区块链十大攻击方式系列二:DeFi 黑客攻击
欢迎来到成都链安策划的『区块链10大攻击方式』系列文章。上周分享了区块链十大攻击方式系列(1)——51%攻击,大家看的还过瘾吗?
闲话少说,今天,我们开启系列文章第二篇——DeFi 黑客攻击,继续为大家讲解区块链安全生态领域的那些攻击套路、漏洞。
01 - 什么是DeFi?黑客为何偏爱攻击DeFi项目?
区块链技术的诞生,为传统金融、数据隐私、供应链、跨境汇款等应用领域带来革命性的突破。其中「去中心化金融(DeFi)」便是这两年最为火热的应用之一。
DeFi 是去中心化金融Decentralized Finance的缩写,它指的是基于区块链的金融服务体系。
和现在的金融体系不同,用户的资金不会存放在第三方的金融机构中,而是通过各种智能合约去实现协议和信任,如此可以最大程度地减少风险。它是一个完整的开源生态系统,提供贷款、交易、资产管理和支付等金融服务。
DeFi攻击事件频发,最主要的原因还是其累计了巨额的资产。面对巨大的诱惑,黑客必然会想方设法去攻击。比如跨链项目不仅仅是链上智能合约,还有链下的代码,无论哪一部分出现了问题,都会被黑客所利用。
02 - DeFi涉及到的安全问题都有哪些?
2022 年第一季度,区块链领域共发生典型安全事件超过30起。总损失金额超12亿美元,与去年同期相比增长了823%。
数据显示,DeFi项目仍为黑客攻击的重点领域,其中主要涉及到的安全问题包括:闪电贷攻击、私钥泄露、智能合约重入攻击、Rugpull等等。
闪电贷攻击
闪电贷就是在一笔链上交易中完成借款和还款,无需抵押。由于一笔链上交易可以包含多种操作,使得攻击者可以在借款和还款间加入其它链上操作,以极低的成本撬动巨额资金,结合其他漏洞进行套利、价格操纵等攻击。
比如2022年4月17日,算法稳定币项目Beanstalk Farms遭黑客攻击,黑客获利近8000万美元,黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备,再利用恶意提案,导致本次攻击的发生。
详细分析可点击此处阅读:黑客获利近8000万美元,恶意提案如何防范?Beanstalk Farms被攻击事件分析
私钥泄露:
项目方由于遭受社会工程学或传统网络安全攻击,导致私钥泄露,从而项目方地址权限被盗取,从而攻击者可进行转账、提取等任意操作。
比如在2022年2月10日,DeFi应用Dego Finance遭到黑客攻击,成都链安安术团队进行分析时发现本次攻击由于项目方私钥泄露,黑客利用私钥提取了多个链上的资产。
详细分析可点击此处阅读:被盗约1700万美元,DeFi 世界的乐高Dego Finance就这样“塌了”吗?
智能合约重入攻击:
在存在外部合约调用的项目中,如果外部合约调用发生在账本更新之前,且外部合约调用可以被用户控制,那么该项目可能存在重入风险。在项目未做重入防范的情况下,恶意的攻击者可以通过重入攻击威胁项目资金安全。
比如在2022年3月31日,Ola Finance遭遇智能合约重入攻击,损失约为467万美元。
详细分析可点击此处阅读:约467万美元的损失!Ola Finance被攻击事件简析
Rug pull:
“Rug Pull”是指项目方撤出支持、DEX流动性池或突然放弃一个项目,毫无征兆地就卷走投资者的资金。这是一个DeFi领域典型的退出骗局。
从黑客的角度来看,对区块链生态系统的攻击是一种理想的手段。因为这些系统是匿名的,而且行业暂时缺乏技术监管,这使得网络犯罪分子可以通过攻击安全性较低的 DeFi 项目或实施Rug Pull来获取金钱收益。
03 - 如何避免被黑客攻击?
经成都链安安全团队梳理和总结,2022年第一季度的安全事件中,尽管70%的被攻击项目经过了第三方安全公司的审计,但是30%未审计的项目,其被攻击之后的损失金额也达到了7.2亿美元,占第一季度总损失金额的60%。
可见 DeFi 项目上线之前的审计依旧重要。在我们研究之后,发现在未审计的项目中,50%的攻击手法都为合约漏洞利用。因此,尽早审计和及时修复代码漏洞,可以避免上线后项目被攻击造成的严重损失。
DeFi 为许多机会打开了大门,特别是对于那些热衷于推动加密市场向前发展同时保持资金流动的去中心化模块的投资者和开发商。由于DeFi热潮的兴起,该领域也自然成为了黑客“大展拳脚”的重点对象。
安全性仍然是 DeFi 生态系统面临的重大挑战,因此DeFi项目方应做好前置预防工作,引入一整套态势感知、威胁情报、安全响应等全生命周期的安全解决方案,完善安全防护机制。作为用户,在选择项目时,应留意该项目是否经过安全审计,切不可掉以轻心。
何为ApeCoin和ApeCoin DAO元宇宙里最强IP无聊猿的母公司YugaLabs于今年新推出的ApeCoin具体是什么?它未来的价值怎么样?1.什么是ApeCoin?</h2>ApeCoin是一种运行在以太坊链上的ERC-20通证,于2022年3月问世,它是无聊猿游艇俱乐部(BAYC)...
12 张图简析 8 月 Web3 市场整体趋势比特币相关投资热情持续下降,以太坊因合并预期重获关注,市场整体喜忧参半。撰文:Lars,TheBlock研究主管编译:Babywhale1-总体而言,这是一个喜忧参半的月份,忧在TornadoCash身上发生的事件,喜则是对即将到来的...
盘点 8 个行业里程碑式 NFT 实例:为何是它们?作者:VICOINDAO盘点下,具有划时代意义,并能够给予人们启迪的NFT实例。实际上从Beeple的作品破圈让很多人知道NFT到今天,时间还不到18个月。但行业的变化实在太快,新的热点目不暇接,有种稍纵即逝的感觉。就让我...
八年抛售即将结束 Ripple前CTO套现了多少钱?近些年来存在感越来越低的Ripple(XRP)即将迎来一件“大事”。JedBalance最新数据显示,Ripple第一任首席技术官JedMcCaleb的钱包内仅剩下17945934枚XRP,依照0.31美元的二级市场价格计算约合556万美元,依照近几个...
这场小型加密货币牛市反弹会延续吗?作者:LincolnMurr,AmyLiu加密货币市场的投资者几个月来首次摆脱熊市,以太坊、Lido和Polygon等加密资产在触及近期低点后上涨了50%。许多人希望这是牛市的开始,希望以太坊合并将创下新高,但情况可能并非如此。经过...
Amber Group: 关于加密企业拥抱合规性的思考FenbushiCapital有幸和资管平台AmberGroup合规部门的Benjamin和Karen针对于加密领域合规性这个话题展开了交谈。以下是访谈内容的整理。1.合规似乎是加密行业的一把双刃剑。从一方面来看,合规性将扩大加密行业的目标...
Tornado Cash被制裁有何影响 新的监管即将到来?前不久,美国财政部外国资产控制办公室(OFAC)宣布制裁混币协议TornadoCash,该平台已被加密货币领域的许多网络犯罪分子、不法黑客组织用来清洗和混淆他们的非法资金来源。我们最近与Blockpass的首席执行官兼联合...
以太坊->Solana->Aptos:高性能公链竞争的终局在何方?本文译者0xshushuTwitter:@0xshushu主要结论:我们提出了一个L1设计权衡的第一性原理框架:高性能的三难困境。(如上图)与以太坊相比,Solana的激进的低冗余设计既解释了它的高性能,也解释了它的低可靠性。Aptos,...
晚间必读5篇 | 如何成为去中心化世界的胜利者1.金色观察|Messari:Ocean协议当前面临的挑战及其应对计划</h1>数据是人工智能(AI)、生物技术、金融技术(fintech)、消费者零售业等领域的无价资产。2017年,《经济学人》称“世界上最有价值的资源不再是石油,而是...
晚间必读 | 获取Optimism 代币OP的五种方式1.金色观察|CryptoPragmatist:5个值得关注的加密叙事</h1>熊市里,一切都很缓慢。以前的各种日常叙事转变为关于宏观经济学的讨论、V神的那些“有趣”照片,以及普遍的不安感。点击阅读2.金色观察|获取Optimism代...
孙割114万枚以太坊出手,GMT出现危机,luna新链即将上线;二姨夫暴雷引发DEFI恐慌;数藏暴跌。
前情提要:1,以太坊出现危机,大户出逃,日跌幅10%。2,GMT出现负面,清退国内用户,日跌幅40%。3,LUNA新...
基于反身性的代币经济学设计不可持续,DeFi需要结构性的改变
链茶速递是链茶馆旗下编译团队,关注区块链及加密货币领域最新动向,重点介绍国外的新观点、新风向。来源/M...
思考 DeFi 代币经济学复杂的反身性设计:是否可持续
所有花哨的飞轮都是有价值的辅助功能。你喜欢熬夜去思考因果关系困境吗?比如祖父悖论。假如你回到过去,在...
FTX Harrison:Terra 稳定币不是稳定币;DeFi 与之相比,不是什么风险;需要稳定币监管
FTXHarrison接受CoinDesk采访表示,“Terra稳定币不是稳定币,是一个补贴挂钩;DeFi基础来自于由法币支持的...