DeFi——去中心化金融,不同于过去中心化的传统金融需要许多中介机构如银行、证券交易所的参与,DeFi利用了区块链的技术,逐渐发展出有别于传统金融的金融商品,疯狂受到追捧。根据DeFiPulse的数据,DeFi锁仓量已飙升了200%以上,从2021年1月份的$320亿到12月份的$980亿。DeFi作为去中心化世界的明星产物,凭其去中心化、不可篡改、无需信任、开放透明可组合等特性为用户打开了开放式金融的大门。
不过,DeFi真的足够「去中心化」吗?
从协议层面以及交互方式来看,DeFi的确足够去中心化。但从一些攻击事件上看,DeFi似乎显得不那么去中心化。
?
Azuki系列NFT近24小时交易额增幅超200%:金色财经报道,据OpenSea数据显示,Azuki系列NFT近24小时交易额为144.64 ETH,24小时交易额增幅达209.99%。[2022/8/15 12:26:07]
2021年7月14日,波卡数字收藏品市场平台BondlyFinance遭到攻击,导致373,088,023美元的BONDLY代币从BondlyStakingRewards合约中转出,据官方调查,攻击者通过精心策划获得了属于Bondly首席执行官BrandonSmith的密码帐户的访问权限。密码帐户包含Smith的硬件钱包的助记符恢复短语,复制后允许攻击者访问BONDLY智能合约,以及被泄露的公司钱包。
Visor Finance遭DeFi黑客攻击 损失超820万美元:金色财经报道,Uniswap V3流动性管理协议Visor Finance再次遭受黑客攻击,黑客利用可重入漏洞耗尽了880万枚VISR代币,总损失约为820万美元。尽管完整的报告尚未公布,但人们认为黑客利用该漏洞更改了奖励合约的所有者,以便他们可以铸造额外的vVISR奖励代币。Visor团队分享了这次黑客攻击的详细信息,并指出他们发现了一个影响其vVISR质押合约的漏洞。该团队补充说,没有头寸或管理程序面临风险。该事件主要影响VISR质押者和代币持有者,因为自攻击以来VISR已下跌超过95%。为了补偿用户,Visor团队宣布将根据黑客攻击前拍摄的快照安排迁移日期。[2021/12/22 7:54:56]
有趣的是,该黑客似乎在四个月后又以相似的方式攻击了另一个DeFi项目。
Genesis:机构投资者对比特币的兴趣正转移至以太坊和DeFi代币:8月5日消息,根据场外数字资产交易公司Genesis Global Trading的报告,比特币作为加密行业门户资产的角色正在发生变化,2021年第二季度,机构投资者正越来越多地关注以太坊和DeFi代币。据CoinGecko数据显示,比特币在加密货币总市值中的主导地位从2020年末的70%已经萎缩到2021年第二季度末的45%以下,截至发稿时具体比例为43.6%。比特币在Genesis现货交易量中的份额从80%下降到47%,而以太坊的份额增加到约25%。(Decrypt)[2021/8/5 1:37:15]
2021年11月5日,DeFi协议bZx发推称控制Polygon和BSC部署的私钥已被泄露,导致资金损失。据官方调查,黑客使用的钱包之一参与了BondlyFinance的攻击。同时,本次漏洞利用与BondlyFinance的非常相似:黑客获得了开发人员的密码,然后从协议中操纵了一个智能合约。不久,bZx在更新的事故报告表示:“我们聘请了一家名叫Kaspersky的安全公司,该安全公司调查后认为这次攻击很可能是由朝鲜黑客组织Lazarus执行的。”据慢雾AML旗下反追踪系统MistTrack?分析,攻击者初始资金来自Tornado.Cash转入的0.9ETH,接着攻击者一番操作将被盗资金分散到多个地址。然后攻击者将多种代币换为ETH,最后通过Tornado.Cash转出10960ETH,以太坊部分的洗币基本完成。
ConsenSysCodefi推出Filecoin存储应用:ConsenSys旗下ConsenSysCodefi宣布推出Filecoin存储应用(FilecoinStorage),用户可通过Web应用程序和API访问Filecoin去中心化存储市场。FilecoinStorage由一个简单的可搜索市场组成,可让生态系统参与者全面了解Filecoin存储市场,并允许客户通过筛选和分类找到适合其需求的最佳矿工。另外,提供数据存储服务的Filecoin矿工可以使用该应用向客户进行报价,也可与客户进行互动来确定最佳价格。[2020/10/21]
以上两个事例都是无关合约问题,而是开发人员遭到钓鱼攻击致私钥泄露从而影响用户资金。回顾近期,私钥泄露似乎变得非常热门:Levyathan损失150万美元、8ightFinance损失175万美元、VulcanForged损失1.4亿美元……我们不禁想,这是不是表示着线下实体实际掌管着控制权呢?
除了钓鱼攻击,前端攻击也是引发DeFi安全问题的高危据点。
2021年12月2日,据官方Discord消息,去中心化组织BadgerDAO遭遇黑客攻击,用户资产在未经授权的情况下被转移。12月9日,Badger?发布了详细的事故报告,报告称此次事件是CloudflareWorkers上的恶意注入代码片段导致的。CloudflareWorkers是一个运行脚本的界面,这些脚本在流经Cloudflare代理时对Web流量进行操作和更改。攻击者在Badger工程师不知情或未授权的情况下获取了项目方在Cloudflare后台的APIKey,以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时,触发恶意代码后会发起交易让用户去确认。用户确认了那笔恶意交易,就会将代币授权给攻击者,然后攻击者就可以在用户不知情的情况下将代币转走。据慢雾AML旗下反追踪系统MistTrack分析,黑客将部分获利的加密货币换成renBTC,并通过renBTC将约2100BTC跨链转移到14个BTC地址,目前暂无异动。
在DeFi世界,合约一旦部署不可篡改不可撤回,理论上来说是不会受到人为的干预,这点确保了其去中心化的特点,但目前绝大多数前端仍是通过传统架构实现,虽然网页自身也在不断在进化和发展,但是仍存在很多潜在的威胁,同时针对前端的攻击往往容易被开发者忽视,这些错误因素使得攻击者饱餐了一顿又一顿。
2021年9月17日,SushiswapCTO在推特上表示,SushiswapIDO平台Miso的前端遭受攻击。承包商的一名匿名员工将恶意代码注入Miso前端,把拍卖钱包地址替换成了自己的钱包地址,导致864.8ETH被盗。
当前端问题开始影响资金的安全性,作为用户不得不深思如何才能做到安全地参与DeFi项目,简直如履薄冰。
总结
不管怎样,“DeFi是否完全去中心化”这个问题也许会一直存在。与其说去中心化是DeFi最大的特性,不如说是DeFi世界的终极目标。而不论是作为用户、审计机构还是作为项目方,我们经历过如此多的DeFi安全事件后,是否仍然只将注意力聚焦到智能合约上呢?答案不言而喻。
NFT艺术品平台Metaera于1月7日正式宣告成立。Metaera总部位于新加坡,团队核心成员均有多年欧美及亚太多地区生活经历,毕业于英国、美国、香港、新加坡知名高校且曾就职于国际知名企业,拥.
巴比特讯,1月12日,美国一群两党议员呼吁美国衍生品监管机构CFTC采取更多措施来监管加密货币,这对于那些希望该机构发挥更大作用的行业管理人士来说可能是个好消息.
据TheBlock1月19日消息,由美国足球运动员TomBrady创建的体育和娱乐NFT平台Autograph宣布完成1.7亿美元B轮融资.
据TheBlock消息,2月8日,Coinbase前业务发展总监及PolychainCapital普通合伙人SamRosenblum宣布作为合伙人和交易团队负责人加入加密风投初创公司KRHPar.
据Cointelegraph消息,2月10日,区块链分析公司Chainalysis发布了关于2021年与加密货币有关的勒索软件活动的新数据.
论起蹭热点,时尚品牌总是跑得最快的。 —— 文|Juny??编辑|VickyXiao 来源:硅星人 “——YoBro,脚上的这款耐克鞋不错啊,哪儿买的?”“——耐克元宇宙官方旗舰店.