如今,區塊鏈市場整體處於起步階段,去中心化金融(DeFi)市場是其最看好的部分。根據DefiLlama 的數據,2021 年,DeFi 市場有大約2000 億美元的流動性鎖定在智能合約中。如果我們將這筆資金視為一項初始投資,那麼這個市場看起來像是一個非常有前途的企業。沒有太多的全球公司可以吹噓這樣的資本。但任何年輕的市場都有其初期的問題。對於DeFi,主要問題是缺乏合格的區塊鏈開發人員。
這個行業非常年輕,用戶群相對較小。大多數人充其量只是聽說過DeFi,但並不知道它是什麼。但正如每一個有前途的新企業都會發生的那樣,它很快就會引起很多投機興趣。不幸的是,準備人員需要更長的時間,尤其是在區塊鍊和智能合約開發等知識密集型領域。這意味著一些項目團隊將不得不妥協並僱用經驗不足的人員。
這個問題不可避免地會在這些項目的代碼中造成越來越大的安全漏洞風險。然後我們必須處理其在用戶資本損失方面的後果。簡單了解一下這個問題有多大,我可以說,DeFi 鎖定的總流動性中約有10% 被黑客竊取了。主流公眾寧願遠離對他們的資金構成如此危險的金融體系,任何人都不應該感到驚訝。
DeFi 協議是如何被黑客入侵的?
DeFi 漏洞利用最近發生了怎樣的變化?
長期以來,對DeFi 的攻擊一直圍繞著重入攻擊。我們可以回想一下2016 年著名的The DAO被黑,它導致了1.5 億美元的投資者資本損失,並導致了以太坊的硬分叉。從那時起,這個漏洞在不同的智能合約中被多次利用。
借貸協議積極利用回調函數:它允許智能合約在發放貸款之前檢查用戶的質押品餘額。所有這些過程都發生在一次交易中,這為黑客提供了一種從此類智能合約中竊取資金的變通方法。當你發送借入資金的請求時,回調函數首先檢查質押品餘額,如果質押品充足則發放貸款,然後更改智能合約中用戶的質押品餘額。
為了愚弄智能合約,黑客將調用返回到回調函數以從一開始就啟動此過程。由於交易尚未在區塊鏈上完成,該功能會為相同的質押品餘額提供另一筆貸款。儘管這個問題的解決方案已經出現了足夠長的時間,但許多項目仍然成為它的受害者。
有時,不擅長編寫智能合約的項目團隊決定借用另一個開源DeFi項目的代碼庫來部署自己的智能合約。他們通常對經過審計、擁有龐大用戶群並證明是安全構建的信譽良好的項目這樣做。但他們可能決定對借用的代碼進行微小的修改,以添加他們希望在智能合約中擁有的功能,甚至無需更改原始代碼。這可能會破壞智能合約的邏輯,而開發人員通常沒有意識到這一點。
這就是黑客在2021 年8 月從Cream Finance 竊取了大約1900 萬美元的原因。 Cream Finance 團隊從不同的DeFi 協議中藉用了代碼,並在他們的智能合約中添加了回調令牌。即使你可以通過實施“檢查、影響、交互”模式來防止重入攻擊,該模式優先考慮平衡的變化而不是資金的發行,但一些團隊仍然無法保護他們的平台免受這些攻擊。
閃電貸攻擊允許黑客以不同的方式竊取資金,並且自2020 年DeFi 繁榮以來變得越來越流行。閃電貸攻擊的主要思想是,你不需要質押品即可從協議中藉入資金,因為仍然可以保證財務平價由於貸款是在一次交易中獲得併歸還的。如果你未能在一筆交易中歸還貸款並附有利息,則不會發生這種情況。但是攻擊者已經能夠對許多協議進行成功的閃貸攻擊。
需要:打擊黑客和詐騙的大規模教育項目
在這樣做的過程中,他們使用多種協議來借入和拖累流動性,直到最後的行動,他們通過預言機或流動性礦池放大代幣的價格,並用它來騙取暴漲暴跌並在一系列流動性中消失一些主要的不同加密貨幣,如以太(ETH)、點評比特幣(wBTC) 等。一些著名的閃電貸攻擊包括Pancake Bunny 攻擊,協議損失了2 億美元,以及另一個Cream Finance 攻擊,其中超過1 億美元被盜。
如何防禦DeFi 攻擊?
理想情況下,要構建安全的DeFi 協議,你應該只信任經驗豐富的區塊鏈開發人員。他們應該有一個專業的團隊領導,具有構建去中心化應用程序的技能。記住使用安全代碼庫進行開發也是明智之舉。有時,與具有最新代碼庫的庫相比,較不最新的庫可能是最安全的選擇。
測試是所有嚴肅的DeFi項目必須做的另一件事。作為一家智能合約審計公司的CEO,我總是試圖覆蓋100% 的客戶代碼,並強調去中心化保護用於調用受限訪問智能合約功能的私鑰的重要性。最好通過多重簽名使用公鑰的去中心化,防止一個實體完全控制合約。
最後,教育是使基於區塊鏈的金融系統變得更加安全和可靠的關鍵之一。教育應該是那些在DeFi 中尋找工作的人的主要關注點之一,因為它可以為所有能夠做出切實貢獻的人提供令人垂涎的獎勵。
本文不包含投資建議或建議。每個投資和交易動作都涉及風險,讀者在做出決定時應進行自己的研究。
此處表達的觀點、想法和意見僅代表作者個人,並不一定反映或代表Cointelegraph 的觀點和意見。
Dmitry Mishunin 是DeFi 安全和分析公司HashEx 的創始人兼首席執行官,在區塊鏈安全領域擁有長期的專業知識。他將大量時間投入到科學活動中,例如對IT 系統、區塊鍊和DeFi 漏洞的研究。在Dmitry 的管理下,HashEx 已成為智能合約審計領域的領導者之一。
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Dmitry Mishunin所有,未經許可,不得轉載