自“DeFi夏天”以来,到目前为止几乎一整年的时间,DeFi的整体锁仓量、日交易量逐步飙升,除去稳健的以太坊生态之外,更多新兴公链开始展露头角,BSC、Heco、Polygon、Fantom等等公链生态建设逐步向好。生态的繁荣不仅仅是给开发者带来了更多发展可能,也让更多“科学家”嗅到了金钱的味道。
今年上半年,DeFi领域所爆发的安全问题日渐增多,风险不容忽视。鸵鸟区块链根据已公布的安全事件统计,截止目前为止,仅仅今年上半年有多达52起DeFi领域安全攻击事件,已公布明确损失金额的攻击总损失超过8亿美元,如果加上部分并未公布具体损失金额的攻击事件,预计损失总金额在10亿美元左右。2020年整年DeFi安全攻击事件60起,损失2.5亿美元,2021年仅仅半年,攻击事件总数已逼近去年整年,而损失金额已是去年3倍多。
今年3月之后,DeFi领域一改以太坊一家独大的局面,BSC、Polygon相继在三、四月开始爆发,尤其BSC生态可谓如日中天,各项指标步步逼近以太坊。然而自从5月中旬开始,BSC生态上项目开始遭到频频攻击,大部分甚至都是相同攻击手法,据统计,就整个5月而言,BSC链上攻击损失金额超2.6亿美元,该数字占据整个上半年DeFi总损失额近30%的比例。
5月无疑是BSC生态最灰暗的一个月,6月总损失金额虽然有所减少,但是依旧有14起DeFi领域安全攻击事件,其中BSC生态占据8起。目前来看,BSC生态依然是攻击重灾地,之所以出现这么多攻击事件首先自然是生态的壮大,其次则是由于BSC生态的大多项目属于仿盘而又在了解甚少基础之上创新,所以才出现多起同一类型的攻击事件。
报告:美国人对加密资产信任度最高,加拿大最低:9月4日消息,Crypto Pulse二季度报告显示,尽管市场进入熊市,但大多数美国人仍然非常看好加密资产。
美国人对加密资产的信任度,从第一季度的61%上升到第二季度的73%,上升幅度最大;紧随其后的是巴西(77%)、墨西哥(70%)以及智利(69%);另一方面,来自欧洲和英国等大西洋地区的散户投资者的信任评分,从上一度的54%降至52%;加拿大是唯一一个对加密货币信任度将至50%以下的国家,主要担忧是缺乏加密货币教育。
另外,仅在美国,约61%的散户投资者在第二季度投资了加密货币,比第一季度增长了42%;从机构角度来看,近70%的美国机构表示,他们已经向各自的客户推荐使用加密货币。
据了解, Crypto Pulse研究涵盖了来自23个国家的逾2.8万名散户和机构交易员。[2022/9/4 13:08:02]
此外大爆之势的Polygon近期也爆出黑客攻击事件,SafeDollar遭攻击之后,代币瞬间被砸归零。这是Polygon上第一起广为人知的攻击事件,是否就此打开Polygon黑客魔盒,就像BSC一样陷入攻击漩涡呢?以下是鸵鸟区块链对2021年上半年DeFi领域攻击事件的总结分析,分别从以太坊、BSC、Polygon三大DeFi生态入手,分析当前DeFi安全态势。
加密货币欺诈事件吸引美国监管机构加强对比特币的监管:加密货币领域不断扩大,已经对美股造成一定影响,然而加密货币在传统证券和金融服务领域缺乏对投资者和消费者的保护,美国监管机构发表将加强对加密货币领域监管的信号。目前的问题是:与证券和衍生品市场不同,目前没有单一的监管机构对加密货币交易所或经纪商进行监管。只有当监管机构认为美国法律适用于特定的加密货币或交易时,才会根据资产的出售或交易方式进行干预。[2021/7/7 0:32:07]
以太坊:生态安全围城已筑,攻击明显减少
2020年,DeFi安全重灾区还是以太坊链上,重大漏洞问题每月几乎都会出现,2月的bZx闪电贷事件、3月的MakerDAO预言机崩溃事件、4月的Lendf.me和Uniswap重入攻击事件、9月的EOS生态漏洞事件、11月Value DeFi、Akropolis和Origin Protocol闪电贷攻击事件、12月的Harvest Finance闪电贷攻击事件、Cover Protocol事件、Nexus Mutual事件等等,其中特别是在11月、12月,以太坊DeFi生态被黑客连番轰炸,多个项目中,闪电贷攻击尤盛。
究其原因,笔者认为毕竟2020年DeFi才开始蓬勃发展,而且项目建设主要集中于以太坊生态,整个2020年,DeFi一路试炼,从野蛮生长到逐渐成型,在没有规则中寻找标准,逐步才为DeFi领域逐步建立起可靠可行的一套规范,为安全加码为生态护航。在6-12月之间,以太坊DeFi生态几乎一直是黑客的重点关注对象。
英国金融时报:美国SEC在2021年放行比特币ETF可能性不大:美国证券交易委员会(SEC)最近发表声明,提醒投资者留意共同基金中比特币期货的风险,分析师说此举给监管机构放行加密货币ETF增加了难度。SEC投资管理处敦促投资者在投资此类具有高度投机性投资敞口的基金前,首先要全面了解比特币及其期货市场。声明中指出,SEC计划密切监视投资比特币期货的共同基金是否符合投资公司法和其他联邦证券法。该监管机构似乎特别担心ETF缺乏容量限制的问题。声明中写道:从共同基金投资比特币期货市场的经验来看,比特币期货市场能否适应ETF还是个问题,ETF不同于共同基金,即便ETF变得太大,成为市场主导者,或市场流动性减弱,ETF也无法阻止更多资金涌入。CFRA Research ETF和共同基金研究部门的负责人Todd Rosenbluth认为这一说法对于比特币ETF而言可能不是个好兆头。ETF无法将新投资者挡在门外,因此会在很短时间内变得很大,从监管机构对这个问题的额外担忧来看,SEC在2021年放行专门的比特币ETF的可能性不大。目前已有至少八家ETF发行方向SEC提出了加密货币ETF的申请。(金融时报)[2021/5/19 22:19:49]
今年3月以来,除以太坊之外的新兴DeFi生态崛起之后,以太坊生态的攻击事件明显减少。首先在近一年的试炼中,以太坊生态上的项目逐渐成熟,并且在经历多起安全事件之后,项目方的安全意识更加强烈,项目的安全保护系数提升,这意味黑客攻击的成本与门槛提升了;此外,随着新兴生态的兴起,再加之以太坊的攻击门槛提升,黑客目标转向攻击更为轻易的BSC等生态。
美国地方法院驳回指控加密交易所Bibox出售未注册证券的诉讼:美国地方法院驳回了一起指控加密货币交易所Bibox出售6种未注册证券的诉讼,法官Denise Cote裁定原告未能在交易代币的12个月内提起诉讼。原告Alexander Clifford于2020年6月3日提起集体诉讼,试图收回他以前对Bibox的BIX代币进行的投资,以及EOS、TRX、LEND和ELF的投资。代表其他投资者。该诉讼称,Bibox在2017年10月期间有选择地向投资者隐瞒代币包含未注册证券的信息,同时便利资产的交易。该诉讼强调了Bibox明显未能向监管机构注册其BIX代币。然而,该案件在4月16日被相对轻松地驳回,法官指出,Alexander Clifford的最后一笔BIX交易是在2018年12月左右进行的,超过了证券索赔的12个月期限。(Cointelegraph)[2021/4/20 20:39:16]
内部安全意识与项目防护实力增强,外部更多新兴生态吸引目光,两者相结合之下,以太坊生态的安全攻击明显减少。但是不可否认的是,每月仍然有来自以太坊链上的攻击事件,虽然围城已筑,但是对于安全问题仍然要保持时刻警惕,切忌掉以轻心。
BSC:土狗肆虐黑客最爱,攻击态势不减
5月可以成为BSC的分水岭,历经20天,在5月9日BSC达到最高锁仓量344亿美元之后,整体锁仓量大幅快速下降,5月底徘徊在150亿美元。除了过山车式的锁仓量变化,5月可以称之为BSC生态上项目经历的最灰暗一个月,单BSC生态5月攻击事件共计11起,损失2.64亿美元。
动态 | 美国华盛顿州签署了一项将区块链技术纳入法律的法案:据cryptoslate消息,4月26日,华盛顿州州长Jay Inslee签署了SB 5638法案,该法案“承认分布式分类账技术的有效性”,鼓励区块链的发展,承认其在商业和数字签名中的应用,并修改立法,为该技术提供定义。“华盛顿电子认证法”(Washington Electronic Authentication Act)的初衷是鼓励在州商务活动中使用“可靠的电子信息”,并确保“电子签名不会被拒绝并获得法律承认”。该法案鼓励企业利用技术来简化商业流程,而不是用过时的商业要求(比如使用纸质签名)来拖累企业发展。[2019/4/29]
在5月之前,BSC生态也偶有暴雷,不过4月之前整体DeFi安全系数较高,攻击事件并不多,BSC生态的攻击损失事件影响也并不大。而5月之后的两个月,似乎BSC生态“潘多拉魔盒”已被打开,生态被黑客连续轰炸了两个月,6月再次8个项目,其中Merlin Labs是仅仅时隔一个月再次遭到了黑客攻击。
5月频频遭到黑客光顾的BSC生态,当时官方曾对外表态,是一个有组织的黑客团队盯上了BSC。或许攻击是有组织的,但是苍蝇不叮无缝蛋,对比多起BSC生态的攻击事件可以发现,很多BSC链上被攻击的项目都存在同源漏洞。
比较典型的攻击事件包括:BSC上最大借贷平台Venus抵押XVS恶意借贷遭清算(1亿美元,损失金额最高)、BSC上最大机池Pancakebunny闪电贷攻击(4500万美元)、BSC上最早DEX平台BurgerSwap一周内遭两次闪电贷攻击(700万美元)、机池Value DeFi 3天内被攻击两次(2100万美元)、最强打脸聚合器Merlin Labs 30天内被攻击两次(680万美元)。
Pancakebunny5月20日遭到闪电贷攻击之后,由于BSC上很多项目是Fork的Pancakebunny,隐患已经埋下,但是没有太多项目方重视,不到一周AutoShark和Merlin Labs均遭受黑客攻击,而在此之前AutoShark和Merlin Labs均纷纷强调项目已做过多次安全审计,保证不会出现问题,然而打脸来得就是这么快。
Venus是目前为止BSC上暴雷项目中损失金额最高的,达到1亿美元,作为BSC上最大的借贷项目,Venus拥有得天独厚的优势,但是团队似乎在刻意在疯狂的边缘来回试探,最终造成1亿美元坏账的局面,据悉是大户抵押XVS借出大量BTC和ETH,随后XVS迅速崩盘,抵押的XVS遭清算。而Venus在此之后也一蹶不振,对于BSC生态的发展也是重拳一击。
区块链安全团队Sharkteam对鸵鸟区块链表示,BSC生态连续两个月遭受连环攻击,是因为同源项目比较多,因为这些受到攻击的项目很多都是Fork Pancakebunny或Uniswap的,实际上项目方可能对于这些项目背后的逻辑并没有充分理解,但是又在上面做了一些创新更改,导致一些系统漏洞的引入。另外还有一个因素可能是BSC生态上很多开发者的合约开发能力、安全维护能力并不够高,因此开发者的经验和能力确实有待提升。这些相似的漏洞攻击,也是警醒开发者进行创新时,首先需要了解清楚原底层代码,提高安全意识。
Polygon:多个项目突发归零,释放危险信号
没想到Polygon生态也开始沦陷。6月28日,链上算法稳定币项目SafeDollar遭受黑客攻击,攻击者利用合约铸币漏洞增发了83万亿枚SDO稳定币,又提走了池内约25万美元代币,SDO在当天上午12点25分左右从1.07美元瞬间砸至归零。
SafeDollar项目归零之前,在6月Polygon还出现过两次链上项目归零的事件。6月17日,Polygon上部分抵押稳定币项目Iron Finance因遭到“银行挤兑”,其治理代币TITAN在24小时内暴跌几近归零。6月22日,Polygon上首个收益农场Polywhale Finance官宣停止项目开发,并称是代币经济表现和市场状况不佳所致,其中链上交易显示,Polywhale团队从项目金库中提取了超过100万美元并将其存入自己的钱包,目前金库中只剩下22.34万枚协议代币KRILL,价值约2.98万美元,这已经认定是典型的退出局。
SafeDollar是Polygon生态第一次遭到黑客攻击,金额不算太多,但是影响深远,再加上两次项目归零跑路事件,对于刚刚薄发而来建立用户信任的Polygon,很多人不免担心Polygon年轻的生态是不是会再一次复刻BSC五月的黑暗呢?毕竟在此之前,整体涨势涨速比较喜人的DeFi生态当属Polygon。
区块链安全团队Sharkteam对鸵鸟区块链表示,SafeDollar攻击事件确实透露出很大的隐患,如果Polygon发展速度非常快,然而生态开发者能力不足,Polygon审核机制也不够,极有可能会造成类似BSC 5月所出现的问题,造成连锁反应。不止Polygon,很多新兴的公链平台都存在类似的问题:Fork、开发者能力不足、平台审核不严。不过Polygon实际情况还是要根据其链上项目的发展情况以及黑客对各个生态的关注度而定。
保持敬畏,披荆斩棘
从对以太坊、BSC、Polygon三个生态安全攻击事件的分析中可以看出,似乎每一条公链都会经历过一段灰暗的历程,但是类似于同源漏洞攻击其实是有可以避免的机会的。正如区块链安全团队Sharkteam接受鸵鸟区块链采访时所言,不管是做项目还是平台,一定要保持敬畏心,对自己的产品以及用户的资产负责,才能避免漏洞发生。
对于如何避免攻击事件,繁荣DeFi发展生态,Sharkteam分别从项目方和平台两方面进行了总结。
作为项目方,必须对项目安全和资产安全负责,保持敬畏心,寻求审计公司的帮助,对项目代码进行多轮审计检查,避免漏洞,同时设立应急响应机制;作为平台,必须提高项目准入门槛,做好把关工作。
BSC官方曾对链上项目发出安全呼吁,总结如下:1. 与审计公司合作,进行多轮审计,如果是分叉项目,请反复检查相对原始版本进行的更改;2. 采取必要的风险控制措施,实时主动监控异常情况,一旦出现异常及时暂停协议;3. 制定应急计划;4. 如果条件允许可设定漏洞赏金计划。
年轻的生态发展总是要历经波折,跌跌撞撞,希望此前无数的项目悲剧能够警醒所有DeFi生态建设者,保持敬畏,提高警惕,共建更加繁荣DeFi生态。
鸵鸟区块链
媒体专栏
阅读更多
财经法学
金色早8点
链捕手
PANews
Bress
区块律动BlockBeats
成都链安
Odaily星球日报
作者:PrimeDAO | 翻译:saku | 校对:shawn wu | 排版:Bo | 本文介绍了 DAO 可能使用的法律结构,试图为监管环境提供一个概览,并评估不同行动方案的成本和效益.
2015年后,随着移动支付的逐渐流行,无论是消费者、银行还是监管机构,他们对于现金的需求逐渐减少。ATM机供应商因此经历了一场生存危机.
截至2022年9月,稳定币占整个加密货币市值的15%左右,约为1500亿美元。它被加密市场参与者大量使用,并已显示出出色的产品市场契合度。在2017年的牛市周期中,稳定币几乎不存在.
大力 iNFTnews资深作者Web3技术——包括虚拟现实和增强现实、机器学习、人工智能、区块链、智能合约等——将解决Web2时代创作者遇到的问题,彻底改变创建内容、声明所有权和获得报酬的方式.
Web3游戏的现状 过去十年中,从面向主机和PC的付费游戏到免费增值的手机游戏,游戏体验和商业模式都随着技术进步而发生了变化.
美联储周一宣布,已敲定关于向新型金融机构提供主存款账户(Master Account) 准入的新指导方针。Master Account 是美国(和国际)金融链中的关键环节.