
DeFi协议是如何被黑客攻击的?
对几十次黑客攻击的分析确定了去中心化金融领域的主要载体和典型漏洞。
去中心化金融领域正在以惊人的速度增长。三年前,DeFi锁定的总价值仅为8亿美元。到2021年2月,这一数字已增至400亿美元;2021年4月,它达到了800亿美元的里程碑;现在,它的价值已经超过1400亿美元。一个新市场的如此快速增长,肯定会吸引各种黑客和欺诈者的注意。
根据加密货币研究公司的一份报告,自2019年以来,DeFi领域因黑客和其他漏洞攻击而损失了约2.849亿美元。从黑客的角度来看,对区块链生态系统的黑客攻击是一种理想的致富手段。因为这种系统是匿名的,他们有钱可赚,而且任何黑客都可以在受害者不知情的情况下进行测试和调整。在2021年的前四个月,损失达到了2.4亿美元。而这些只是公开知道的案例。我们估计真正的损失达到了数十亿美元。
DeFi协议的钱是如何被盗的?我们分析了几十起黑客攻击事件,确定了导致黑客攻击的最常见问题。
滥用第三方协议和业务逻辑错误
任何攻击都主要从分析受害者开始。区块链技术为自动调整和模拟黑客攻击的场景提供了许多机会。为了使攻击快速而隐蔽,攻击者必须具备必要的编程技能和智能合约工作原理的知识。黑客的典型工具包允许他们从网络的主要版本中下载自己的区块链的完整副本,然后对攻击过程进行全面调整,就好像交易发生在真实的网络中一样。
接下来,攻击者需要研究项目的业务模式和使用的外部服务。业务逻辑的数学模型和第三方服务的错误是最常被黑客利用的两个问题。
智能合约的开发者在交易时需要的相关数据往往超过他们在任何特定时刻可能拥有的数据。因此,他们被迫使用外部服务——例如,预言机。这些服务并不是为在去信任的环境中运作而设计的,所以它们的使用意味着额外的风险。根据一个统计数据(自2020年夏天以来),既定类型的风险占损失的比例最小——只有10次黑客攻击,造成的损失总额约为5000万美元。
编码错误
智能合约在IT领域是一个相对较新的概念。尽管它们很简单,但智能合约的编程语言需要一个完全不同的开发范式。开发人员往往根本不具备必要的编码技能,并犯下严重错误,导致用户的巨大损失。
安全审计只能消除这类风险的一部分,因为市场上的大多数审计公司对他们的工作质量不承担任何责任,只对财务方面感兴趣。由于编码错误,超过100个项目而被黑客攻击,造成的总损失约为5亿美元。一个鲜明的例子是发生在2020年4月19日的dForce黑客事件。黑客利用ERC-777代币标准中的一个漏洞,结合重入攻击,偷走了2500万美元。
闪电贷、价格操纵和矿工攻击
提供给智能合约的信息只在执行交易时相关。在默认情况下,合约不能幸免于对其中包含的信息进行潜在的外部操纵。这使得一系列的攻击成为可能。
闪电贷是一种没有抵押物的贷款,但需要在同一笔交易中归还所借的加密货币。如果借款人未能归还资金,交易将被取消。这种贷款允许借款人收到大量的加密货币并将其用于自己的目的。通常情况下,闪电贷攻击涉及价格操纵。攻击者可以先在交易中卖出大量借来的代币,从而降低其价格,然后在买回代币之前,以非常低的价值执行一系列行动。
矿工攻击类似于基于工作量证明共识算法的区块链上的闪电贷攻击。这种类型的攻击更加复杂和昂贵,但它可以绕过闪电贷的一些保护层。它的工作原理是这样的。攻击者租用挖矿能力,形成一个只包含他们需要的交易的区块。在给定的区块内,他们可以首先借用代币,操纵价格,然后归还借用的代币。由于攻击者独立形成了进入区块的交易,以及它们的顺序,攻击实际上是原子性的(不能将其他交易“嵌入”到攻击中),就像闪电贷的情况。这种类型的攻击已经被用来攻击100多个项目,损失总额约为10亿美元。
随着时间的推移,黑客的平均数量一直在增加。在2020年初,一次盗窃金额就高达数十万美元。到今年年底,这个数字已经上升到数千万美元。
开发者不称职
最危险的风险类型涉及人为错误因素。人们为了寻求快速赚钱而求助于DeFi。许多开发人员资质很差,但仍试图在匆忙中推出项目。智能合约是开源的,因此很容易被黑客复制和改动。如果原始项目包含前三种类型的漏洞,那么它们就会蔓延到数百个克隆项目中。RFI SafeMoon是一个很好的例子,因为它包含一个关键的漏洞,被复制到一百个项目上,导致潜在损失超过20亿美元。
文:GUEST AUTHORS
比推快讯
更多 >>- 数据:过去 24 小时全网爆仓 3.2 亿美元,多单爆仓 1.67 亿美元,空单爆仓 1.53 亿美元
- 当前主流 CEX、DEX 资金费率显示市场走向分化,看涨与中立并存
- Scam Sniffer:某 Aave 用户在签署钓鱼签名后损失逾 34.3 万美元 aEthWETH
- 观点:“万物皆可 RWA”是伪命题,目前仅覆盖金融、不动产等五类主流资产
- 京东开启稳定币链上活动策划岗位招聘
- 数据:某休眠 3 年巨鲸将 4736 枚 ETH 质押至 Kiln,浮盈 1070 万美元
- Strategy:今日是公司采用比特币策略五周年
- Sidekick 基金会:K 代币空投申领将分阶段开放
- 某巨鲸通过 Aave 循环贷累计囤积 603.5 枚 WBTC,约 7162 万美元
- 三年前以 1237 美元均价建仓 ETH 鲸鱼疑似清仓,或获利 106.6 万美元
- 华检医疗正式启动以太坊财库战略
- 以太坊联创:财库公司或将在一年内推动 ETH 市值超越 BTC
- 财新:监管对发行人民币稳定币依旧保持谨慎
- Unicoin CEO:美国银行仍在无理由关闭加密企业账户
- Michael Saylor 发布比特币 Tracker 信息,或暗示 Strategy 再次增持 BTC
- 本周美国比特币现货 ETF 累计净流入 2.532 亿美元
- AguilaTrades 以 25 倍杠杆开启做空 ETH,总头寸预计达 4200 万美元
- 以太坊距突破历史新高仍需上涨约 15%
- Solana 生态域名服务 SNS:Genesis Airdrop 申领将于明天结束
- Polymarket 上预测ETH 在今年创下历史新高概率升至 74%
- Michael Saylor:比特币在可预见的未来都会跑赢标普 500 指数
- Arthur Hayes低卖高买以太坊及山寨币
- 深圳某公司员工利用木马盗窃价值 300 余万元 USDT 获刑四年
- Arthur Hayes 增持 41,628 枚 HYPE,价值 180 万美元
- Binance Alpha 新空投领取门槛:首阶段至少 237 分
- 某巨鲸休眠一月后从 CEX 提取 274.22 枚 BTC,价值 3200 万美元
- 数据:监测到 5,970 万 USDT 转入 Binance
- 俄专家:俄美领导人阿拉斯加峰会可能会提出乌克兰停火计划
- HTX DAO“信心之旅”宁波站圆满收官,Molly 携重大消息与社区共话生态未来
- 特朗普:佩洛西夫妇利用内幕消息在 2024 年击败所有对冲基金,需开展调查
- Binance 将调整 MEMEFIUSDT U 本位永续合约杠杆及保证金阶梯
- 数据:Galaxy Digital 两小时内向交易平台转入 22.4 万枚 SOL,价值 4112 万美元
- James Wynn:因过度杠杆和用户关注而失控是一个教训
- 标普全球:7 月美国 CPI 数据将成为新一周的关键经济指标
- 某巨鲸 20 倍做空 ETH 浮亏近 2000 万美元,正持续补充保证金
- 白宫官员:特朗普对在阿拉斯加举行美俄乌三方峰会持开放态度
- 某巨鲸投资 ETH 并质押,两个月获利超 1300 万美元
- 数据:Abraxas Capital 两账户做空 ETH 等多币种,浮亏超 1.9 亿美元
- 蓝筹 NFT 普涨,Cool Cats 7 日涨超 44%
- 蚂蚁数科边卓群:曾拒绝多个 RWA 项目,香港 RWA 平台年内目标百亿注册
- RootData:ERA 将于一周后解锁价值约 1652 万美元的代币
- 特朗普与普京将在阿拉斯加举行会晤,白宫正考虑邀泽连斯基前往
- 以太坊市值站稳 5000 亿美元,初步达到美国部分州投资门槛
- 数据:ETH 全网合约持仓量 24h 增长 9.46%
- 某聪明钱过去 10 小时从币安提出 21 万枚 LINK,目前共持有 33.5 万枚 LINK
- WORLD3 发布最终空投快照提醒
- 过去 24 小时约有 6.94 万枚 ETH 流入 CEX 平台,币安流入超 9 万枚
- 数据:过去 24 小时全网爆仓 4.25 亿美元,多单爆仓 9330.07 万美元,空单爆仓 3.32 亿美元
- 数据:ETH/BTC 汇率连续五日上涨,当前为 0.037
- Base 生态代币普涨,ZORA 涨超 19%再创历史新高
比推专栏
更多 >>观点
比推热门文章
- 数据:过去 24 小时全网爆仓 3.2 亿美元,多单爆仓 1.67 亿美元,空单爆仓 1.53 亿美元
- 当前主流 CEX、DEX 资金费率显示市场走向分化,看涨与中立并存
- Scam Sniffer:某 Aave 用户在签署钓鱼签名后损失逾 34.3 万美元 aEthWETH
- 观点:“万物皆可 RWA”是伪命题,目前仅覆盖金融、不动产等五类主流资产
- 京东开启稳定币链上活动策划岗位招聘
- 数据:某休眠 3 年巨鲸将 4736 枚 ETH 质押至 Kiln,浮盈 1070 万美元
- Strategy:今日是公司采用比特币策略五周年
- Sidekick 基金会:K 代币空投申领将分阶段开放
- 某巨鲸通过 Aave 循环贷累计囤积 603.5 枚 WBTC,约 7162 万美元
- 三年前以 1237 美元均价建仓 ETH 鲸鱼疑似清仓,或获利 106.6 万美元