摘要:加密黑客、Rug Pull、經濟事件… DeFi 中50 起最大攻擊已造成了逾50 億美元的損失,本文將介紹加密風險的實用指南。
作者:Into The Block 研究主管Lucas Outumuro
編譯及整理:0x新聞Mary Liu
加密黑客、Rug Pull、經濟事件… DeFi 中50 起最大攻擊已造成了逾50 億美元的損失,本文將介紹加密風險的實用指南。
加密的快速擴張吸引了數千億美元的資本,不幸的是,漏洞利用和詐騙也隨之變得普遍。這些風險在協議和個人層面仍然被廣泛誤解。通過這篇文章,我們希望闡明與DeFi 協議最相關的技術和經濟風險,分析一些最突出的漏洞利用和用戶應該考慮的因素,以幫助人們管理對這些風險的敞口。
DeFi 協議中的風險分類
DeFi 協議面臨各種風險——從Rug Pull 到黑客攻擊再到經濟攻擊,這些術語經常互換使用……但它們的真正含義是什麼?
在區分這些攻擊之前,首先了解所涉及的風險類型會有所幫助,大致分為以下幾類:
-
技術風險——利用編程技術進行對抗攻擊,進而從協議中提取資金
-
經濟風險——以無法預測的方式使用協議關鍵的槓桿來製造不平衡,從而導致儲戶損失(攻擊者獲得收益)
DeFi 風險的Meme化
在這種情況下,我們會將黑客行為歸類為純技術性的外部攻擊,將Rug Pull 歸類為內部攻擊,故意濫用技術因素,將經濟利用歸類為利用經濟協議不平衡的行為。
在本文的下一部分,我們將通過DeFi 中50 起最大攻擊事件來研究這些風險背後的潛在因素。
最大風險的細分
為了了解DeFi 協議對每種風險的敏感程度,我們深入研究了迄今為止發生的 50 起最大黑客事件。這包括跨鏈橋的數億美元黑客攻擊、算法穩定幣的崩潰以及用戶資金的徹底蒸發。
在這50 起事件中,我們估計用戶在DeFi 應用程序中損失了超過50 億美元。正如我們將在整篇文章中介紹的那樣,最大的攻擊來自跨鏈橋黑客,以及算法穩定幣摧枯拉朽般的崩潰。
以下是50 次最大DeFi 攻擊背後的主要風險因素分佈:
大約三分之二的最大事故源於技術風險。與此同時,不到四分之一是由於經濟失衡導致的脆弱性,10% 是兩種風險的混合。
技術風險
我們進一步根據程序攻擊是由於智能合約錯誤、私鑰管理、前端漏洞還是Rug Pull對它們進行分類。
上圖,我們可以觀察到絕大多數技術攻擊是由於協議智能合約中存在的意外錯誤造成的。事實上,在所考慮的50 次攻擊中,有46% 源自此類風險。其中,一些最常見的漏洞是複刻攻擊(Re-Entrancy Bug),例如臭名昭著的The DAO 黑客攻擊中利用的漏洞。
此外,很大一部分攻擊是由於私鑰管理造成的,正如最近在Axie Infinity 背後的6.24 億美元的Ronin 網絡黑客攻擊中所看到的那樣。這些事件是由於黑客能夠訪問控制協議智能合約的私鑰。在Ronin 的案例中,有一個多重簽名錢包,需要9 個地址中的5 個來批准交易,其中4 個屬於網絡背後的公司SKy Mavis。 Ronin 指出此次入侵是社會工程攻擊,暗示冒充者向Sky Mavis 的團隊發送了一個鏈接,該鏈接在打開後被授予訪問其私鑰的權限。被攻破的第五個地址屬於Axie DAO,似乎他們的一名成員也遭到了同樣的攻擊。
雖然Ronin 橋確實使用了多重簽名錢包,但該子類別中的許多其他攻擊都是由於單個地址控制對協議資金的訪問。這種不當的私鑰管理可能導致黑客攻擊和Rug pull,同時也使開發人員能夠故意提取用戶資金。
保護自己的資金免受這些風險似乎很難,但這並非不可能。在這篇文章的最後,我們將提供用戶可以採取的可操作的步驟來減輕技術風險,但在此之前,讓我們深入探討經濟風險,這會導致更大的損失。
經濟風險
儘管DeFi 中大多數攻擊背後都有技術因素,但由於經濟風險,實際上損失更大。
經濟風險可以進一步分為四個子類別:供給側、需求側、穩定機制和資產健康。這些因素在一定程度上是相互依賴的,儘管通常損失可以追溯到每個事件的這些子類別中的一個或兩個。
供給側風險主要涉及流動性的流入和流出及其集中度。與在技術攻擊中觀察到的模式相比,這個模式非常不同。
例如,讓我們看一下最近的經濟事件,該事件導致Curve 池的儲戶損失至少8000 萬美元。在2022 年1 月26 日之前,MIM 穩定幣是DeFi 挖礦者獲得高回報的首選資產之一。那天,有消息稱該項目創始人Daniel Sesta 一直在與另一個項目Wonderland 合作,並與一位匿名合作者合作。創始人,前罪犯份子,通過加拿大Quadriga 中心化交易所擁有數百萬資金。此外,支持MIM 的部分抵押品是Wonderland 的TIME 代幣。隨著聯合創始人身份的曝光,整個DeFi 都遭受了巨大的經濟衝擊。
Michael Patryn,化名Sifu,是Wonderland 首席財務官,Abracadabra 創始人承認知道他的真實身份。這導致與Daniele Sesta 相關的項目遭受重大損失。在Curve MIM 池的情況下,儲戶爭先恐後的提取流動性。
數小時內從池中提取了大約20 億美元的流動性。由於該池由MIM 和3Crv(另一個擁有33.3% 的USDT、USDC、DAI 的池)組成,儲戶選擇在3Crv 中提取資金以避免與MIM 相關的風險,這導致池中資產的構成變得不平衡。
隨著資金池轉向主要是MIM,如果存款人選擇在3Crv(或其任何組件)中提取資金,他們開始被收取更高的提款費。隨著資金池中的流動性越來越少,MIM 不再與美元掛鉤,提款費增長到一個地址因提款而損失8000 萬美元的程度。由於這一事件,所有儲戶的總損失數額是巨大的。
雖然這本身並不是一個漏洞利用,但Curve MIM 事件凸顯了經濟風險如何給DeFi 用戶帶來可怕的損失。當談到經濟攻擊時,最常見的變量是價格操縱,通常是相對較低的市值或非流動資產。這些利用了協議穩定性機制中的漏洞,尤其是它們使用的預言機。
借貸協議Cream Finance 和Compound 已成為此事件的受害者,攻擊者使用閃電貸來操縱資產價格,使他們能夠人為地抬高抵押品的價格並將藉貸能力提高到不可持續的程度。由於當時Cream 和Compound 使用的是鏈上預言機,因此攻擊者能夠通過閃電貸在一個區塊內完成所有這些操作。
儘管閃貸助長了許多此類攻擊,但它們並不是背後的主要原因。這些跡象表明協議容易受到人為操控的影響,有時甚至可以在沒有閃電貸款的情況下手動完成,例如在BSC 中利用Venus 協議的2 億美元。我們將進一步討論用戶如何減輕涉及預言機、清算方和套利者的穩定性風險。
總體而言,這些經濟風險可能非常複雜,但可以通過查看這些協議的流動性變化以及它們使用的預言機等因素來監控。用戶可以採取更多措施來保護自己免受這些風險以及技術風險的影響。
減輕DeFi 中的風險敞口
如前所述,DeFi 中最大的50 起事件中有66% 是由於技術風險,主要是智能合約錯誤。由於絕大多數人在智能合約代碼方面並不精通,這就引出了一個問題:我們能做些什麼來預防這些風險?
第一步也是最簡單的步驟是檢查協議是否已經過審核。在發生率方面,我們所分析的大量漏洞利用未經審計。
值得注意的是,不止一名審計員可以審查這些協議並且仍然被利用。例如,Certik 和NCC Group 對遭受6.11 億美元黑客攻擊的Poly Network 進行了審計。鑑於這些審計的跟踪記錄,用戶可以評估他們可提供的價值,並可能根據歷史事件為協議被利用的可能性分配權重。然而,在這裡,不僅需要看審計團隊經手的哪些項目遭受了攻擊,還需要查看已被他們安全審計的協議數量以及它們包含的鎖倉價值。
除了智能合約漏洞,我們還指出了私鑰管理可能帶來的風險。建議用戶對誰可以訪問協議背後的私鑰進行盡職調查。理想情況下,這些協議不僅具有具有多個(10 多個)地址的多重簽名,而且還包括其組織之外的知名人士。這相當於DeFi 協議的導向器,除了比傳統意義上的漏洞暴露更大。通過遵守該標準,協議不太可能訪問其私鑰並Rug Pull用戶,因為他們無法以編程方式這樣做。
從經濟角度來看,值得用戶監控的是可能影響其存款安全的關鍵指標。對於AMM 中的存款,尤其是像Curve 這樣的穩定互換協議,值得關注流動性及其跨資產的構成。此外,如果這些地址提取資金,鯨魚地址中流動性的集中度也有助於評估頭寸在滑點或提款費用方面的脆弱性。
在藉貸協議方面,最重要的是他們使用預言機跟踪鏈下數據或使用資產的時間加權平均價格。這些有助於防止可能導致儲戶損失的價格操縱。同樣,如果共享流動性池中列出了非流動性的小盤資產,這些資產也可能被尋求提取資金的攻擊者人為誇大。
這些涵蓋了協議方面的風險,但用戶也可以採取其他措施來避免進一步的不利影響。其中最常見的包括使用硬件錢包、通過“burner”錢包使用小額資金,以及避免點擊可疑鏈接或與網絡釣魚詐騙互動。
結論
整個加密領域的風險比比皆是,DeFi 也不例外。儘管DeFi 協議確實提供了比傳統金融更高的收益機會,但它們容易受到更大風險的影響,而且模式非常不同。儘管跟踪所有這些風險肯定很複雜,但牢記這些風險,尤其是在您存入大量資金的情況下。
隨著加密規模的不斷擴大,黑客事件的影響也變得越來越大,但該行業正在建立最佳實踐以更好地降低這些風險。儘管成本高昂,但現在更多的協議選擇了審計,不使用多重簽名來管理存款的情況也越來越少。隨著開發人員從以前的攻擊中吸取教訓,用於價格的預言機也更具彈性。作為開源,加密可以為這些攻擊提供透明的洞察力,從而強化整個行業。最終,風險可能會貫穿整個加密領域,但越來越多的開發人員和用戶都可以採取措施來減輕風險。
了解更多資訊歡迎加入:
0x新聞Discord 社群:https://discord.gg/QSvv7MZ2tz
0x新聞TG 交流群:https://t.me/BitPushCommunity
0x新聞TG 訂閱: https://t.me/bitpush
Twitter :https://twitter.com/BitpushNewsCN
本文來自0x新聞,文章鏈接: https://www.0xcj.com/articles/2381102轉載需註明出處
