区块链:区块链十大攻击方式系列二：DeFi 黑客攻击 真是防不胜防

欢迎来到成都链安策划的『区块链10大攻击方式』系列文章。上周分享了区块链十大攻击方式系列（1）——51%攻击，大家看的还过瘾吗？

闲话少说，今天，我们开启系列文章第二篇——DeFi 黑客攻击，继续为大家讲解区块链安全生态领域的那些攻击套路、漏洞。

区块链技术的诞生，为传统金融、数据隐私、供应链、跨境汇款等应用领域带来革命性的突破。其中「去中心化金融（DeFi）」便是这两年最为火热的应用之一。

DeFi 是去中心化金融Decentralized Finance的缩写，它指的是基于区块链的金融服务体系。

和现在的金融体系不同，用户的资金不会存放在第三方的金融机构中，而是通过各种智能合约去实现协议和信任，如此可以最大程度地减少风险。它是一个完整的开源生态系统，提供贷款、交易、资产管理和支付等金融服务。

工信部就《区块链和分布式记账技术标准体系建设指南（2023版）》公开征求意见:金色财经报道，工信部就《区块链和分布式记账技术标准体系建设指南（2023版）》（征求意见稿）公开征求意见。其中提出，到2023年，明确区块链和分布式记账技术标准体系顶层设计，研究标准体系建设和标准研制的总体规则，明确标准间的关系，重点开展基础共性标准研制，基本满足我国区块链和分布式记账技术标准化需求。到2025年，进一步完善国家区块链和分布式记账技术标准体系，持续推动区块链和分布式记账技术基础共性、关键应用示范和安全保障等标准，有效指导我国区块链产业建设，提升技术与应用服务水平。[2023/3/28 13:30:57]

DeFi攻击事件频发，最主要的原因还是其累计了巨额的资产。面对巨大的诱惑，黑客必然会想方设法去攻击。比如跨链项目不仅仅是链上智能合约，还有链下的代码，无论哪一部分出现了问题，都会被黑客所利用。

北京市汽车物流商会会长：建议运用区块链将社会自救的自组织行为进行记录和上链:就完善首都应急物流体系，民建会员、北京市汽车物流商会会长、好明物联网有限公司董事长田明建议建立信息数据共享平台。借助互联网建立面向专业领域的有序化、规模化工具平台，运用区块链技术将整个社会自救的自组织行为进行明确的记录和上链，使得整个社会运作公开透明。把生产、经销、采购、物流以及社会可利用物资等整合到共享平台，实时掌握可调配的物资种类、数量、分布等，根据灾情需求进行系统统一调配，并通过网络自动签发灾区救援通行证，减少不必要中间环节。信息平台可以并入国家应急保障网，对支援外省市也能作出及时反应。（中国经济时报）[2020/3/11]

2022 年第一季度，区块链领域共发生典型安全事件超过30起。总损失金额超12亿美元，与去年同期相比增长了823%。

动态 | 报告：64%的数字证券投资者来自传统风投公司，仅28%来自区块链风投公司:法兰克福商学院区块链中心和BlockState AG联合发布了一份关于全球数字证券生态系统的研究报告。报告显示，64%的数字证券投资者来自传统风投公司，另有8%来自投资基金、数字资产管理公司和房地产公司，只有28%来自区块链风投公司。受访对象中，投资笔数最多的两家公司是中国风投公司ZhenFund和美国风投公司Slow Ventures，前者投资了469笔，后者投资了387笔。然而，证券型代币相关投资笔数最多的是Blockchain Capital和Coinbase Ventures（做了均为3笔），Andreseen Horowitz的风投部门a16z crypto投资了两笔。（Decrypt）[2019/11/3]

声音 | 工商银行原董事长：以区块链等为代表的信息技术深刻影响了人类的生产、生活及思维方式的变革:钱塘江论坛11月1日至3日在杭州举行。本次活动主题为《长三角一体化：金融、科技、产业的新使命》，钱塘江论坛主席、中国工商银行原董事长、世福资本董事长姜建清在2019届钱塘江论坛表示，当今世界正处在新一轮科技革命与产业变革孕育兴起时期，以大数据、互联网、物联网、人工智能、区块链等为代表的新一轮的信息技术不断突破，深刻影响了人类的生产、生活及思维方式的变革。新产业、新动能、新技术将成为影响经济增长的关键因素。（新浪财经）[2019/11/2]

数据显示，DeFi项目仍为黑客攻击的重点领域，其中主要涉及到的安全问题包括：闪电贷攻击、私钥泄露、智能合约重入攻击、Rugpull等等。

闪电贷攻击

闪电贷就是在一笔链上交易中完成借款和还款，无需抵押。由于一笔链上交易可以包含多种操作，使得攻击者可以在借款和还款间加入其它链上操作，以极低的成本撬动巨额资金，结合其他漏洞进行套利、价格操纵等攻击。

比如2022年4月17日，算法稳定币项目Beanstalk Farms遭黑客攻击，黑客获利近8000万美元，黑客通过闪电贷换取了350,000,000个DAI，500,000,000个USDC，150,000,000个USDT，32,100,950个BEAN和11,643,065个LUSD作为资金储备，再利用恶意提案，导致本次攻击的发生。

详细分析可点击此处阅读：黑客获利近8000万美元，恶意提案如何防范？Beanstalk Farms被攻击事件分析

私钥泄露：

项目方由于遭受社会工程学或传统网络安全攻击，导致私钥泄露，从而项目方地址权限被盗取，从而攻击者可进行转账、提取等任意操作。

比如在2022年2月10日，DeFi应用Dego Finance遭到黑客攻击，成都链安安术团队进行分析时发现本次攻击由于项目方私钥泄露，黑客利用私钥提取了多个链上的资产。

详细分析可点击此处阅读：被盗约1700万美元，DeFi 世界的乐高Dego Finance就这样“塌了”吗？

智能合约重入攻击：

在存在外部合约调用的项目中，如果外部合约调用发生在账本更新之前，且外部合约调用可以被用户控制，那么该项目可能存在重入风险。在项目未做重入防范的情况下，恶意的攻击者可以通过重入攻击威胁项目资金安全。

比如在2022年3月31日，Ola Finance遭遇智能合约重入攻击，损失约为467万美元。

详细分析可点击此处阅读：约467万美元的损失！Ola Finance被攻击事件简析

Rug pull：

“Rug Pull”是指项目方撤出支持、DEX流动性池或突然放弃一个项目，毫无征兆地就卷走投资者的资金。这是一个DeFi领域典型的退出局。

从黑客的角度来看，对区块链生态系统的攻击是一种理想的手段。因为这些系统是匿名的，而且行业暂时缺乏技术监管，这使得网络犯罪分子可以通过攻击安全性较低的 DeFi 项目或实施Rug Pull来获取金钱收益。

经成都链安安全团队梳理和总结，2022年第一季度的安全事件中，尽管70%的被攻击项目经过了第三方安全公司的审计，但是30%未审计的项目，其被攻击之后的损失金额也达到了7.2亿美元，占第一季度总损失金额的60%。

可见?DeFi?项目上线之前的审计依旧重要。在我们研究之后，发现在未审计的项目中，50%的攻击手法都为合约漏洞利用。因此，尽早审计和及时修复代码漏洞，可以避免上线后项目被攻击造成的严重损失。

DeFi 为许多机会打开了大门，特别是对于那些热衷于推动加密市场向前发展同时保持资金流动的去中心化模块的投资者和开发商。由于DeFi热潮的兴起，该领域也自然成为了黑客“大展拳脚”的重点对象。

安全性仍然是 DeFi 生态系统面临的重大挑战，因此DeFi项目方应做好前置预防工作，引入一整套态势感知、威胁情报、安全响应等全生命周期的安全解决方案，完善安全防护机制。作为用户，在选择项目时，应留意该项目是否经过安全审计，切不可掉以轻心。

标签：区块链DEFDEFIEFI区块链是什么意思DEFT币defi币价格涨跌原理HEFI币

币安app官方下载最新版热门资讯