2022年已有超過20 億美元的加密貨幣被黑客竊取,逐漸動搖了人們對被稱為DeFi 的去中心化金融領域的信心。
Ben Weintraub 從大學輟學後不久就開始從事加密貨幣領域的工作,某天醒來後發現了一些壞消息。
過去幾個月裡,Weintraub 和他在芝加哥大學的兩個同學一直在開發一個名為Beanstalk 的軟件平台,該平台提供一種穩定幣,即固定價值為1 美元的加密貨幣。令他們驚訝的是,Beanstalk 一夜之間引起了轟動,吸引了加密貨幣投機者,他們將其視為對DeFi 實驗領域的激動人心的貢獻。
然後它崩潰了。今年4 月,一名黑客利用Beanstalk 設計中的一個缺陷從用戶那裡竊取了超過1.8 億美元,這是今年針對DeFi 項目的一系列盜竊案之一。
黑客入侵的那天早上,24 歲的Weintraub 正在新澤西州過逾越節(Passover),他匆忙走進父母的臥室。
“醒醒”,他說,“Beanstalk 完了”。
多年來,黑客一直在威脅加密行業,從在線錢包中竊取比特幣,並攻擊投資者買賣數字貨幣的交易所。但像Beanstalk 這樣的DeFi 初創項目的迅速爆紅帶來了一種新型的威脅。
這些監管鬆散的項目允許人們在沒有銀行或經紀人的情況下借貸和進行其他交易,依賴於由代碼管理的系統。使用DeFi 軟件,投資者可以在不透露身份甚至不需要信用檢查的情況下獲得貸款。
隨著去年市場的飆升,新興行業被譽為金融的未來,它是華爾街的民主替代品,可以讓散戶交易者賺取更多的錢。加密用戶將大約1000 億美元的虛擬貨幣委託給了數百個DeFi 項目。
但有些軟件是建立在錯誤代碼之上的。根據加密跟踪公司Chainalysis 的數據,今年上半年已有22 億美元的加密貨幣從DeFi 項目中被盜,使整個行業步入黑客損失最嚴重的一年。
許多盜竊案源於為DeFi 提供動力的計算機程序(稱為“智能合約”)的缺陷。這些程序通常是倉促開發的。而且由於智能合約使用開源代碼,提供了一個可公開查看的軟件庫,黑客能夠策劃對數字基礎設施本身的攻擊,而不是簡單地滲透某人的賬戶,這是搶劫個人和清空整個銀行金庫的區別。
Chainalysis 調查副總裁Erin Plante 表示:“DeFi 為黑客引入了一個全新的平台,使他們能夠訪問平台。” “這給加密市場帶來了很大壓力,並限制了可能的創新。”
在加密行業的嚴峻時期,這些違規行為動搖了人們對DeFi 的信心。
今年春天一場“史詩”般的崩盤抹去了近1 萬億美元,並迫使幾家知名公司破產。 8 月,黑客利用編碼問題從一家名為Nomad 的公司盜取了1.9 億美元。上週,加密公司Wintermute 表示其DeFi 部門遭到黑客攻擊,導致損失1.6 億美元。
跟踪被盜加密貨幣的移動非常簡單。交易記錄在稱為區塊鏈的公共分類賬上,任何人都可以對其進行分析以找到踪跡,但要重新獲得損失的資金要困難得多。
黑客攻擊不得不使許多DeFi 初創公司探索預防措施,招募審計人員檢查他們的代碼是否存在漏洞。即使其他類型的加密公司在經濟低迷時期削減成本,安全和審計公司的業務也出現了大幅增長。
“今年對攻擊者來說是個好年頭”,進行代碼審計的ConsenSys Diligence 創始人Goncalo Sa 說, “這絕對在人們的腦海中根深蒂固,安全是他們應該認真對待的事情”。
從加密貨幣誕生之日起,公司就一直在努力解決安全問題。 2014 年,第一家主要的比特幣交易所Mt. Gox 在一次破壞性攻擊中遭到破壞,最終導致該公司破產並損失了數十億美元的數字貨幣。
當時,這個行業規模相對較小且不復雜。現在,黑客可以攻擊更廣泛的生態系統,包括基於加密的視頻遊戲、去中心化借貸項目和新奇代幣的實驗經濟。去年,一名黑客從DeFi 平台Poly Network 竊取了6 億美元;在與項目負責人協商後,黑客最終歸還了這筆錢。
今年的黑客攻擊造成的損失要大得多。 3 月,一個由朝鮮政府贊助的團體從Ronin Network 竊取了6.2 億美元的數字貨幣,Ronin Network 是一個為視頻遊戲Axie Infinity 提供支持的DeFi 平台。大約在同一時間,一名黑客利用DeFi 項目Wormhole 中的軟件漏洞捲走3.2 億美元。
前FBI 特工、網絡安全公司NAXO 代理人Chris Tarbell 說:“許多人正在湧入具有已知漏洞的平台,在目標豐富的環境中,犯罪分子會投機取巧。”
Wormhole 黑客利用了一種新的加密技術元素中的漏洞,稱為跨鏈橋,它允許投資者在建立在不同區塊鏈上的數字貨幣之間來回切換。一些DeFi 平台促進了這些轉換,以幫助人們利用交易機會;例如,擁有大量以太坊的交易者可能希望在另一種區塊鏈上使用應用程序,而不必出售以太坊來購買另一種代幣。
流經這些跨鏈橋的大量加密貨幣使它們成為有價值的目標。據Chainalysis 稱,今年共有10 起黑客攻擊涉及跨鏈項目,導致13 億美元的損失。
加密安全公司Halborn 創始人Steve Walbroehl 說,這項技術“非常複雜,複雜性是安全的敵人”。
Beanstalk 並不是作為跨鏈橋而建的,但它的代碼中還有其他漏洞。
該項目的內部運作幾乎可笑地晦澀難懂。一份概述其機制的白皮書由61 頁圖片、表格和數學方程式(以及亞歷山大·漢密爾頓信件中的引述)組成。
“從1 個種下的Bean 長出的Pods 數量取決於播種時的溫度—Beanstalk 原生利率 ”,該平台指南中的一篇文章被稱為“農民年鑑”。
從本質上講,Beanstalk 允許人們將數千萬美元的虛擬貨幣存入軟件系統,從而產生利息並幫助維持稱為Bean 的穩定幣的價值。
該項目並非傳統的初創公司。像許多加密貨幣創始人一樣,Weintraub 和他的合作者——25 歲的Brendan Sanderson 和24 歲的Michael Montoya——對他們的身份保密,自稱為Publius,這是對《聯邦黨人文集》作者的敬意。
當該軟件於2021 年8 月發佈時,存入加密貨幣的用戶在去中心化自治組織(DAO)中投票同意對軟件進行更改。
Beanstalk 的集體治理最終導致了它的毀滅。 4 月,一名黑客從另一個DeFi 項目Aave 借了10 億美元的加密貨幣。這筆交易是所謂的閃電貸——一個閃電般的過程,在這個過程中,加密用戶在不提供任何抵押品的情況下借入資金,進行交易,然後立即償還貸款,保留從一系列近乎同時的交易中產生的所有利潤。
Weintraub 和他的合作夥伴設計的代碼沒有阻止某人使用閃電貸款接管平台的機制。因此,黑客利用這10 億美元獲得了Beanstalk DAO 的巨額股份,完全控制了軟件的治理。然後,黑客將每個人的資金——總計近2 億美元——轉移出Beanstalk 系統。
恐慌隨之而來。 “我今天損失了100 萬美元,都是Bean 代幣”,一位Beanstalk 用戶在YouTube 上宣稱。
一些用戶懷疑Weintraub 和其他創始人是這次攻擊的幕後黑手——這是一個典型的“Rug Pull”,即一群開發人員帶著投資者的資金跑路。
Weintraub 說:“這感覺就像死了一樣。”
最終,他和其他創始人決定繼續這個項目。他們向聯邦調查局報告了盜竊案。並與Beanstalk 愛好者通電話以尋找前進的道路。
在聊天論壇Discord 四月份的帖子中,他們還首次透露了自己的身份。這是一個冒險的舉動:儘管該項目不是傳統業務,但它們可能容易受到用戶訴訟或監管審查的影響。
在過去的幾個月裡,Beanstalk DAO 一直在努力重啟該項目,招募區塊鏈分析公司來幫助追踪丟失的加密貨幣。該組織還聘請了安全公司Halborn,該公司正在審查代碼以消除任何漏洞。 Beanstalk 上個月正式重新開放。
這種捲土重來的努力在加密領域中越來越普遍。
“我們一直對社區如此透明,這是一個實驗”,Weintraub 說, “我們都在一起解決這個問題並不斷進步”。
被盜資金仍然下落不明。 (比推)
OKEX下載,歐易下載,OKX下載
okex交易平台app下載