加密貨幣風險的實用指南,基於黑客、地毯拉扯和經濟事件造成的5B+ 損失
加密貨幣的快速擴張吸引了數千億。隨著這種增長,不幸的是,漏洞利用和詐騙變得普遍。這些風險在協議和個人層面仍然被廣泛誤解。通過這篇文章,我們希望闡明DeFi 協議固有的最相關的技術和經濟風險,分析一些最突出的漏洞利用和用戶應該考慮的因素,以管理他們對這些風險的敞口。
DeFi 協議中的風險分類
DeFi 協議面臨各種風險——從地毯拉扯到黑客攻擊再到經濟攻擊。這些術語經常互換使用……但它們的真正含義是什麼?
在區分這些攻擊之前,首先了解所涉及的風險類型會有所幫助。這些可以大致分為以下幾類:
技術風險——以對抗方式用於從協議中提取資金的程序功能
經濟風險——以意想不到的方式使用協議關鍵的槓桿來製造不平衡,從而導致儲戶損失(攻擊者獲得收益)
DeFi 風險的表情包化
在這種情況下,我們會將黑客行為歸類為純技術性的外部攻擊,將地毯拉動歸類為內部攻擊,故意濫用技術因素,將經濟漏洞歸類為利用經濟協議不平衡的行為。
在本文的下一部分,我們將通過DeFi 中50 起最大事件的鏡頭來研究這些風險背後的潛在因素。對於那些對使用的原始數據感興趣的人,請隨時查看此電子表格。
最大風險的細分
為了了解DeFi 協議對每種風險的敏感程度,我們深入研究了迄今為止發生的50 起最大事件。這包括數億橋樑的黑客攻擊、算法穩定幣的經濟崩盤以及用戶資金的徹底搶劫。
在這50 起事件中,我們估計用戶在DeFi 應用程序中損失了超過50 億美元。正如我們將在整篇文章中介紹的那樣,最大的攻擊來自橋樑黑客,以及算法穩定幣的特別大的崩盤。
以下是50 次最大的DeFi 攻擊背後的主要風險因素分佈。
大約三分之二的最大事故源於技術風險。與此同時,不到四分之一是由於經濟失衡導致的脆弱性,10% 是兩種風險的混合。
技術風險
我們進一步根據程序攻擊是由於智能合約錯誤、私鑰管理、前端漏洞還是地毯拉動對它們進行分類。
在這裡,我們可以觀察到絕大多數技術攻擊是由於協議智能合約中存在的意外錯誤造成的。事實上,在所考慮的50 次攻擊中,有46% 源自此類風險。其中,一些最常見的漏洞是重入漏洞,例如臭名昭著的The DAO 黑客攻擊中利用的漏洞。
此外,很大一部分攻擊是由於私鑰管理造成的,正如最近在Axie Infinity 背後的6.24 億美元的Ronin 網絡黑客攻擊中所看到的那樣。這些事件是由於黑客能夠訪問控制協議智能合約的私鑰。在Ronin 的案例中,有一個多重簽名錢包,需要9 個地址中的5 個來批准交易,其中4 個屬於網絡背後的公司SKy Mavis。Ronin 的通訊指出攻擊是社會工程的,暗示冒充者向Sky Mavis 的團隊發送了一個鏈接,該鏈接在打開後被授予訪問其私鑰的權限。被攻破的第五個地址屬於Axie DAO,似乎他們的一名成員也遭到了同樣的攻擊。
雖然Ronin 橋確實使用了多重簽名錢包,但該子類別中的許多其他攻擊都是由於單個地址控制對協議資金的訪問。這種不當的私鑰管理可能導致黑客攻擊和地毯拉扯。這充當了黑客利用失敗的中心點,同時也使開發人員能夠故意提取用戶資金。
保護自己的資金免受這些風險的影響似乎令人生畏,但這並非不可能。在這篇文章的最後,我們將提供用戶可以採取的可操作的步驟來減輕技術風險,但在此之前,讓我們深入探討經濟風險,這會導致更大的損失。
經濟風險
儘管DeFi 中大多數攻擊背後都有技術因素,但由於經濟風險,實際上已經損失了更大的美元價值。
經濟風險可以進一步分為四個子類別:供給側、需求側、穩定機制和資產健康。這些因素在一定程度上是相互依賴的,儘管通常損失可以追溯到每個事件的這些子類別中的一個或兩個。
供給側風險主要涉及流動性的流入和流出及其中心化度。與在技術攻擊中觀察到的動態相比,這裡的動態非常不同。
例如,讓我們看一下最近的經濟事件,該事件導致Curve 礦池的儲戶損失至少8000 萬美元。在2022 年1 月26 日之前,MIM 穩定幣是DeFi 單產農民獲得高回報的首選資產之一。那天,有消息稱該項目的創始人Daniel Sesta 一直在與另一個項目Wonderland 合作,並與一位匿名合作者合作。創始人,前罪犯,通過加拿大Quadriga 中心化交易所擁有數百萬資金。此外,支持MIM 的部分質押品是Wonderland 的TIME 代幣。隨著聯合創始人身份的曝光,整個DeFi 都遭受了巨大的經濟衝擊。
Michael Patryn,化名Sifu,是Wonderland 的首席財務官,Abracadabra 的創始人承認知道他的真實身份。這導致與Daniele Sesta 相關的項目出現重大損失。在Curve MIM 礦池的情況下,儲戶急於提取流動性。
通過IntoTheBlock 的Curve 協議指標
數小時內從礦池中提取了大約20 億美元的流動性。由於該礦池由MIM 和3Crv(另一個擁有33.3% 的USDT、USDC、DAI 的礦池)組成,儲戶選擇在3Crv 中提取資金以避免與MIM 相關的風險。這導致礦池中資產的構成變得不平衡。
通過IntoTheBlock 的Curve 協議指標
隨著資金礦池轉向主要是MIM,如果存款人選擇在3Crv(或其任何組件)中提取資金,他們開始被收取更高的移除費用。隨著資金礦池中的流動性越來越薄,MIM 失去與美元的掛鉤,移除費用增長到一個地址因提款而損失8000 萬美元的程度。由於這一事件,所有儲戶的總損失可能達到了數字。
雖然這本身並不是一個漏洞利用,但Curve MIM 事件凸顯了經濟風險如何給DeFi 用戶帶來可觀的損失。當談到經濟攻擊時,最常見的變量是價格操縱,通常是相對較低的市值或非流動資產。這些利用了協議穩定性機制中的漏洞,特別是它們使用的預言機。
借貸協議Cream Finance 和Compound 已成為此事件的受害者,攻擊者使用閃電貸來操縱資產價格,使他們能夠人為地抬高質押品的價格並將藉貸能力提高到不可持續的程度。由於當時Cream 和Compound 使用的是鏈上預言機,因此攻擊者能夠通過閃電貸在一個區塊內完成所有這些操作。
儘管閃貸助長了許多此類攻擊,但它們並不是背後的主要原因。這些跡象表明協議容易受到人為失衡的影響,有時甚至可以在沒有閃電貸款的情況下手動完成,例如在BSC 中利用Venus 協議的2 億美元。我們將進一步討論用戶如何減輕涉及預言機、清算人和套利者的穩定性風險。
總體而言,這些經濟風險可能非常複雜,但可以通過觀察這些協議的流動性變化以及它們使用的預言機等因素來監控。用戶可以採取更多措施來保護自己免受這些風險以及技術風險的影響。
減輕DeFi 中的風險敞口
如前所述,DeFi 中最大的50 起事件中有66% 是由於技術風險,主要是智能合約錯誤。由於絕大多數人在智能合約代碼方面並不精通,這就引出了一個問題:我們能做些什麼來預防這些風險?
第一步也是最簡單的步驟是檢查協議是否已經過審核。在發生率方面,所分析的大量漏洞利用未經審計。
值得注意的是,不止一名審計員可以審查這些協議並且仍然被利用。例如,Certik 和NCC 集團對Poly Network 6.11 億美元的黑客攻擊進行了審計。鑑於這些審計員的跟踪記錄,用戶可以評估他們可以提供的價值,並可能根據以前的事件為協議被利用的可能性分配權重。然而,在這裡,值得關注的不僅是這些審計員遭受的攻擊次數,還包括被他們安全審計的協議數量以及它們所包含的鎖定值。
除了智能合約漏洞,我們還指出了私鑰管理可能帶來的風險。建議用戶對誰可以訪問協議背後的私鑰進行盡職調查。理想情況下,這些協議不僅具有具有多個(10 多個)地址的多重簽名,而且還包括其組織之外的知名人士。這相當於DeFi 協議的導向器,除了比傳統意義上的漏洞暴露更大。通過遵守該標準,協議不太可能訪問其私鑰並拉扯用戶,因為他們無法以編程方式這樣做。
從經濟角度來看,值得用戶監控可能影響其存款安全的關鍵指標。對於AMM 中的存款,尤其是像Curve 這樣的穩定互換,值得關注流動性及其跨資產的構成。此外,如果這些地址提取資金,鯨魚地址中流動性的中心化度也有助於評估頭寸在滑點或移除費用方面的脆弱性。
在藉貸協議方面,最重要的是他們使用預言機跟踪鏈下數據或使用資產的時間加權平均價格。這些有助於防止可能導致儲戶損失的價格操縱。同樣,如果共享流動性礦池中上架了非流動性的小盤資產,這些資產也可能被尋求提取資金的攻擊者人為誇大。
這些涵蓋了協議方面的風險,但也有用戶可以實施的最佳實踐來避免進一步的不利影響。其中最常見的包括使用硬件錢包、擁有一個“銷毀器”錢包以積極使用小額資金,以及避免點擊可疑鏈接或與網絡釣魚詐騙互動。有關於這些的重要信息,所以我們不會更詳細地深入研究它們。
結論
整個加密貨幣領域的風險比比皆是,DeFi 也不例外。儘管DeFi 協議確實提供了比傳統金融更高的收益機會,但它們容易受到更大風險的影響,而且動態非常不同。儘管跟踪所有這些風險肯定很複雜,但值得牢記這些風險,尤其是在你存入大量資金的情況下。
儘管隨著加密貨幣規模的擴大,事件變得越來越大,但該行業正在建立最佳實踐以更好地降低這些風險。儘管成本高昂,但現在更多的協議選擇了審計。他們不使用多重簽名來管理存款也不太常見。隨著開發人員從以前的攻擊中吸取教訓,用於價格的預言機也更具彈性。作為開源,加密貨幣可以為這些攻擊提供透明的洞察力,從而加強整個行業。最終,風險可能會貫穿整個加密貨幣領域,但越來越多的開發人員和用戶都可以採取措施來減輕風險。
在IntoTheBlock,我們提供的指標可以幫助用戶監控這些風險,尤其是從經濟角度。對於機構合作夥伴,我們可以主動管理風險並在清算或滑點導致損失之前自動拆倉。有關這些的更多詳細信息,請隨時聯繫loutumuro@intotheblock.io
DeFi 風險入門最初發表在IntoTheBlock on Medium 上,人們通過突出和回應這個故事來繼續對話。
資訊來源:由0x資訊編譯自BITCOININSIDER。版權歸作者Anonymous所有,未經許可,不得轉載
