DEFI:DeFi 世界的安全问题频发，黑客赏金猎人平台 Immunefi 能够解决吗？

作者：老雅痞

三年前，锁定在DeFi的加密货币总价值仅有8亿美元。到2021年2月，这个数字已经增长到400亿美元；2021年4月，它达到了800亿美元的里程碑；而现在，它已经超过2460亿美元。这个新兴赛道捕捉了资本流动性的价值得到快速增长。

从黑客的角度来看，对defi生态系统的攻击是一种理想并且快速的致富手段，这里显然成为了各种黑客和欺诈者的游乐园。CipherTrace在最新的《加密资产犯罪和反报告》中指出，截至7月底，与DeFi相关的黑客事件已经让用户们损失了3.61亿美元。他们的主要手法是什么？而我们又该如何应对。

DeFi协议的资金是如何被盗的？

REENTRANCYATTACK(重入攻击）

一个鲜明的例子是发生在2020年4月19日的DForce黑客事件。

在defi协议上，首先智能合约有以下四个提款步骤：

DeFi协议Compound锁仓量突破130亿美元 创历史新高:金色财经报道，据最新数据显示，DeFi协议Compound锁仓量已突破130亿美元，创下历史新高，本文撰写时为13,317,919,044美元。目前，Compound借款总量为9,557,806,854美元，总用户数为385,485，也均创下历史新高。此外，Compound在最近24小时合约交互量为2196笔，交互用户数为461。[2021/9/6 23:03:35]

用户调用合约，准备从合约中提现所有资金。

合约检查用户在合约中是否有资金。

合约将用户在合约中的资金发送给用户。

合约自行更新，用户在合约中没有资金。

重入漏洞允许黑客在合约完全执行之前再次调用合约。在上面的例子中，攻击者可以在第三步和第四步之间重新进入合约，并在用户余额更新之前再次退出。通过重复这个过程，他们可以从合约中提取所有现有的资金，在一个循环中反复提取资金从而盗取了2500万美元。

DeFi 概念板块今日平均涨幅为8.27%:金色财经行情显示，DeFi 概念板块今日平均涨幅为8.27%。47个币种中42个上涨，5个下跌，其中领涨币种为：HDAO(+47.57%)、WICC(+20.13%)、SUSHI(+18.59%)。领跌币种为：SRM(-10.40%)、TRB(-2.58%)、COMP(-1.84%)。[2021/4/28 21:05:53]

FLASHLOANATTACK

最近，闪电攻击已经成为最流行的黑客攻击方法。闪电贷款是一种只在一次区块链交易内有效的贷款，没有违约风险。它意味着贷款人同意向借款人提供任何金额的贷款，前提是在给定的时间内将该金额归还贷款人，否则贷款人可以回滚整个交易。黑客规避了贷款机制，这带来了各种漏洞，如资产价格操纵。?

闪电贷款攻击是对某一平台的智能合约安全性的滥用，攻击者通常会借入大量不需要抵押的资金。然后他们在一个交易平台操纵加密货币资产的价格，并迅速在另一个交易平台转卖

初夏虎：元界DNA既有SWAP也有DEX，做大做强DeFi完整生态:据官方消息，10月16日，在媒体访谈栏目上，以“DeFi新秀发力DEX，元界DNASwap如何破局？”为主题的AMA。初夏虎表示，元界早在三年前就已经开始布局DeFi生态，DNA就是冲着DeFi而设计的。元界DNA在SWAP(闪兑交易所)、DEX(去中心化交易所)、AMM(自动做市商)、存币生息服务等DeFi所有的领域都正在开发相关产品，并且很快就要上线。短线来看，SWAP引爆了DeFi行业热点，但真正带领DeFi走向成熟的是DEX。元界DNA不是短线炒作的项目，而是放眼未来，既要有SWAP也有DEX。长线布局，做大做强整个DeFi生态。[2020/10/16]

智能合约的漏洞

编码错误产生于不小心执行的智能合约安全审计或未检查的智能合约漏洞和脆弱性。令人遗憾的是，许多区块链项目的创始人决定在测试覆盖率不足的情况下运行他们的项目，并忽视了安全审计的相关性，这种疏忽导致被攻击的可能性增加，给投资者带来损失。?

OKEx DeFi播报：DeFi总市值97.9亿美元，OKEx平台TRADE领涨:据OKEx统计，DeFi项目当前总市值为97.9亿美元，总锁仓量为130.7亿美元，DeFi赚币产品累计总投资额220,100,000美元。

行情方面，今日DeFi代币普涨，OKEx平台DeFi币种涨幅前三位分别是TRADE、RSR、SRM。

截至17：00，OKEx平台热门DeFi币种及赚币产品数据如下：[2020/10/15]

价格预言机的操纵：代表例子MakerDao

智能合约的执行依赖于价格oracle所提供的准确数据。然而，获得这些价格数据并不像人们希望的那样安全和可靠。如果oracle提供不准确的数据，智能合约将导致交易错误的执行。这一事实有利于那些试图操纵价格对自己有利的黑客。操控预言机所依赖的信息源进行短时间的价格操纵以达成误导链上价格是典型的预言机攻击，其本质是对预言机进行操控，造成内外价格差并利用闪电贷等新型金融工具从中套利。

ViaBTC创始人杨海坡：DeFi带来的“安全”是有两面性的:金色财经报道，9月24日，链上ChainUP三周年峰会于深圳举办，会上圆桌讨论环节，

ViaBTC集团创始人&CEO杨海坡表示，去中心化金融最大的特点是首先给金融市场带来了开放和自由，同时一定程度上带来了安全，不过安全是具有两面性的。对于某些人来讲，DeFi是更加安全的，但是DeFi对于大部分人来讲利用去中心化参与是有风险的。安全不安全要看用户和自己对区块链的了解，原因在于：第一是否会用去中心化的设施。第二合约安全是否足够，例如开源钱包的作恶有些是无法审查的。第三是合约本身的漏洞的问题，与智能合约设计有关。[2020/9/24]

应运而生的Defi漏洞赏金平台

传统的网站和应用程序Bug赏金平台，如HackerOne和BugCrowd，在这种旧世界的模式中取得了成功。但现有的"Web2.0"bug赏金和与区块链和加密货币相关的"Web3.0"bug新时代之间存在巨大差异。在去中心化金融时代，Web3.0漏洞悬赏的关键性质是与实际货币价值相关，而不仅仅是软件漏洞。

什么是Immunefi?

Immunefi于2020年12月推出，通过Bug赏金提供智能合约安全。更重要的是，他们已经宣称是世界上首屈一指的bug赏金平台!Immunefi有遏制DeFi黑客攻击问题的野心。为了实现这一目标，它为区块链项目提供咨询服务、漏洞检测、项目管理，以及最重要的是，提供一支白帽黑客的军队。Immunefi寻求将DeFi协议与黑客联系起来，以保护平台和用户的资产。

什么是漏洞（Bug)赏金？

漏洞赏金计划为发现智能合约和应用程序的潜在漏洞的安全研究人员提供奖励。此外，赏金激励白帽黑客发现并向项目报告漏洞，而项目则根据漏洞的严重程度向他们支付报酬。

传统bug赏金面临的困境

经济激励

虽然世界上把黑客分为白帽黑客和传统黑客，但大多数人都在灰色地带活动。举个例子：有一个发现了可以快速赚取500万美元的漏洞的黑客，他自身在巨大的利益面前会陷入道德的困境，他是做正确的事与有bug的平台谈判，以此获得5千美元的bug赏金？还是他自己对这个bug采取行动？如果没有一个一致的、公平的白帽子奖励系统，人性黑暗面的诱惑将永远存在。

报告

Defi项目通常没有人负责处理bug赏金事件。因此，如果一个白帽试图报告一个漏洞，试图找到决策人。另外，如果CTO收到了来自外部的风险提示，说他们的代码有缺陷，他们的自尊心很容易占据上风，赏金猎人并不讨好。即使发现bug全部过程都被通过适当的渠道报告给公司负责人，也不能保证公司会奖赏。财务部门可能还会与开发团队对漏洞赏金的价值产生分歧，整个过程可能会陷入一系列的死胡同。

Immunefi的赏金计划

Immunefi平台代表他们的白帽子和项目团队处理/沟通和谈判，这大大提高了效率压缩了双方的时间成本，Immunefi让黑客保持匿名，并且不要求提供KYC文件。

Immunefi平台已经发布一些有利可图的赏金，其客户Astroport提供高达300万美元的奖励。其他引人注目的赏金来自Celer，价值高达20万美元，xDAI高达200万美元，Sushi发布的125万美元赏金。

Immunefi目前有7100万美元的悬赏金，它想把猎取bug的工作从一种爱好变成一种可行的职业。到目前为止，该平台已经支付了1000多万美元，为客户避免了200亿美元的资金受到损失。

如何启动赏金计划？

在客户填写了Immunefibug赏金登记表后，他们会收到一份调查问卷

Immunefi开始根据这些问题的答案起草一份bug赏金计划，该草案之后会被发送给客户进行审查，修改完成后，该程序将被移交给Immunefi的运营专家。运营专家与项目团队合作，确定赏金活动的启动时间和赏金的公关/营销细节以及费用和支付如何进行。

在Immunefi上发布一个bug赏金不需要预付费用。当黑客发现真正的漏洞时，客户只需在bug赏金的基础上向Immunefi支付10%的绩效费用。

由于defi领域的快速发展，随之而来的安全问题使大多数平台和用户资金受到损失，这也许可以解释为什么Immunefi，DeFi的新兴bug赏金和安全服务平台之一能够迅速捕捉价值，目前已经融资了550万美元的资金，由ElectricCapital领投，参与的还有BlueprintForest、FrameworkVentures、BitscaleCapital、P2PCapital、IDEOColab、TheLAO、BRCapital、3rdPrimeVentures、NorthIslandVentures和其他个人投资者。

Amador在接受TechCrunch采访时补充说："现实情况是，Web3是一个对抗性更强的环境，这意味着漏洞赏金过程的每个部分都与以前不同，从报告的提交和处理，到报告的验证，再到支付的谈判都是如此。传统的Web2bug赏金是一种方便的错误修复工具，而我们的Web3bug赏金则是DeFi项目的一个更为关键的应急系统。

随着DeFi生态积木不断丰富壮大，安全问题一直是高悬在头顶上的达摩克里斯之剑，DeFi被黑客攻击的事件仍然不会停止，未来还会继续发生，这一点无需赘述。

标签：EFIDEFDEFIIMMPEFIdeFIREDeFiAISTIMMY价格

MATIC热门资讯