就在幾天前,Velocore 交易所因其區塊鏈的安全漏洞而損失了約1,000 萬美元,凸顯了威脅加密貨幣產業的安全危機的嚴重性。
當然,這不是我們聽說的第一起有關中心化和去中心化交易所的安全事件。許多駭客和非駭客手段已經讓加密貨幣產業損失了數十億美元,尤其是去年那場14 億美元的災難。
這些安全漏洞已經發生,並將持續,除非加密貨幣交易所投入更多的資源來彌補盲點並實施預防措施。
目前,大多數針對加密貨幣交易所的攻擊都是透過以下方式進行的,有些攻擊針對的是中心化交易所,有些攻擊針對的是DEX:
智能合約區塊鏈漏洞價格操縱編碼錯誤和有缺陷的智能合約
儘管智能合約具有創新性,但它並非萬無一失。最著名的案例之一是重入攻擊場景,攻擊者可以在第一次呼叫完成之前多次呼叫某個函數。
同樣的情況也出現在許多場景中的中心化交易所上,顯示其安全性還有提升的空間。
整體而言,大多數問題都來自以下兩個面向:
編碼孔
當談到安全漏洞時,人們通常認為這比編碼故障更光彩。編碼雖然非常基礎,但仍然是任何加密貨幣項目的基礎。程式碼中的小錯誤可能會對利潤產生重大影響。一個很好的例子是2016 年DAO 攻擊,駭客損失了5000 萬美元,而這僅僅是因為程式碼中的一個安全漏洞。
缺乏適當的審計
許多項目上線時都沒有經過外部方的全面審核,這使得它們更容易受到攻擊。 2022 年對Ronin Network 的攻擊幾乎摧毀了Axie Infinity,竊取了173,600 個以太坊和2,550 萬USDC——近7 億美元。
區塊鏈漏洞
交易所和協議如何協同工作各有利弊。它們添加的功能越多,它們所展現的連結就越複雜。一個協議的單一漏洞可能會導致其他協議出現問題,有點像爛蘋果的情況。
互通性危機和受損集成
由於協議之間的相互關聯性,協議的缺陷可能會對其他協議產生骨牌效應。 2021 年的Cream Finance 漏洞只是另一個被投機取巧者攻陷的DeFi專案。犯罪分子利用Cream Finance 網路的安全漏洞,從其他網路竊取了價值超過1.3 億美元的資產。
同樣的情況也適用於CEX 及其在與第三方流動性服務或不安全的錢包和支付網關合作時缺乏盡職調查的情況。當然,在許多情況下,中心化監控可以緩解損害。
閃電貸
有了閃電貸,借款人無需提供質押品,只要一次性還清貸款即可。一些不良行為者利用閃電貸方來提高交易所價格,並從易受操縱的較弱協議中竊取資金。
雖然損害通常僅限於DEX,但它可能導致CEX 出現類似的市場操縱,從而帶來監管審查並對其聲譽造成重大打擊。
價格操縱
不公平競爭是任何金融市場最基本的伎倆。中心化和去中心化交易所也不例外。它們在許多方面都存在問題,包括:
領先者
眼光敏銳的駭客可能會利用機器人「搶先交易」——透過發現礦池子裡有利可圖的代幣來以更高的費用執行交易。 Merlin DEX 就是一個很好的例子。為了控制LP 代幣,駭客闖入交易所並利用智能合約中的漏洞。透過將假代幣注入礦池子,他們從交易所中抽走了真正的代幣,讓交易所蒙受了巨額損失。
欺騙和分層
欺騙者透過製造虛假的供需表象來操縱市場價格。他們透過下達無意執行的大額訂單,然後在訂單完成前取消訂單來做到這一點。一種類似的策略被稱為分層下單,交易者以不同的價格水平下達多個訂單,以給人一種市場深度明顯的假象。
有什麼解決方案?
雖然加密貨幣交易所一直在努力提高用戶安全性,但有時很難跟上駭客的步伐。 但是,他們可以透過以下幾種措施來加強其框架:
定期審計和漏洞賞金獎勵
為了在智能合約等DeFi 應用被用於不良用途之前發現其中的安全漏洞,徹底的程式碼審計至關重要。即使是最有經驗的程式設計師也可能會錯過一些安全漏洞和缺陷;值得信賴的第三方安全公司進行徹底的審計可以提供幫助。
漏洞賞金計畫還鼓勵安全專家和白帽駭客披露漏洞,這對DeFi 產業至關重要。除了加強發布後的安全性外,這些措施還為定期更新和改進安全標準奠定了基礎。
訂單與交易比率
交易者需要維持訂單與實際交易的公平比率,而CEX 則負責監控和執行此比率。之後,他們需要對超過設定的訂單與交易比率的人進行懲罰。這將阻止人們在沒有計劃執行的情況下下達過多訂單。
第2 層措施
透過使用第2 層技術,可以降低gas 價格和流量。但是,DEX 需要注意,這些解決方案不會使鏈上活動變得不安全或為新的漏洞打開大門。
DeFi 保險
在DeFi 中擁有保險至關重要,因為它可以保護用戶免於因駭客、漏洞或其他操作問題而造成資金損失。
用戶可以放心將DeFi 平台視為傳統銀行系統的有吸引力的替代品,因為它們提供針對各種威脅的保護。
透明度與報告
如果交易者能夠獲得全面的市場數據和見解,他們就能更好地辨別公平和不公平的行為。讓交易者能夠匿名揭露市場操縱或可疑活動。
這些行動背後的犯罪分子在技術創新方面總是領先交易所一步。為了保護客戶免受不良行為者的侵害,這些平台必須不斷開發和實施新的安全措施。
資訊來源:由0x資訊編譯自出MPOST。版權歸作者Viktoriia Palchik所有,未經許可,不得轉載