存在。與其說去中心化是DeFi 最大的特性,不如說是DeFi 世界的終極目標。而不論是作為用戶、審計機構還是作為項目方,我們經歷過如此多的DeFi 安全事件後,是否仍然只將注意力聚焦到智能合約上呢?答案不言而喻。
參與DeFi 項目本質上是把手中的資產轉移或授權給DeFi 項目方,存在個人極大程度上不可控的安全風險。那我們普通用戶能做什麼?慢霧為您準備了一份“DeFi 資產安全解決方案”,點擊鏈接即可查閱。
特別聲明
免責聲明:本文不代表0x财经立場,且不構成投資建議,請謹慎對待,如需報導或加入交流群,請聯繫微信:VOICE-V。
來源:慢霧科技原創