去中心化金融部门正在以惊人的速度增长。 三年前,DeFi 锁定的总价值仅为 8 亿美元。 到 2021 年 2 月,这一数字已增至 400 亿美元; 2021 年 4 月,它达到了 800 亿美元的里程碑; 现在它已超过 1400 亿美元。 在一个新市场中如此快速的增长,不禁引起了各路黑客和欺诈者的注意。
根据加密货币研究公司的一份报告,自 2019 年以来,DeFi 部门因黑客攻击和其他漏洞攻击而损失了约 2.849 亿美元。 从黑客的角度来看,对区块链生态系统的黑客攻击是一种理想的丰富手段。 因为这样的系统是匿名的,所以他们可以赔钱,而且任何黑客攻击都可以在受害者不知情的情况下进行测试和调整。 2021 年前四个月,亏损额达 2.4 亿美元。 而这些只是众所周知的案例。 我们估计实际损失为数十亿美元。
相关:2020 年加密货币黑客、漏洞利用和抢劫综述
钱是如何从 DeFi 协议中窃取的? 我们分析了几十起黑客攻击,找出了导致黑客攻击的最常见问题。
滥用第三方协议和业务逻辑错误
任何攻击都首先从对受害者的分析开始。区块链技术为自动调整和模拟黑客场景提供了许多机会。 为了使攻击快速且不可见,攻击者必须具备必要的编程技能和智能合约工作原理的知识。 黑客的典型工具包允许他们从网络的主版本下载自己的完整区块链副本,然后完全调整攻击过程,就好像交易发生在真实网络中一样。
接下来,攻击者需要研究项目的商业模式和使用的外部服务。 业务逻辑和第三方服务的数学模型中的错误是黑客最常利用的两个问题。
智能合约的开发人员在交易时通常需要比他们在任何给定时刻可能拥有的更多的相关数据。 因此,他们被迫使用外部服务——例如,oracles。 这些服务并非旨在在去信任的环境中运行,因此它们的使用意味着额外的风险。 根据一个日历年(自 2020 年夏季以来)的统计数据,给定类型的风险占损失的百分比最小——只有 10 次黑客攻击,造成的损失总额约为 5000 万美元。
相关:更新区块链安全协议的根本需求
编码错误
智能合约是 IT 世界中一个相对较新的概念。 尽管它们很简单,但智能合约的编程语言需要完全不同的开发范式。 开发人员通常根本不具备必要的编码技能,并且会犯一些严重的错误,从而给用户带来巨大的损失。
安全审计仅消除了部分此类风险,因为市场上的大多数审计公司对其执行的工作质量不承担任何责任,只对财务方面感兴趣。 100 多个项目因编码错误而遭到黑客攻击,导致总损失约 5 亿美元。 一个明显的例子是 2020 年 4 月 19 日发生的 dForce 黑客攻击。黑客利用 ERC-777 令牌标准中的一个漏洞结合可重入攻击,逃脱了 2500 万美元。
相关:DeFi项目的默认审计是行业发展的必要条件
闪电贷、价格操纵和矿工攻击
提供给智能合约的信息仅在执行交易时相关。 默认情况下,合约不能免于对其中包含的信息进行潜在的外部操纵。 这使得一系列攻击成为可能。
闪贷是没有质押品的贷款,但有义务在同一笔交易中归还借入的加密货币。 如果借款人未能归还资金,交易将被取消(恢复)。 此类贷款允许借款人接收大量加密货币并将其用于自己的目的。 通常,闪贷攻击涉及价格操纵。 攻击者可以先在一次交易中出售大量借入的代币,从而降低其价格,然后在回购之前以非常低的代币价值执行一系列操作。
矿工攻击类似于对基于工作量证明共识算法的区块链进行的闪电贷攻击。 这种类型的攻击更加复杂和昂贵,但它可以绕过闪贷的一些保护层。 它是这样工作的:攻击者租用挖矿能力并形成一个只包含他们需要的交易的区块。 在给定的区块内,他们可以先借入代币,操纵价格,然后归还借来的代币。 由于攻击者独立地形成进入区块的交易以及它们的顺序,因此攻击实际上是Atom的(没有其他交易可以“楔入”攻击),就像闪电贷的情况一样。 这种类型的攻击已被用于入侵 100 多个项目,损失总计约 10 亿美元。
随着时间的推移,黑客的平均数量一直在增加。 2020年初,一起盗窃案损失数十万美元。 到年底,金额已增至数千万美元。
相关:智能合约漏洞利用比黑客攻击更合乎道德……或者不是?
开发者无能
最危险的风险类型涉及人为错误因素。 人们求助于 DeFi 来寻找快钱。 许多开发人员资质不佳,但仍试图匆忙启动项目。 智能合约是开源的,因此很容易被黑客以小方式复制和更改。 如果原始项目包含前三种类型的漏洞,那么它们就会溢出到数百个克隆项目中。 RFI SafeMoon 就是一个很好的例子,因为它包含一个严重漏洞,该漏洞已叠加在一百多个项目中,导致潜在损失超过 20 亿美元。
本文由 Vladislav Komissarov 和 Dmitry Mishunin 共同撰写。
此处表达的观点、想法和意见仅是作者的观点,不一定反映或代表 Cointelegraph 的观点和意见。
Vladislav Komissarov 是 BondAppetit 的首席技术官,这是一个借贷 DeFi 协议,其稳定币由具有固定定期收入的现实世界资产支持。 他在 Web 开发方面拥有超过 17 年的经验。
Dmitry Mishunin 是 HashEx 的创始人兼首席技术官。 超过 30 个全球项目正在 HashEx 设计的区块链集成上运行。 2017-2021 年审计了 200 多个智能合约。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
