区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > BNB > 正文

区块链十大攻击方式系列二:DeFi 黑客攻击 真是防不胜防

作者:

时间:

欢迎来到成都链安策划的『区块链10大攻击方式』系列文章。上周分享了区块链十大攻击方式系列(1)——51%攻击,大家看的还过瘾吗?

闲话少说,今天,我们开启系列文章第二篇——DeFi 黑客攻击,继续为大家讲解区块链安全生态领域的那些攻击套路、漏洞。

区块链技术的诞生,为传统金融、数据隐私、供应链、跨境汇款等应用领域带来革命性的突破。其中「去中心化金融(DeFi)」便是这两年最为火热的应用之一。

DeFi 是去中心化金融Decentralized Finance的缩写,它指的是基于区块链的金融服务体系。

和现在的金融体系不同,用户的资金不会存放在第三方的金融机构中,而是通过各种智能合约去实现协议和信任,如此可以最大程度地减少风险。它是一个完整的开源生态系统,提供贷款、交易、资产管理和支付等金融服务。

DeFi攻击事件频发,最主要的原因还是其累计了巨额的资产。面对巨大的诱惑,黑客必然会想方设法去攻击。比如跨链项目不仅仅是链上智能合约,还有链下的代码,无论哪一部分出现了问题,都会被黑客所利用。

2022 年第一季度,区块链领域共发生典型安全事件超过30起。总损失金额超12亿美元,与去年同期相比增长了823%。

数据显示,DeFi项目仍为黑客攻击的重点领域,其中主要涉及到的安全问题包括:闪电贷攻击、私钥泄露、智能合约重入攻击、Rugpull等等。

闪电贷攻击

闪电贷就是在一笔链上交易中完成借款和还款,无需抵押。由于一笔链上交易可以包含多种操作,使得攻击者可以在借款和还款间加入其它链上操作,以极低的成本撬动巨额资金,结合其他漏洞进行套利、价格操纵等攻击。

比如2022年4月17日,算法稳定币项目Beanstalk Farms遭黑客攻击,黑客获利近8000万美元,黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备,再利用恶意提案,导致本次攻击的发生。

详细分析可点击此处阅读:黑客获利近8000万美元,恶意提案如何防范?Beanstalk Farms被攻击事件分析

私钥泄露:

项目方由于遭受社会工程学或传统网络安全攻击,导致私钥泄露,从而项目方地址权限被盗取,从而攻击者可进行转账、提取等任意操作。

比如在2022年2月10日,DeFi应用Dego Finance遭到黑客攻击,成都链安安术团队进行分析时发现本次攻击由于项目方私钥泄露,黑客利用私钥提取了多个链上的资产。

详细分析可点击此处阅读:被盗约1700万美元,DeFi 世界的乐高Dego Finance就这样“塌了”吗?

智能合约重入攻击:

在存在外部合约调用的项目中,如果外部合约调用发生在账本更新之前,且外部合约调用可以被用户控制,那么该项目可能存在重入风险。在项目未做重入防范的情况下,恶意的攻击者可以通过重入攻击威胁项目资金安全。

比如在2022年3月31日,Ola Finance遭遇智能合约重入攻击,损失约为467万美元。

详细分析可点击此处阅读:约467万美元的损失!Ola Finance被攻击事件简析

Rug pull:

“Rug Pull”是指项目方撤出支持、DEX流动性池或突然放弃一个项目,毫无征兆地就卷走投资者的资金。这是一个DeFi领域典型的退出局。

从黑客的角度来看,对区块链生态系统的攻击是一种理想的手段。因为这些系统是匿名的,而且行业暂时缺乏技术监管,这使得网络犯罪分子可以通过攻击安全性较低的 DeFi 项目或实施Rug Pull来获取金钱收益。

经成都链安安全团队梳理和总结,2022年第一季度的安全事件中,尽管70%的被攻击项目经过了第三方安全公司的审计,但是30%未审计的项目,其被攻击之后的损失金额也达到了7.2亿美元,占第一季度总损失金额的60%。

可见?DeFi?项目上线之前的审计依旧重要。在我们研究之后,发现在未审计的项目中,50%的攻击手法都为合约漏洞利用。因此,尽早审计和及时修复代码漏洞,可以避免上线后项目被攻击造成的严重损失。

DeFi 为许多机会打开了大门,特别是对于那些热衷于推动加密市场向前发展同时保持资金流动的去中心化模块的投资者和开发商。由于DeFi热潮的兴起,该领域也自然成为了黑客“大展拳脚”的重点对象。

安全性仍然是 DeFi 生态系统面临的重大挑战,因此DeFi项目方应做好前置预防工作,引入一整套态势感知、威胁情报、安全响应等全生命周期的安全解决方案,完善安全防护机制。作为用户,在选择项目时,应留意该项目是否经过安全审计,切不可掉以轻心。

标签:DEFEFIDEFI区块链DefiCliqDeFi Yield ProtocolAxis DeFi区块链技术的特点

BNB热门资讯
Celer IM 跨链互操作的最优解?

随着多链格局的日渐稳固,用户对于跨链互操作性的需求已上了新的台阶,顺应着市场需求的变化,越来越多的项目开始超越单纯的资产跨链,向着更高维度的消息跨链领域探索,这其中就包括了本文的主角 Celer Network。

NFT画风全景图:从GoblinTown爆火说起

写在前面:独一无二的画风,是项目方创意性与有机性结合的一种宣传方式。PFP NFT 的展现形式,不仅能为持有者带来一种社群群体的归属感;又能通过艺术家作品的画风作为项目与玩家之间传递的枢纽,映射到每位持有者各不相同的身份个性,以及最重要的,态度,正如「GoblinMode」。

随着华尔街热情冷却 Coinbase为其招聘计划「踩下刹车」

Coinbase 冻结招聘并取消录用通知的举措在加密货币行业引发了冲击波。 此时也正值华尔街分析师对该公司信心普遍下降之际。 “我今天刚收到一封邮件,说我的 offer(录用通知)被取消了……因为 Coinbase 的招聘计划发生了重大变化。

下一场货币战争:民粹主义者与银行家的对垒

全球货币体系正面临历史性的挑战。 多年来全球主要国家的央行采取激进的货币政策,导致严重通胀的威胁;加之民众对政府机构普遍的不信任,全球性经济危机爆发在即。

徐悲鸿NFT数藏之争 法律如何看?

近日,画坛巨匠徐悲鸿先生的八幅奔马题材的画作,被国内某大型NFT平台制作为NFT数字藏品公开限量发售,可谓“一石激起千层浪”。有人口诛笔伐,痛斥其消费者,损害徐悲鸿先生的名誉身份;有人据理力争,认为徐悲鸿先生的画作以NFT的形式得以纪念永存,且取得了独家授权,何来侵权? 针尖对麦芒,互不相让。

Terra复兴计划正式通过 最关心的十件事都在这了

北京时间 5 月 24 日晚,由 Terra 创始人 Do Kwon 提出“重建Terra生态计划2”提案(Prop 1623)经过社区投票正式通过(通过率超过早先设置的? 50% 门槛)。 当前投票数据显示,共有 81%?LUNA 持有者对 Prop 1623 进行了投票,其中 66.51%(2 亿)支持,21.3% 弃权,0.33% 反对。