去中心化金融行业每天都在增长。 与此同时,有数百甚至数万人想要从这个“馅饼”中分得一杯羹。 不幸的是,有些人使用不太诚实的方法来实现这一目标。 今天我们将讨论破坏各种 DeFi 协议的黑客以及他们是如何成功的。
三年前,DeFi 部门拥有“微不足道”的 8 亿美元现金。 2021 年 2 月,这一数字超过 400 亿美元,4 月则翻了一番,达到 800 亿美元。 DeFi目前现金流超过1400亿美元,不会停止
随着各项指标的增长,行业亏损也有所增加。 所以,今年前四个月,亏损额超过2.4亿美元。 鉴于最近对 Poly Network 的 6 亿美元黑客攻击,这个数字可能会更糟。
这个金融部门的匿名性对黑客极具吸引力,因为在这里窃取数千万美元并留在阴影中要容易得多。 在分析了许多黑客攻击后,我们能够识别协议中流行的“漏洞”,导致盗窃,价值数千万美元。
受害者及业务逻辑错误分析
任何攻击都始于收集有关潜在受害者的数据。 当然,首先,黑客必须具备程序员的技能,并且知道智能合约的工作原理。
攻击者的工具包通常允许他们从主网络下载他们的区块链副本,然后模拟攻击,在特定 DeFi项目的真实网络中展示其结果。
此外,黑客会仔细检查项目的业务模型及其使用的外部服务(例如,oracles),试图找出业务逻辑数学模型中的错误。 它们通常是 DeFi 最脆弱的点。
据统计,从 2020 年夏天到 2021 年夏天,由于预言机无法在不安全的环境中工作,攻击者进行了约 10 次价值超过 5000 万美元的黑客攻击。
代码中的错误
智能合约对于 IT 行业来说仍然是一个相当新鲜的概念。 尽管它们很简单,但智能合约中涉及的编程语言需要一种新的开发范式。 专家根本不具备所有必要的技能,会犯导致巨额损失的错误。
安全审计可以帮助他们。 然而,他并不总能设法解决所有可能的问题,因为执行它的人只对问题的财务方面感兴趣,并不总是对所执行工作的质量感兴趣。
一个例子是 2020 年 4 月 19 日的案例,当时黑客利用 ERC-777 令牌标准中的一个漏洞,将其与再入攻击相结合,并设法窃取了 2500 万美元。 同时,因编码错误造成的总损失超过 5 亿美元。
闪电贷和价格操纵
智能合约中的信息仅在交易时相关。 不幸的是,它没有受到第三方可能的操纵的保护,这扩大了一系列攻击和价格欺诈的可能性。
加密货币的快速贷款允许借款人收到大笔款项并将其用于自己的目的。 但有时闪存积分用于价格操纵攻击。
作为交易的一部分,攻击者出售大量借入的代币,从而降低其价格,然后在赎回之前以代币的最低价格执行一系列预先计划的恶作剧。
我们前面提到的对币安智能链平台的许多攻击,正是由于黑客的闪电信用和代币价值的急剧变化而进行的。
挖矿攻击
类似于使用基于工作量证明共识算法的区块链上的闪贷攻击。 这种攻击成本更高、更复杂,但它有助于绕过多个级别的闪存信用保护。
黑客租用挖矿能力并形成一个仅包含他需要的交易的区块。 在其中,攻击者可以借用加密货币,控制其价格并返还代币。 当执行这样的“机动”时,其他交易根本无法“楔入”攻击,就像闪存信用的情况一样。
黑客利用这种攻击方式,让 100 多个 DeFi项目处于亏损状态,总损失约 10 亿美元。
开发团队能力不足
很多为了“赚快钱”来到 DeFi 的开发者,即便是资质低下,对行业基本机制一无所知,也挡不住。 在匆忙和对利润的渴望,使意识黯然失色,他们能够毁掉任何事业。
智能合约是开源的。 它可以很容易地被黑客复制和修改。 举个例子,我们可以回忆一下 RFI SafeMoon项目,它在代码中包含一个严重的漏洞,类似于由于开发人员平庸的不负责任而导致用户资金损失超过 20 亿美元的数百个其他项目。
但即使是上述所有内容,也不会使 DeFi 变得不那么有希望。 相反,它谈到需要提高对投资者资金的保护程度,以吸引更多的参与者进入市场。
订阅我们的电报, 推特 和 Facebook 成为第一个知道加密货币新闻的人
Coin Shark 不对网站上发布的内容、准确性、质量、广告、产品或任何其他内容负责。 本文是基于开源材料和信息编写的,仅供参考。 加密货币是一种风险资产,投资它可能会导致损失。 用户应在采取任何行动之前自行研究。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。