对几十次黑客攻击的分析确定了去中心化金融领域的主要载体和典型漏洞。
去中心化金融领域正在以惊人的速度增长。三年前,DeFi锁定的总价值仅为8亿美元。到2021年2月,这一数字已增至400亿美元;2021年4月,它达到了800亿美元的里程碑;现在,它的价值已经超过1400亿美元。一个新市场的如此快速增长,肯定会吸引各种黑客和欺诈者的注意。
根据加密货币研究公司的一份报告,自2019年以来,DeFi领域因黑客和其他漏洞攻击而损失了约2.849亿美元。从黑客的角度来看,对区块链生态系统的黑客攻击是一种理想的致富手段。因为这种系统是匿名的,他们有钱可赚,而且任何黑客都可以在受害者不知情的情况下进行测试和调整。在2021年的前四个月,损失达到了2.4亿美元。而这些只是公开知道的案例。我们估计真正的损失达到了数十亿美元。
数据:DeFi协议中的TVL已跌破1000亿美元,较去年12月跌去68%:9月27日消息,CryptoRank数据显示,今年9月份DeFi协议中的总锁仓价值(TVL)已跌至963亿美元,较2021年12月份的高点(3038亿美元)下降了68.3%。DeFi协议中的TVL在过去30天内下降了10%,从一个月前的1060亿美元下降到目前的963亿美元。其中,以太坊网络仍在DeFi领域占主导地位在继续,其占整个DeFi TVL的58.46%。(Finbold)[2022/9/27 22:33:28]
DeFi协议的钱是如何被盗的?我们分析了几十起黑客攻击事件,确定了导致黑客攻击的最常见问题。
数据:当前DeFi协议总锁仓量为2035.2亿美元:2月18日消息,据Defi Llama数据显示,目前DeFi协议总锁仓量2035.2亿美元,24小时减少3.18%。锁仓资产排名前五分别为Curve(195.1亿美元)、MakerDAO(167.7亿美元)、Convex Finance(135.4亿美元)、AAVE(128.1亿美元)、WBTC(106.9亿美元)。[2022/2/18 10:00:49]
滥用第三方协议和业务逻辑错误
任何攻击都主要从分析受害者开始。区块链技术为自动调整和模拟黑客攻击的场景提供了许多机会。为了使攻击快速而隐蔽,攻击者必须具备必要的编程技能和智能合约工作原理的知识。黑客的典型工具包允许他们从网络的主要版本中下载自己的区块链的完整副本,然后对攻击过程进行全面调整,就好像交易发生在真实的网络中一样。
基于Solana的DeFi衍生品交易平台Drift Protocol已在主网上线:12月5日消息,基于Solana的DeFi衍生品交易平台Drift Protocol近日已经在主网上线,面向所有交易者开放。用户可以在Solana主网上交易SOL、BTC和ETH永续掉期。
据此前报道,Drift Protocol完成380万美元种子轮融资,Multicoin Capital领投,Jump Capital、Alameda Research等参投。[2021/12/5 12:52:34]
接下来,攻击者需要研究项目的业务模式和使用的外部服务。业务逻辑的数学模型和第三方服务的错误是最常被黑客利用的两个问题。
跨链Defi项目LOON登陆美国合规交易所Bittrex:据官方消息,去中心化借贷项目Loon Network生态通证LOON将于北京时间5月19日4点上线B网(Bittrex),开放LOON/USDT和LOON/BTC交易对。
据了解,Loon Network是去中心化跨链借贷项目,旨在建立一个去中心化跨链借贷网络,为链与链之间数据互传、信用互通、资产互联提供基础网络支持。目前已获Kcash基金会、星耀资本、HKDT基金会、向量资本、NFC、Achain Labs等机构战略投资和众多社区流量支持。Bittrex建立于2015年,总部位于美国,是首批申请纽约比特币牌照的交易所,来自世界各地的活跃用户已超过一千万。[2020/5/18]
智能合约的开发者在交易时需要的相关数据往往超过他们在任何特定时刻可能拥有的数据。因此,他们被迫使用外部服务——例如,预言机。这些服务并不是为在去信任的环境中运作而设计的,所以它们的使用意味着额外的风险。根据一个统计数据,既定类型的风险占损失的比例最小——只有10次黑客攻击,造成的损失总额约为5000万美元。
编码错误
智能合约在IT领域是一个相对较新的概念。尽管它们很简单,但智能合约的编程语言需要一个完全不同的开发范式。开发人员往往根本不具备必要的编码技能,并犯下严重错误,导致用户的巨大损失。?
安全审计只能消除这类风险的一部分,因为市场上的大多数审计公司对他们的工作质量不承担任何责任,只对财务方面感兴趣。由于编码错误,超过100个项目而被黑客攻击,造成的总损失约为5亿美元。一个鲜明的例子是发生在2020年4月19日的dForce黑客事件。黑客利用ERC-777代币标准中的一个漏洞,结合重入攻击,偷走了2500万美元。
闪电贷、价格操纵和矿工攻击
提供给智能合约的信息只在执行交易时相关。在默认情况下,合约不能幸免于对其中包含的信息进行潜在的外部操纵。这使得一系列的攻击成为可能。
闪电贷是一种没有抵押物的贷款,但需要在同一笔交易中归还所借的加密货币。如果借款人未能归还资金,交易将被取消。这种贷款允许借款人收到大量的加密货币并将其用于自己的目的。通常情况下,闪电贷攻击涉及价格操纵。攻击者可以先在交易中卖出大量借来的代币,从而降低其价格,然后在买回代币之前,以非常低的价值执行一系列行动。
矿工攻击类似于基于工作量证明共识算法的区块链上的闪电贷攻击。这种类型的攻击更加复杂和昂贵,但它可以绕过闪电贷的一些保护层。它的工作原理是这样的。攻击者租用挖矿能力,形成一个只包含他们需要的交易的区块。在给定的区块内,他们可以首先借用代币,操纵价格,然后归还借用的代币。由于攻击者独立形成了进入区块的交易,以及它们的顺序,攻击实际上是原子性的,就像闪电贷的情况。这种类型的攻击已经被用来攻击100多个项目,损失总额约为10亿美元。
随着时间的推移,黑客的平均数量一直在增加。在2020年初,一次盗窃金额就高达数十万美元。到今年年底,这个数字已经上升到数千万美元。
开发者不称职
最危险的风险类型涉及人为错误因素。人们为了寻求快速赚钱而求助于DeFi。许多开发人员资质很差,但仍试图在匆忙中推出项目。智能合约是开源的,因此很容易被黑客复制和改动。如果原始项目包含前三种类型的漏洞,那么它们就会蔓延到数百个克隆项目中。RFISafeMoon是一个很好的例子,因为它包含一个关键的漏洞,被复制到一百个项目上,导致潜在损失超过20亿美元。
文:GUESTAUTHORS
标签:DEFIDEFEFILOONDeFi Coin BonusDeFiDroppinetworkdefi币怎么退出热门了LOON币
据bitcoin.com消息指出,巴西联邦在全国范围启动合规行动,以打击与加密货币相关的活动。合规行动脱胎于2018年启动的调查,在互联网上锁定了一系列与加密货币相关的犯罪.
1900/1/1 0:00:00元宇宙概念的膨胀速度似乎比宇宙的膨胀速度的还要快,但很多概念往往不仅没有帮我们更清晰地了解元宇宙,反而让我们陷入更大的困惑.
1900/1/1 0:00:00金色财经区块链8月16日讯??根据CoinGecko最近数据显示,按市值计算,公链Solana原生代币SOL已跻身加密货币前10位,目前市值达到177.5亿美元.
1900/1/1 0:00:00本文聚焦:1.创记录的名企NFT动作及NFT市场交易量2.NFT最赚钱的四大领域应用3.关于NFT交易不得不防的四大坑创记录的名企NFT大动作及市场交易量8月11日消息.
1900/1/1 0:00:00引言近几个月来,以太坊有大量的新用户流入,在过去的30天里,有超过300万个独立的地址被创建。虽然以太坊生态系统的增长对整个市场来说是积极的,但它也证明了以太坊的一些明显的缺点.
1900/1/1 0:00:00团队与投资人1、xxnetwork的创始人&CEO是著名密码学家、加密货币之父、网络安全先驱:DavidChaum,他同时也是密码朋克的发起人,全球第一个加密货币eCash创始人.
1900/1/1 0:00:00