智能合约给了我们去中心化,无需信任,去信任等众多特点,但去除人为操作之后,一旦智能合约开了天窗,那么资产有可能被黑客予取予求。DeFi普及率和采用率升高,项目方鱼龙混杂,如何才能火眼金睛的保护资产变得愈来愈重要。
本片比较浅尝辄止的分析了2021年以来DeFi被攻击的例子,并且提出了预防的方式。偏简单易懂。
目前,DeFi细分市场有两个特点:一是它正飙升至前所未有的高度:它监管不力,几乎没有任何拥有资源或技术技能的人能够经营智能合约并吸引用户。这两个因素使得该领域对攻击者来说十分诱人。
这些攻击究竟是如何发生的?如何保护自己?我们将研究其机制,并提供DeFi中最大攻击的例子,以便了解哪些协议需要特别谨慎。
DeFi提供基于区块链的金融服务,如借贷和生息。关键的一点是,DeFi是具有包容性且无需许可的——任何人,无论他们的公民身份、社会地位和信用历史如何,每个人都可以利用它。DeFi是去信任的,因为它运行在智能合约上——所有的条款和条件都是事先描述过的,用代码编写,现在无需人工干预就可以执行。在这里,用户唯一可以信任的是协议团队编写良好代码的能力。反过来,由于大多数项目都是开源的,审计和社区通常会检查这一点。
Tether CTO:以太坊上USDT的铸造是为了平衡不同链上USDT流动性:金色财经报道,针对此前Tether在以太坊上发行10亿枚USDT的情况,Tether首席技术官Paolo Ardoino表示,虽然一些人认为新USDT的铸造是增加加密货币需求的催化剂,但新USDT的铸造旨在平衡不同链上USDT的流动性,例如交易所可能在Tron上持有大量USDT,但需要处理以太坊上USDT的提款,因此此类第三方要求进行链交换。[2023/6/12 21:32:01]
然而,这怎么能给操纵留下空间呢?
攻击者如何利用DeFi中的不安全性?
对DeFi的黑客攻击是指某人利用协议的漏洞来获取锁定在协议中的资金。以下是实现这一目标的三个主要“策略”:
DeFi项目制作得非常快,团队并不总是有时间彻底检查他们的代码。黑客利用了这些漏洞。
DeFi的每个协议都有自己的机制,用户如何锁定他们的资金,以及他们如何获得回报。有时候,协议的创始人并不知道这些机制是如何被滥用的,并成为大赚一笔的漏洞。
FatMan:Hodlnaut添加UST是为了利用散户作为退出流动性来脱手其UST头寸:6月29日消息,Terra研究员FatMan发推文称,加密借贷公司Hodlnaut内部人员向其发布了一些信息,看到了来自Hodlnaut CEO朱俊涛发布的有关于他们在4月份添加UST真相的内部消息,朱俊涛承认Hodlnaut添加了UST是为了利用散户作为退出流动性来脱手该公司的UST头寸。
即Hodlnaut通过默默地将客户的USDC和USDT兑换成UST以产生收益,积累了巨大的UST头寸。他们可能希望降低风险,但他们的Anchor和UST 3Crv头寸巨大,冒着脱锚的风险是不明智的。他们没有倾销它,而是开始募集客户资金。然后,每当客户存入UST时,朱俊涛就可以在后台清算公司负债,并将他们自己的UST转换为USDC,而无需公开平仓他们的鲸鱼账户头寸(因有链上监控),从而将头寸抛售给散户。该计划没有奏效,尽管据称他们确实从客户的UST存款中获得了大约2000万UST,但这不足以抛售他们所有的敞口,最终脱锚还是发生了。[2022/6/29 1:38:43]
一些团队故意制造问题——他们通过出售他们的股份和倾销代币来滥用他们在项目中的巨大影响力(社区没有注意到这一点)。
NFT基金创始人:购买Beeple NFT艺术品不是为了赚钱:NFT基金创始人Vignesh Sundaresan表示,其花6900多万美元购买了一幅加密艺术家Beeple的NFT艺术品的动机不是赚钱,而是支持这位艺术家并展示这项技术。此外,他表示,任何试图从NFT获利的人都在承担巨大的风险,这比投资加密货币还要疯狂。(彭博社)[2021/4/7 19:52:36]
让我们看一下DeFi中最广泛使用的两种机制——拉地毯和闪存贷款攻击。
拉地毯——在没人预料到的时候撤回流动性
在“拉地毯”中,业主或开发商突然从池中撤出流动性,引发恐慌,迫使所有人都卖掉资产。基本上,这是一个退出局。创始人在一个项目中所占的股份越高,这个项目就越可疑:“拉地毯”正是DeFi讨论的集中化风险之一。
它是这样开始的:创始人宣布了一个带有原生代币的新平台,提供了一些很酷的奖励。然后,该团队在去中心化的交易所(如Uniswap)上创建一个流动性池,代币与ETH、DAI或其他主要货币配对。用户被鼓励带来更多的流动性,因为这将给他们带来高收益。一旦代币价格上涨,创始人就会收回他们的流动性并消失。
声音 | EOS创始人BM:适当的资金托管量是为了让仲裁员对诉讼者的资产有一定的控制:据 IMEOS 报道,BM在电报群中讨论抵资金托管(bond) 问题,他表示目前还有很多关于“锁定资本”的毫无根据假设,资金托管只不过是“保险费”,目的是为了让仲裁员对诉讼者的资产有一定的控制,一种通用的托管方式。[2018/7/18]
开发者拥有大量股份并不是件好事,但即使有,也有一种保护项目的方法:开发者可以设置一种不允许他们在未来某一天之前退出的程序。这大大增加了对该项目的信任。
闪电贷款攻击——抽取和消除流动性
什么是“闪贷”?它允许用户在很短的时间内,在没有抵押品的情况下,借到无限量的钱——用户必须在下一个区块被开采之前偿还贷款和利息而开采只需几秒钟。如果用户不偿还贷款,交易将不会结束,借入的资金将从用户那里被拿走。
闪贷的关键用途之一是套利:从不同平台上的资产价差中获利。比如,以太坊在交易所A的成本为2000美元,在交易所B的成本为2100美元。用户可以获得价值2000美元的闪电贷款,在交易所A购买ETH,在交易所B出售,用户的利润将是100美元减去gas费和贷款费用。
Zcash硬分叉临近 团队称分叉是为了获得网络升级实践:专注于隐私的加密货币Zcash正在为它的第一个硬分叉做准备。尽管这可能会引起人们对加密货币自由发展的激烈争论。Zcash的第一次硬分叉——被称为“Overwinter”,该加密货币的开发团队希望通过分叉为这种加密货币的未来发展奠定基础。虽然Zcash在更新中加入了一些新功能,但开发该网络的Zerocoin Electric Coin公司的联合创始人兼首席执行官Zooko Wilcox称,“这是为了获得网络升级的实践。”[2018/3/23]
闪电贷的无限性质为漏洞利用铺平了道路。以下是快速贷款攻击的一般方案:
一个攻击者借200个代币 A,价值10万美元(一个代币 A价值500美元)。
然后,他在A/B流动性池中大举买入代币B。这推高了代币B的价格,而代币A下跌,现在只值100美元。
当代币B暴涨时,攻击者以 100 美元的价格将其卖回代币 A。现在,相比最初的200代币,其可以买得起1000代币A(在价格下降5倍后)。
然而,攻击者只是在这个智能合约中降低了代币A的价格。闪贷的贷款人仍然以500美元的价格购买代币A。因此,攻击者用他的200代币A偿还贷款,并拿走剩下的800枚。
正如所看到的,闪电贷款利用了去中心化交易所的本质,而没有实际的黑客行为。他们只是简单地抛出抛售代币A,并移除池中相当一部分的流动性,这基本上是在窃取流动性提供者的资金。
1. Meerkat Finance 黑客
2. Alpha Homora 闪电贷款攻击
风险正在上升!今年2月在Alpha Homora攻击中,3700 万美元被盗。该借贷平台于2020年10月启动,最近升级为V2版本。在一个Alpha Homora V2池中,攻击者借入和出借了数百万个稳定币,使其价值膨胀,使攻击者获得巨额利润。
3. EasyFi 私钥失窃
今年4月,基于Polygon的借贷协议EasyFi遭遇了最严重的一次DeFi黑客攻击。在一次黑客攻击中,一名网络管理员的私钥被窃取,这让攻击者得以获得该公司的资金。价值7500万美元的三百万EASY代币被盗。除此之外,EasyFi的保险库里还有价值600万美元的稳定币被盗。
4. Saddle Finance 套利利用
这是另一个闪电贷款攻击,尤其是这次。Saddle Finance 是一种类似Curve的协议,用于交易包装资产和稳定币,在其发布一天后,于2021年1月21日遭到攻击。通过进行一系列的套利攻击,攻击者在短短6分钟内成功获取了近8个比特币的流动性。这可能是由于池的智能合约中的一个漏洞——攻击者将稳定币的价格拉得太高,以至于价值0.09 BTC的一个代币被换成了另一个价值 3.2 BTC 的代币。
“闪贷”总是出人意料地发生,人们也不可能总是提前看到“拉地毯”的可能性。然而,遵循这些建议将帮助用户更多地注意可疑迹象,并可能帮助用户避免金钱损失。特别注意:
团队和它的声誉。创始人和开发者是谁?团队是公开的吗?它曾经参与过任何值得信赖的加密项目吗?如果没有,这也不一定是坏事,但应该引起关注。
访问金库。这个团队有吗?到什么程度?如果创始人的持股比例过高,这并不是一个危险信号。
多重签名访问公司资金。如果开发人员启用了多签名访问库,并且团队之外的人拥有一些签名,这可能有助于防止“拉地毯”。
寿命及其流动性。如果开发人员将他们的资金锁定在一年左右的时间内,用户可以放心,团队至少在这段时间结束前不会退出。
随着 DeFi 的成熟,池中有相当数量的流动性,池中的大量流动性可能是降低闪电贷攻击风险的主要因素。
闪电贷最高限额不允许攻击。
对智能合约的安全审计将为易受攻击和配置错误的合约腾出空间。
更好的监管将有助于避免故意发布易受攻击的协议。
一些项目已经实施了社区漏洞奖励,帮助用户在协议中发现漏洞和后门获得奖励。
DeFi使用无需许可和去信任的工具在短时间内提高可观的收入,从而彻底改变了金融。然而,它的众多漏洞经常被攻击者和恶意开发人员使用。每次攻击都要求协议提高安全性,这就是DeFi黑客帮助该行业发展的方式。
8月6日数据显示,比特币突破4万美元关口。随着以太坊主网完成伦敦升级,ETH价格出现显著上涨,突破2700美元。与此同时,区块链多个概念板块也呈现上涨趋势.
1900/1/1 0:00:00区块链是新一代信息技术的重要组成部分,是分布式网络、加密技术、智能合约等多种技术集成的新型数据库软件,通过数据透明、不易篡改、可追溯,有望解决网络空间的信任和安全问题.
1900/1/1 0:00:00上周,一则消息引发了 NFT 市场不小的波动。佳士得工作人员 Noah Davis 在 CryptoPunk 的 Discord 群组中透露,佳士得将拍卖 CryptoPunks、Bored A.
1900/1/1 0:00:00以太坊的伦敦升级于8月4日完成,其中包括了著名的EIP-1559。在EIP-1559推出至今,不到4天,已经烧毁了16,230.38个ETH(截止到写稿时),价值接近5,000万美元.
1900/1/1 0:00:00欧洲去中心化金融(DeFi)融资市场今年蓬勃发展,与此同时,立法者们正寻求打击该行业。Dove Metrics 的报告深入研究欧洲的 DeFi 市场,结果显示尽管市场回落,监管压力加大,但情况看.
1900/1/1 0:00:008月5日晚间20时33分以太坊主网达到区块高度12,965,000,激活伦敦硬分叉网络升级。本次升级包含5个以太坊改进提案(EIP),分别是EIP-1559(手续费改进方案)、EIP-3198(.
1900/1/1 0:00:00