去中心化金融 (DeFi) 的总价值锁定 (TVL) 超过 1000 亿美元,突显了人们对这些新金融工具的信心。 这项投资将继续增加,但似乎随着 TVL 的每一个新记录,都会报告另一次造成天文数字损失的网络攻击。
加密货币犯罪在 2020 年下跌了 57%,但 DeFi 黑客数量大幅上涨,使公司和投资者损失数十亿美元。 仅在 3 月份,短短五天内就发生了几次攻击,付费网络损失了 1.8 亿美元。 5 月下旬,PancakeBunny 在一次闪电贷攻击中损失了超过 2 亿美元。
很明显,当前的区块链安全协议存在太多漏洞和黑客攻击。 从网络钓鱼到网络钓鱼诈骗,该领域的安全性和技术并不像数字所显示的那样成熟。 但是,开发人员和用户都可以实施一些关键实践来缩小这一差距。
去中心化的技术仍然是中心化的
无论协议声称多么去中心化,其底层结构仍然是中心化的。 看看我们互联网的核心功能之一,DNS 记录,每个域名仍然是中心化的——由政府、州或公司拥有,对域拥有最终权限,如果他们愿意,可以关闭它。
去中心化中中心化的一个例子是智能合约。 那些编写以太坊或币安智能合约的人对代码中的内容拥有最终决定权,并且有办法将恶意程序(如地毯拉)编码到智能合约中。
在 2020 年夏季的高产农业热潮期间,我们看到许多协议涌现,以从涌入 DeFi 的资金中获利,这种情况一直持续到今年。 3 月,TurtleDex 执行了一次地毯式拉动,这实际上是智能合约中的一个后门,导致投资者窃取了 250 万美元。 这个有意的功能允许开发人员编写诈骗程序,然后根据代码中的其他事件执行,而 TurtleDex 是今年编写地毯拉动程序的众多项目之一。
相关:产量农业是一种时尚,但 DeFi 有望改变我们与金钱互动的方式
智能合约审计是防止 rug pulls 的一种好方法,但即便如此,我们仍会看到开发人员会将经过审计的智能合约切换为未经审计的智能合约的情况。 Compounder 的案例展示了一个骗局项目从该领域已知的、有信誉的名称中获得影响力是多么容易。 他们能够迅速利用 Harvest Finance 和 Yearn.finance,然后再向他们的用户拉拢地毯并带走数百万美元的加密货币。
相关:DeFi项目的默认审计是行业发展的必要条件
黑客的最新趋势
除了地毯式攻击之外,还有许多流行的攻击如果没有做好准备,可能会导致整个公司崩盘。 51% 攻击——即一组矿工控制了网络 50% 以上的挖矿哈希率,允许他们排除或操纵交易记录以执行双花或破坏区块链——仍然很常见。 Firo 和 Grin 最近都遭受了 51% 的攻击。
即使是一些市值领先的加密货币项目仍然不安全。 2 月,据报道,Verge 网络上 200 天的 XVG 交易被删除,实际上是“前 100 名加密货币中发生的最深层次的重组”。
我们接受这些错误作为区块链体验的一部分,但如果同样的事情发生在一家大银行,会是什么反应? 可能会有更多的媒体头条和来自用户和客户的骚动。 这些事件在加密货币中基本上没有引起注意,因为用户较少,但随着最近的牛市,这种情况正在发生变化。 不可避免地,公共区块链的安全性将受到更多审查。
防止像拉地毯这样的黑客行为的做法
不幸的是,对于开发人员来说,在加密货币中工作时总是有可能被黑客攻击。 问题不是如何防止黑客入侵,而是如何防止被黑客入侵的机会。 硬件钱包的一些进步——例如 Gnosis Safe 的多重签名钱包——是提高整体安全性的关键因素。
使用多重签名钱包允许多个用户持有同一个钱包的密钥,并且需要相互参与才能对帐户执行操作。 因为像这样的钱包需要多个用户的输入才能进行交易,所以几乎不可能用这种类型的保险库执行地毯拉取。
另一种防止地毯拉扯的安全措施是时间锁。 许多去中心化应用程序使用时间锁,因此如果开发人员试图拉动其用户,你会收到大约 12 到 24 小时的警告以移除资金。
这些类型的安全实践将鼓励对 DeFi 的更广泛信任,并围绕安全创造一种将推动我们行业发展的文化。
提高数字货币包的安全性
钱包安全最终归结为开发人员和用户实施更智能的做法。 定期的安全审计和内部安全实践都有助于提高钱包的安全性。
虽然安全审计是一个很好的解决方案,但 Uniswap 和其他基于自动做市商的去中心化交易所 (DEX) 是未经许可的,因此无法进行定期审计。 最佳实践是了解“公平启动”币的具体细节——从 DEX 启动的项目。 尽管这些项目中有许多是高质量的,但众所周知,许多项目都有重大漏洞。 开源代码让任何人都可以更轻松地自行审计并验证智能合约是否安全,为用户提供更多工具来实践良好的安全性。
要求用户实践良好的安全性似乎是一项了不起的壮举,但为了获得加密货币的许多好处,尤其是 DeFi,这是必需的。 对于传统银行,银行负责安全性,但在加密货币中,安全性归结为开发人员和用户的实践。
如果你忘记了银行加密货币或将资金汇给了错误的人,你可以联系你的银行以减少交易,直到问题得到解决。 但是在加密货币中,如果你丢失了密钥或将钱汇到了错误的地址,则没有备份选项。 当然,许多好处之一是你不必担心你的资金是否可用加密货币,而银行可以关门大吉并实施资本管制,就像 2015 年希腊银行业危机中发生的那样。
结论
作为开发人员,我们需要实施交叉验证和安全审计,同时让彼此对开发日益改进的安全实践负责。
用户应考虑执行自己的安全协议,并了解存储和潜在黑客场景中的细微差别。 对于被动加密货币持有者来说,一个好的做法是让硬件钱包与互联网断开连接,或者 100% 离线并且不需要在线同步任何固件更新的纸钱包。
网络钓鱼攻击是互联网黑客的原始类型之一,仍然很常见和频繁。 打击网络钓鱼企图的方法是验证发件人是否真实。
不要在任何网站上输入你的私钥或种子短语,也不要通过公共渠道或 DM 将它们发送给任何人。 通常,你应该只在最初设置钱包时输入你的种子短语。 此外,只有在忘记加密货币后需要恢复钱包、需要将现有钱包导入新设备或使用兼容的钱包软件时,才应输入种子短语。 通常建议使用永远不会将你的种子泄露给任何类型软件的硬件钱包设备——在许多情况下甚至不推荐可信钱包应用程序或软件。
随着我们继续建设新的全球(主要是)DeFi 经济,提高安全性至关重要,这样主流采用和资本才能继续流入该领域,从而下一代可以进入金融独立的新领域。
本文不包含投资建议或建议。 每一个投资和交易动作都涉及风险,读者在做出决定时应自行研究。
此处表达的观点、想法和意见仅代表作者本人,并不一定反映或代表 Cointelegraph 的观点和意见。
Kadan Stadelmann 是区块链开发人员、运营安全专家和 Komodo Platform 的首席技术官。 他的经验范围从在政府部门的运营安全工作和启动技术初创公司到应用程序开发和加密货币学。 Kadan 于 2011 年开始他的区块链技术之旅,并于 2016 年加入 Komodo 团队。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。