
都说区块链“安全”,为什么 DeFi 黑客如此猖獗?
作者:Andrew Zola / Unchained
编译及整理:比推 Mary Liu
区块链使 DeFi 成为可能。事实上,区块链应该是安全的,那为什么如此多的 DeFi 平台和应用程序总是遭到黑客攻击?
加密情报公司 CipherTrace 在 2022 年年初发布的一份报告显示,去中心化金融 (DeFi) 占所有加密黑客攻击的 75% 以上。此外,在所有主要加密欺诈案件中,发生在 DeFi 领域的占比达到 54%,高于 2020 年的 3%。
首先,什么是区块链?
区块链是存储不同数据类型的分布式共享账本。例如,我们可以使用区块链来记录非同质代币 (NFT) 的所有权,当然还有加密货币交易。
尽管传统数据库可以轻松存储相同的信息,但区块链的独特之处在于没有集中的权限。它永远不会由中心化管理员在一个位置进行维护,例如 Excel 电子表格,一个人可以在没有监督的情况下进行更改。
相反,区块链数据库的多个相同副本存在于网络上的多台计算机或节点上。要在“链”中添加另一个“块”并将底层交易记录在分布式账本中,需要达成共识。
大多数节点必须在将新数据块添加到分类帐之前验证新数据的合法性。因此,理论上,任何人都几乎不可能进行欺诈交易。这是因为威胁者必须侵入每个节点并更改分类帐的每个副本以避免被发现。
虽然这不一定是不可能的,但这对黑客来说是一个巨大的挑战。此外,当您将一层权益证明 (PoS) 或工作量证明 (PoW) 交易验证方法添加到组合中时,欺骗系统变得极其困难。
POS(在 Algorand、EOS 和 Tezos 中很流行)使用随机选择的矿工来验证交易。另一方面,POW 使用竞争验证方法来确认交易。一旦交易被确认,一个新的区块将被添加到区块链中。
因此,去中心化的公共区块链可以高度安全,因为网络上的每个人都必须验证交易是否合法执行。那么,为什么加密黑客频频成为头条新闻?问题的答案在于跨链桥。
什么是跨链桥?
跨链桥连接两个不同的区块链,并允许用户在没有任何中介或中央授权的情况下从一个区块链发送、接收或交换加密货币,例如加密货币。
虽然这听起来很简单,但事实并非如此。跨链桥不像美元兑换欧元(这很简单),一个易理解的类比是:试图将您银行账户中的航空里程兑换成美元。
区块链桥的存在是为了在高 Gas 费或交易费用、快速交易、改善隐私、优化实用程序以及通过互操作性增强用户体验时为用户提供选择。
它还为用户提供选择自由并鼓励公平竞争。如果一个网络比另一个网络更快或更便宜,您可以以更低的成本简单地切换和移动数字资产。因此,跨链构成了 PancakeSwap 等平台的基础,用户可以在其中快速“交换”以太坊 (ETH) 等加密货币为 Binance (BNB)。
然而,跨链桥(和侧链桥)有时可以颠覆 DeFi 的整个概念。大多数跨链桥依赖于各种外部验证器(例如:包装版代币或第三方托管,它们可能不是去中心化且免信任的)和中心化联盟来促成资产转移。
是什么让跨链桥易受攻击?
跨链网带来了重大的安全风险,由于连接了由不同实体开发的多个链,必须在更广泛的网络中有效地防范攻击。
从本质上讲,这使黑客通过简单地将代币从一条链移动到另一条链来窃取资金成为可能。此外,DeFi 平台是犯罪攻击的理想目标,因为它提供了快速的回报、隐私和匿名性,而且执法方面(仍然)相对较落后。
然而,我们不得不处理如此多的安全漏洞(如 MultiChain、Poly Network、Thorchain 和 Wormhole),原因归结为创始人没有认真对待安全性并且没有发现错误。例如,从 ETH 到 BNB 的交换需要以太坊、Binance 和跨链桥中的交换代理, ETH 和 BNB 可能是安全的,但如果桥接代理是薄弱环节,这也无济于事。
当托管人通过未经测试的安全实践和设计不良的系统来保护数百万甚至数十亿美元时,至少可以说,保护用户资金是一项挑战。
Wormhole 桥攻击
Wormhole 跨链桥攻击是有史以来第二大加密黑客攻击,导致损失超过 3 亿美元(或 120,000 ETH),怎么发生的?
Wormhole 允许用户在 Avalanche、Binance Smart Chain、Ethereum、Polygon、Solana 和 Terra 等链上桥接资产。因此,用户可以在区块链之间转移资产,并且桥通过锁定交易并将包装版本(例如 wETH)铸造到最终链来实现转移。
Solana 的软件功能不是最新的。一些黑客发现并利用了这种容易避免的技术疏忽。例如,威胁者能够通过在指令中注入恶意的“sysvar 帐户”来规避“验证签名”过程。结果,他们能够破坏这个跨链协议,因为它未能验证所有“验证者帐户”,从而使攻击者能够欺骗验证者签名并凭空铸造多达 120,000 ETH。
在这种情况下,跨链违规的根本原因是“验证签名”过程,因为合约有一个过时的功能,无法验证 sysvar 帐户的合法性。这些漏洞提醒人们,DeFi 仍处于起步阶段,这些项目本质上是实验。
在Wormhole 桥攻击之后我们可以信任 DeFi 吗?虽然我们不能 100% 完全信任任何技术,但随着 DeFi 的发展和成熟,黑客欺骗节点或使其离线将变得更加困难。这是因为加密技术只有在每个问题的解决方案和每次迭代中都会变得更好。
加密用户如何保护自己?
随着加密货币成为主流,网络犯罪也变得越来越流行。为了提高区块链安全性并加强跨链环境,加密新手和老手都必须严格遵循最佳实践来降低风险。
进行尽职调查
进行研究至关重要。了解区块链开发团队是否拥有积极透明的业绩记录。如果过去的 DeFi 项目有过安全事件的历史,那么他们可能在内部发布过程中存在问题。
查找这些信息并不简单。您必须深入研究加密世界并研究参与项目的每个人以及可能影响预期结果的所有相关因素。
选择由白帽黑客“审计”的协议
确保他们与已建立的白帽黑客服务合作,以识别和纠正潜在的跨链漏洞。如果团队未能充分解决内部风险和潜在漏洞,您可以期待威胁行为者对其进行“磨练”。
您可以通过遵循协议的公告并与黑客追踪服务提供商(如 Zokyo 和 Trail of Bit)保持联系来找到此信息。白帽黑客每天都在使 web3 变得更好、更安全。通过吸引白帽黑客,DeFi 平台还可以鼓励网络内的共识和协议以提高安全性。
查看锁仓总价值(TVL)
查看协议中锁定了多少加密货币(或存放和锁定的加密资产的总价值)。如果 TVL 加起来高达数十亿美元,并且协议已经活跃了很长时间,那么安全风险可能相对较低。但与往常一样,要格外小心。
随时了解最新消息
众所周知,加密世界会在一夜之间发生变化。因此,跟上包括区块链安全事件在内的最新发展至关重要。跟踪创始人正在做什么,以及他们是否仍在积极为项目做出贡献。如果团队已经“跑路”,您必须根据您的发现重新制定策略。
区块链安全每天都在变好,DeFi 将继续存在
区块链本身是高度安全的,但在多个区块链之间的互操作中可能会出现漏洞。虽然跨链桥肯定会带来许多安全挑战,但它们对于互操作性、可扩展性和增强用户体验至关重要。
由于 DeFi 领域仍处于起步阶段,随着每次安全事件的发生,整个生态系统都在变得越来越好。我们可以从每起加密黑客事件中学习,让DeFi空间更加安全和隐私。
尽管安全事件过去发生过,而且将来肯定会发生,但DeFi 团队都应该化被动为主动,永远将智能合约的安全性放在第一位,让自己远离头条新闻。唯有不断进步的安全性,才能稳固 DeFi 在行业中的强大地位。
了解更多资讯欢迎加入:
比推 Discord 社群 :https://discord.com/invite/QSvv7MZ2tz
比推 TG 交流群:https://t.me/BitPushCommunity
比推 TG 订阅: https://t.me/bitpush
Twitter:https://twitter.com/BitpushNewsCN
本文来自比推,文章链接:https://www.bitpush.news/articles/2972370转载需注明出处
比推快讯
更多 >>- 摩根大通分析师警告:美联储降息可能伤害股市和债市
- Coinbase上线Boundless (ZKC)现货交易
- Strive启动4.5亿美元公开增发,进一步增持比特币
- Pendle 推出跨链 PT,首个为部署于 Avalanche 公链上的 PT-USDe
- 美国下调日本汽车进口关税
- 黄金再创历史新高,首次站上 3680 美元/盎司
- Circle 将 200 万枚 USDC 从 Arbitrum 跨链至 HyperEVM
- 某早期巨鲸 3 倍杠杆做空 HYPE,价值约 1,600 万美元
- noice 24 小时涨超 27%,创历史新高
- MetaMask 正式推出稳定币 MetaMask USD (mUSD)
- 某百万粉丝 KOL 于 pump.fun 直播导致平台服务器崩溃
- 汇丰:美元或短期上涨,但涨幅难持久
- 中美双方就以合作方式解决 TikTok 问题达成基本框架共识
- Coinbase CEO:探索自身网络代币尚处于早期阶段
- 狗狗币 ETF DOJE 以及 XRP ETF XRPR 计划于本周四推出
- 比特币提币放缓,过去 24 小时 CEX 净流入 473.47 枚 BTC
- Base 正探索发行其网络原生代币
- 数据:灰度向 Coinbase 等地址转移逾 21 枚比特币
- 数据:两巨鲸过去 6 日从 CEX 提取 9824 万枚 MERL,约合 1490 万美元
- Ethena 基金会:费用切换参数已达到要求,ENA 的费用切换审核后将被激活
- pump.fun 主播 Bagwork 泄露 Drake 与 Future 未发布歌曲,获利逾 8 万美元
- 以太坊储备概念股普跌,SBET 跌 5.71%
- Ethena 团队地址向 CEX 存入 312.5 万枚 ENA,约 227 万美元
- Coinbase 黑客抛售 3976 枚 ETH,两日亏损 93.2 万美元
- Sky:上周花费 70 万美元回购 940 万枚 SKY 代币
- TON 基金会:未批准实习生在 pump.fun 推出 Meme 币,已解雇该实习生
- 谷歌涨超 3%,市值首次升破 3 万亿美元
- 美股上市公司 LFC 宣布已购入 25 万枚 DOGE 扩充其加密货币财库
- 道琼斯指数开盘上涨 74.67 点,标普 500 和纳斯达克均上涨
- Cyber Crash 宣布将把 70%游戏收入回购 CCC 并销毁超 20%流通代币
- 以太坊基金会将成立DAI团队以促进链上 AI 发展
- Paypal 将加密货币集成至新的 P2P 支付流程中,支持 BTC、ETH 和 PYUSD
- 数据:Hyperliquid 平台鲸鱼当前持仓 106.66 亿美元,多空持仓比为 0.88
- Binance 将延期发放 MRLN Alpha 空投
- High Stakes Capital 再度卖出 8.3 万枚 HYPE,过去一周累计抛售 18.3 万枚 HYPE
- 美国运通推出基于区块链的旅行印章
- 法国或将禁止其他欧盟国家许可的加密企业在本土运营
- 特朗普再次呼吁鲍威尔降息,且幅度要远超计划
- 纳斯达克上市公司 Linkhome 推出加密货币房产交易平台,现支持 BTC、ETH 和 USDC
- Stripe 加密业务负责人离职加入 Polygon Labs 担任首席产品官
- 市场消息:HELIUS 完成逾 5 亿美元融资,将成立 SOL 财库公司 PRN
- Saison Capital 成立区块链专项投资基金 Onigiri Capital,初始目标规模 5000 万美元
- 特朗普:不应再强制企业发布季度报告
- 分析师:若美联储重启降息,加密货币价格或将上涨
- Strategy 上周加仓 525 枚 BTC,花费 6020 万美元
- Forward Industries 宣布现已持有超 680 万枚 SOL
- 摩根大通:美联储降息节奏将成市场关键,预计股市短期将进入盘整
- OKX Star:OKX Boost 核心目标是连接真实 DEX 用户与优质 Token 项目方,不支持刷单行为
- 某地址 1 小时前将 6010 枚 ETH 转入币安
- BitMine 披露持有逾 21.5 万枚 ETH,总资产达 107.7 亿美元