作者Tim Fries 和本網站The代幣ist 均未提供財務建議。在做出財務決定之前,請查閱我們的網站政策。
DeFi 黑客攻擊變得如此猖獗,以至於FBI 向加密貨幣投資者發出警告。該機構引用了4 月份的一份Chainalysis 報告,顯示網絡犯罪分子僅在2022 年前三個月就竊取了13 億美元的加密。
這不僅比2021 年增加了71%,而且97% 的所有加密貨幣漏洞利用都涉及DeFi 平台。
與保守的比特幣不同,去中心化金融運行在更靈活和多樣化的智能合約上。這種靈活性似乎是以安全為代價的。哪些類型的DeFi 平台特別危險,FBI 向開發商和投資者推薦什麼?
FBI 檢測到的最常見的DeFi 漏洞
在過去十年中,FBI 不斷擴大其網絡部門。截至今年,它在56 個外地辦事處擁有1,000 多名網絡安全專家。在昨天的PSA 中,FBI 邀請加密貨幣投資者通過在互聯網犯罪投訴中心(IC3) 填寫表格來向當地辦公室報告網絡犯罪。
在PSA 中,該機構總結了代幣ist 多年來一直報導的所有典型加密貨幣騙局和DeFi 漏洞利用:閃電貸、令牌橋漏洞利用和令牌對漏洞利用。後者涉及通過利用負責滑點檢查的智能合約對DEX 進行價格操縱。
滑點發生在代幣對流動性礦池中,例如ETH/WBTC,當代幣的價格在提交的交易和驗證的交易之間發生變化時。攻擊者可以利用編碼不良的滑點檢查並通過槓桿交易繞過它們。
然後,由此產生的價格計算錯誤允許剝削者耗盡流動資金礦池。然而,FBI 注意到在這些類型的攻擊中僅損失了3500 萬美元,完全被其他兩種攻擊所掩蓋。
閃貸
閃電貸代表了區塊鏈的新奇事物,這在2020 年1 月推出之前是不可能的。通過使用智能合約,借款人可以在同一交易(數據塊)中發放和償還貸款。如果借款人未能立即償還,交易就會逆轉,就好像貸款從未發放過一樣。
雖然對於普通貸款目的沒有用,但閃貸對於在利用套利機會時擴大頭寸的日常交易者來說至關重要。通常,黑客利用糟糕的編碼來購買足夠的加密資產來觸發拋售,而無需先提供質押品。隨著代幣價格被壓制,他們去另一個DEX 出售它以獲取利潤。
4 月,黑客利用這種方法從Beanstalk Farms 竊取了1.82 億美元。該平台發行算法穩定幣BEAN,但它使用信用而不是質押品來支持它。由於平台是去中心化的,購買代幣就意味著購買投票權,這使得黑客(剝削者)能夠改變治理規則並消耗1.82 億美元。
資金耗儘後,掛鉤匯率崩盤,但在8 月下旬穩定下來。 Bean 團隊甚至請求剝削者返還資金並保留10% 作為白帽(道德黑客)賞金。
搶劫後BEAN 穩定幣崩盤。因為它們沒有硬現金儲備作為質押,去中心化算法穩定幣通常難以維持與美元的掛鉤。圖片來源:CoinGecko
7 月,總部位於Solana 的Nirvana Finance 因閃電貸款攻擊而遭受350 萬美元的損失,該攻擊還涉及算法穩定幣NIRV。僅今年一年,各種DeFi 平台上就發生了超過17 起此類攻擊。
令牌橋漏洞
因為每個區塊鍊網絡都有自己的治理規則、驗證器,甚至智能合約標準,所以將數字資產從一個轉移到另一個是有問題的。這就是區塊鏈橋樑發揮作用的地方。它們是運行轉換智能合約的協議,因此可以將來自一個區塊鏈的代幣發送到另一個區塊鏈。
例如,如果要在以太坊的dApp 上使用比特幣作為質押品,首先必須使BTC 與以太坊的ERC-20 代幣標準兼容。負責這種轉換的是像幣安Bridge 這樣的跨鏈智能合約。用戶只需存入比特幣,橋接器的智能合約會將其轉換為點評比特幣(wBTC)。
這樣,新鑄造的wBTC 等於存入BTC 的價值,並與相同的價格變動掛鉤,但具有ERC-20 代幣的功能和兼容性。
同樣,Zapper 或Celer 等去中心化協議可用於跨數十個不同的區塊鍊網絡發送資金。問題是,這些令牌橋充當存儲庫,即故障中心點。令人驚訝的是,FBI 未能引用8 月份的最新Chainalysis 報告,該報告顯示,代幣橋接攻擊佔今年被盜資金總額的69%。
截至8 月,Chainalysis 報告稱,在13 次跨鍊網橋黑客/漏洞利用中被盜的金額高達20 億美元。圖片來源:鏈分析
8 月2 日,攻擊者利用Nomad 橋智能合約,損失了近2 億美元。來自Elliptic區塊鏈安全公司的Tom Robinson 指出,跨鏈橋是區塊鏈基礎設施中最不安全的部分。
“這些橋樑已被黑客以各種方式破壞,這表明他們的安全水平沒有跟上他們所持有資產的價值。”
記錄保持者仍然是Ronin Bridge被黑,將Axie Infinity 的Ronin 側鏈連接到以太坊。朝鮮黑客從中竊取了價值6 億美元的ETH 和USDC 穩定幣。此外,Elliptic 報告說,開源RenBridge 已被(ab)用於洗錢高達5.4 億美元的加密資金,其中153 美元用於勒索軟件付款。
FBI 建議避免DeFi 誕生之痛
DeFi 投資者發現自己處於困境和困境之間。一方面,每個人都知道,早起的鳥兒後來得到了超值的令牌。畢竟,這就是以太坊如何從2020 年2 月的不到10 億美元到2021 年11 月的1110 億美元TVL。
另一方面,新的DeFi項目急於利用FOMO 的增長,通常不優先考慮安全性和最佳編碼實踐。出於這個原因,聯邦調查局鼓勵投資者在潛入之前承擔責任並研究每個項目。
該研究的一部分是弄清楚該平台是否進行了獨立的代碼審計以識別智能合約漏洞。在Ronin Bridge 黑客事件中,Sky Mavis 在Verichains 和Certik 的兩次外部審計和一次內部審計後打開了這座橋。此外,一個協議擁有的驗證器越少,它就越容易被利用,這就是Sky Mavis 將其驗證器礦池從之前的5 到9 個增加到21 個的原因。
FBI 還提到快速部署的平台是一個危險信號。該機構沒有詳細說明,但上週的SudoRare 815,000 美元搶劫案是欺詐性DeFi項目的一個完美例子,它試圖模仿合法項目的成功。
最後,FBI 建議為開發人員和DeFi 投資者提供即時警報系統。在這種情況下,謹慎的做法是在Twitter 上關注Elliptic 和Peckshield。這些區塊鏈安全公司經常提醒持續存在的漏洞或轉發其他人。
你是等待還是尋求新的DeFi項目成為第一個項目?請在下面的評測中告訴我們。
資訊來源:由0x資訊編譯自THETOKENIST。版權歸作者Tim Fries所有,未經許可,不得轉載
