区块链:金色观察 | TRM Labs：2022年DeFi和跨链桥攻击总结

文/TRM Labs，译/金色财经xiaozou

根据TRM Labs对黑客事件的回顾，针对DeFi项目和跨链桥的黑客攻击让加密货币生态系统今年成为黑客攻击创纪录的一年。截至2022年11月，被盗资金已超过36亿美元。

DeFi和非DeFi黑客攻击窃取的总金额

3.5:1——这是针对DeFi的黑客攻击与非DeFi攻击的比例。?

80——这是今年由于DeFi攻击导致的加密货币被盗总额的百分比，数额高达30亿美元。

11x——跨链桥黑客攻击平均规模大约是非跨链桥攻击的11倍。针对DeFi支持的跨链桥黑客攻击虽不如针对其他目标的黑客攻击那么常见，但平均规模要大得多。

金色晨讯 | 10月26日隔夜重要动态一览:21:00-7:00关键词：CFTC、锚定币、BTC缺口、Bakkt

1.BTC锚定币总发行量达14.72万枚。

2.深圳已开出3300万张区块链电子发票。

3.CME BTC期货本周形成“13081-13205”缺口。

4.Bitfinex总法律顾问否认Coingeek对澳本聪案报道的真实性。

5.CFTC前主席：有冒名顶替者冒充他在推特募集加密货币。

6.经济参考报：主权数字货币或难在欧元区得到广泛认可。

7.上周Bakkt比特币月度期货交易额较前一周上涨37%。

8.比特币维持震荡，日内最低报12910.66美元，最高报13048美元。[2020/10/26]

13——这是截至2022年11月，TRM Labs检测到的跨链桥黑客攻击数量，失窃金额近20亿美元。

金色相对论 | 开源存储创始人：云存储和分布式存储不是替代关系，而是互补和结合:在今日举行的金色相对论中，针对“基于区块链的分布式存储应用前景如何？Filecoin这一类的加密货币项目和云服务、开源区块链结合的平台项目，哪个方向更适合商业化发展？”的问题，开源存储创始人Andy Guo表示，云存储和分布式存储不是替代关系，而是互补和结合，流媒体网站的发展就是例证，优爱腾这些视频网站的迅猛发展离不开CDN，CDN是云存储的自然延伸和有效补充，二者结合形成了一种自上而下的分布式和多中心化。Filecoin要构建一个自下而上自然生长的分布式网络，在这样的基础设施之上很可能会自然生长出爱奇艺优酷这样的流媒体应用。在2017年ipfs募资做filecoin就是为了扩大ipfs网络，想要利用通证经济构建一个巨大的天然分布式的点对点网络。目前来看，物联网，智慧城市，边缘计算，区块链这些场景，数据来源天然分散，和以filecoin为代表的分布式存储有天然的契合。科研机构的科研数据，比如气象资料，天文观测数据，想要和人类文明共存，通过任何中心化的机构和个人，都很可能会淹没在人类历史的长河中，但是，类似比特币网络的filecoin去中心化网络一旦形成并稳定运行，就有可能和人类文明共存。[2020/5/19]

9/10——截至当前，2022年10个最大的黑客攻击中有9个是针对DeFi的，其中有5个是针对跨链桥的。如能预防最大的9次DeFi攻击，将使65%的资金免于被盗。

金色晚报 | 1月8日晚间重要动态一览:12:00-21:00关键词：监管、伊朗、比特币、以太经典?

1. 广东发布首个地方金融非现场监管区块链系统。

2. 安徽省广电局召开区块链应用研讨交流会。

3. 伊朗袭击驻扎在伊拉克的美国军事基地后 BTC逼近8500美元大关。

4. 2019年比特币投资年回报率高于标准普尔500指数和黄金。

5. 《精通比特币》作者将出席澳本聪案件。

6. V神：社区是以太坊最重要的部分 社区远比代码更重要。

7. 以太经典官方：仍有超6成节点未准备好ETC Agharta硬分叉

8. 蚂蚁金服蒋国飞：蚂蚁区块链将开放平台技术能力给全行业。

9. 过去两年德国共达成约1.01亿美元区块链投资交易。[2020/1/8]

据Defilama数据，DeFi的总锁定价值（TVL）在过去两年里呈爆炸式增长，从2020年10月的约100亿美元增长到2022年11月的420亿美元。Defilama数据同样显示，在11月底的7天里，桥交易量约为13亿美元。

分析 | 金色盘面：美元汇率走低 USDT中线承压:金色盘面综合分析：USDT自8月11日见顶后持续走低，一方面是数字货币市场企稳，人气恢复，另一方面是美元兑人民币离岸价自8月16日见顶后持续较大幅度调整，也给USDT造成压力，短线看USDT尚未有止跌迹象，综合各方因素，USDT中线承压明显。[2018/8/28]

除了规模庞大外，DeFi项目和跨链桥的其他两个关键特征使它们成为潜在黑客的理想目标，也更容易遭受攻击：

复杂性：DeFi生态系统复杂且相互关联，这让黑客以开发人员无法预料或测试的方式利用漏洞。例如，在闪电贷款攻击中，黑客可以使用与目标无关的服务来操纵资产价格或放大攻击对主要目标的影响。

透明度：DeFi项目自然非常重视透明度，通常构建在开源代码之上。这使得任何人，无论是安全研究人员还是黑客，都可以查看代码并搜寻可利用的漏洞。

一些黑客还声称，可以在不违反法律的情况下操纵和攻击DeFi项目。这可能导致潜在攻击者将DeFi项目视为比CeFi目标风险更低的项目。

2022年10月，基于Solana的平台Mango Markets损失了约1.15亿美元，原因是有个团队操纵了其价格预言机（决定代币价值的权威）。自称为黑客领袖的Avraham Eisenberg后来透露了自己的身份，并将其团队活动描述为“利润丰厚的交易策略”，而非黑客行为。Eisenberg是否会被起诉，目前尚不清楚。

Mango Markets黑客发布推文称其行为是合法的

到目前为止，基础设施攻击、代码漏洞攻击和协议攻击占今年黑客窃取资金总量的大部分。一些黑客还组合使用这些攻击类型来窃取资金。

基础设施攻击让黑客侵入目标的安全控件，进行未经授权的交易，例如将资金从受害者地址发送到黑客所控地址。这种攻击类型的常见方法有窃取私钥、助记词，及前端攻击。

针对智能合约的代码漏洞攻击使攻击者能够在未经授权的情况下从DeFi协议中移除资金。在智能合约代码漏洞攻击中，黑客可能会使用已发现的漏洞对协议展开攻击。今年早些时候，Solana的wormhole桥成为黑客攻击的目标，导致该DeFi协议中超过3亿美元被盗取。

协议攻击是一种业务逻辑攻击，主要结果是攻击者可以操纵代币的价格，并创造套利机会，在一个市场低买，在另一个市场高卖。闪电贷款和治理操纵是其中最常见的协议攻击类型。

最近FTX和其他备受瞩目的中心化加密公司（如Celsius和Voyager等CeFi）的失败，可能会使人们对DeFi解决方案越来越感兴趣。如果投资者因此大批涌向DeFi，可能会进一步助长黑客的攻击动机。

为了降低这种风险，DeFi项目应该求助于传统的bug赏金计划、智能合约安全审计和商业安全解决方案。

传统的bug赏金计划给黑客和安全研究人员发放奖励，激励他们发现漏洞并将漏洞报告给DeFi项目。然后就可以在攻击利用该漏洞之前修补该漏洞。相比之下，加密赏金计划在攻击后向黑客支付资金鼓励其归还一定比例的被盗资金，这实际上会激励黑客的攻击行为。

安全审计可以发现DeFi项目顶梁柱——智能合约——中的漏洞，允许项目在黑客得以利用这些漏洞之前将其修复。但是，审计并不是万无一失的，应该与其他安全控件和策略合并使用。

新的商业解决方案正在开发，以提高整个DeFi生态系统的安全性。特别是当与现有的控件（如智能合约审计）相结合时，创新的安全产品可能会提供更好的DeFi安全性，尽管现在判断其效力还为时过早。

当结合使用时，这些控件和技术可以缩小DeFi协议的攻击面。随着DeFi的不断增长，黑客将寻求更大胆的方法来利用其弱点和漏洞——因此，保持持续的警惕性必不可少。

金色财经 子木

金色早8点

去中心化金融社区

CertiK中文社区

虎嗅科技

区块律动BlockBeats

深潮TechFlow

念青

Odaily星球日报

腾讯研究院

标签：EFIDEFIDEF区块链defi币种LendefiDEFT国内区块链公司前十排名

Luna热门资讯