区块见闻 区块见闻
Ctrl+D收藏区块见闻

DeFi协议是如何被黑客攻击的?

作者:

时间:

对几十次黑客攻击的分析确定了去中心化金融领域的主要载体和典型漏洞。

去中心化金融领域正在以惊人的速度增长。三年前,DeFi锁定的总价值仅为8亿美元。到2021年2月,这一数字已增至400亿美元;2021年4月,它达到了800亿美元的里程碑;现在,它的价值已经超过1400亿美元。一个新市场的如此快速增长,肯定会吸引各种黑客和欺诈者的注意。

根据加密货币研究公司的一份报告,自2019年以来,DeFi领域因黑客和其他漏洞攻击而损失了约2.849亿美元。从黑客的角度来看,对区块链生态系统的黑客攻击是一种理想的致富手段。因为这种系统是匿名的,他们有钱可赚,而且任何黑客都可以在受害者不知情的情况下进行测试和调整。在2021年的前四个月,损失达到了2.4亿美元。而这些只是公开知道的案例。我们估计真正的损失达到了数十亿美元。

DeFi协议的钱是如何被盗的?我们分析了几十起黑客攻击事件,确定了导致黑客攻击的最常见问题。

任何攻击都主要从分析受害者开始。区块链技术为自动调整和模拟黑客攻击的场景提供了许多机会。为了使攻击快速而隐蔽,攻击者必须具备必要的编程技能和智能合约工作原理的知识。黑客的典型工具包允许他们从网络的主要版本中下载自己的区块链的完整副本,然后对攻击过程进行全面调整,就好像交易发生在真实的网络中一样。

Altshuler Shaham持有1.5亿美元灰度比特币信托(GBTC):根据《以色列环球报》的报道,以色列最大的资产管理公司之一Altshuler Shaham此前向Grayscale的Bitcoin Trust(GBTC)投资了1亿美元。

这项投资发生于2020年12月,当时比特币(BTC)价格徘徊在21,000美元左右。

该资产管理公司首席执行官兼联合创始人吉拉德·阿尔茨胡勒(Gilad Altshuler)表示,截至发稿时,该公司目前持有的比特币价值1.5亿美元。[2021/3/12 18:40:23]

接下来,攻击者需要研究项目的业务模式和使用的外部服务。业务逻辑的数学模型和第三方服务的错误是最常被黑客利用的两个问题。

智能合约的开发者在交易时需要的相关数据往往超过他们在任何特定时刻可能拥有的数据。因此,他们被迫使用外部服务——例如,预言机。这些服务并不是为在去信任的环境中运作而设计的,所以它们的使用意味着额外的风险。根据一个统计数据(自2020年夏天以来),既定类型的风险占损失的比例最小——只有10次黑客攻击,造成的损失总额约为5000万美元。

智能合约在IT领域是一个相对较新的概念。尽管它们很简单,但智能合约的编程语言需要一个完全不同的开发范式。开发人员往往根本不具备必要的编码技能,并犯下严重错误,导致用户的巨大损失。 

安全审计只能消除这类风险的一部分,因为市场上的大多数审计公司对他们的工作质量不承担任何责任,只对财务方面感兴趣。由于编码错误,超过100个项目而被黑客攻击,造成的总损失约为5亿美元。一个鲜明的例子是发生在2020年4月19日的dForce黑客事件。黑客利用ERC-777代币标准中的一个漏洞,结合重入攻击,偷走了2500万美元。

提供给智能合约的信息只在执行交易时相关。在默认情况下,合约不能幸免于对其中包含的信息进行潜在的外部操纵。这使得一系列的攻击成为可能。

闪电贷是一种没有抵押物的贷款,但需要在同一笔交易中归还所借的加密货币。如果借款人未能归还资金,交易将被取消。这种贷款允许借款人收到大量的加密货币并将其用于自己的目的。通常情况下,闪电贷攻击涉及价格操纵。攻击者可以先在交易中卖出大量借来的代币,从而降低其价格,然后在买回代币之前,以非常低的价值执行一系列行动。

矿工攻击类似于基于工作量证明共识算法的区块链上的闪电贷攻击。这种类型的攻击更加复杂和昂贵,但它可以绕过闪电贷的一些保护层。它的工作原理是这样的。攻击者租用挖矿能力,形成一个只包含他们需要的交易的区块。在给定的区块内,他们可以首先借用代币,操纵价格,然后归还借用的代币。由于攻击者独立形成了进入区块的交易,以及它们的顺序,攻击实际上是原子性的(不能将其他交易“嵌入”到攻击中),就像闪电贷的情况。这种类型的攻击已经被用来攻击100多个项目,损失总额约为10亿美元。

随着时间的推移,黑客的平均数量一直在增加。在2020年初,一次盗窃金额就高达数十万美元。到今年年底,这个数字已经上升到数千万美元。

最危险的风险类型涉及人为错误因素。人们为了寻求快速赚钱而求助于DeFi。许多开发人员资质很差,但仍试图在匆忙中推出项目。智能合约是开源的,因此很容易被黑客复制和改动。如果原始项目包含前三种类型的漏洞,那么它们就会蔓延到数百个克隆项目中。RFI SafeMoon是一个很好的例子,因为它包含一个关键的漏洞,被复制到一百个项目上,导致潜在损失超过20亿美元。

文:GUEST AUTHORS

标签:NFTSQUADQUAAMENFTP价格PepeSquadCFX QuantumGame Fanz

以太坊最新价格热门资讯
区块链里被忽视的朴素问题

台球游戏中有一个玩法叫「三颗星」,母球击球后必须碰撞台边(Cushion)三次后击中下一颗球。 在我看来区块链的用户行为也是有「三颗星」,当我们想好如何将三颗星连贯起来,这样才有机会击中用户想要的那颗球。 这三颗星星分别是 Key、Token、Transaction,它们代表区块链场景的核心对象,将这三个星星连接起来,这就勾勒出一幅用户生命周期图景。

科普:NFT 必知必会

在本文中,我们将讨论 NFT 是什么,数字艺术品分为哪些种类,数字艺术品存储在哪里以及选购 NFT 需要注意哪些事项。 简而言之,NFT 艺术品就是创建独一无二的代币来绑定艺术品,要么将艺术品链接至某个代币,要么将艺术品连同其 NFT 存储在区块链上。 NFT 艺术品主要分为两类:可繁殖艺术品和不可繁殖艺术品。不可繁殖艺术品由人类创作。

NFT的性别战场:三个俄罗斯男人操盘的女权NFT项目 被社区推翻并接管

就在上个月,Fame Lady Squad(名媛小队)——这个由女性设计的8888枚用以支持女性的NFT项目(号称有史以来第一个女性头像项目),在问世之后就被NFT社区欣然接受。 NFT市场就像许多以技术为中心的领域一样,都是由男性来主导,所以当出现女性主导的项目时,就非常受欢迎。

NFT为何会是Web3.0版图扩张的催化剂?

NFT全称为Non-fungible Token,中文名叫非同质化通证,与我们我们常见的Token(如BTC,ETH等)不同,NFT的重要特征是独特有唯一标识,两两不可互换,最小单位是1且不可分割。 2021年,NFT已经成为很多互联网新闻媒体报道的网络热点。

爱尔兰中央银行行长对加密货币的思考

金融格局正在发生变化,中央银行也在适应这种变化。爱尔兰中央银行行长Gabriel Makhlouf先生在博客中谈了他对加密货币的思考和认识,他认为在数字欧元方面的工作、欧盟监管框架的持续发展以及更广泛的国际发展将有助于更好地了解引入央行数字货币的好处和风险。他也认为,作为公共政策制定者,有责任对加密货币提供明确的规则,确保创新服务于公共利益。

中币(ZB)研究院:加密货币税收趋严 机构收益大幅提升

8月11日消息,美国参议院以69票对30票通过了其两党基础设施法案,其中包含原始版本的加密税收条款。据中币(ZB)研究院获悉,该条款扩展了“经纪人”的定义,导致人们担心美国国税局可能会寻求对矿工等非经纪人实体施加经纪人报告要求。美国参议院会在秋季对加密税收条款进行审议。