作者:老雅痞
三年前,鎖定在DeFi的加密貨幣總價值僅有8億美元。到2021年2月,這個數字已經增長到400億美元;2021年4月,它達到了800億美元的里程碑;而現在,它已經超過2460億美元。這個新興賽道捕捉了資本流動性的價值得到快速增長。
從黑客的角度來看,對defi生態系統的攻擊是一種理想并且快速的致富手段,這里顯然成為了各種黑客和欺詐者的游樂園。CipherTrace在最新的《加密資產犯罪和反洗錢報告》中指出,截至7月底,與DeFi相關的黑客事件已經讓用戶們損失了3.61億美元。他們的主要手法是什么?而我們又該如何應對。
DeFi協議的資金是如何被盜的?
REENTRANCYATTACK(重入攻擊)
一個鮮明的例子是發生在2020年4月19日的DForce黑客事件。
在defi協議上,首先智能合約有以下四個提款步驟:
DeFi協議Lido Finance已超過600萬ETH存入其流動質押平臺:金色財經報道,Dune Analytics 數據顯示,DeFi 協議 Lido Finance 已超過 600 萬 ETH 存入其流動質押平臺,其中,Lido 上周凈流入 105,644 ETH,價值約 1.99 億美元,將存款推高至 6,008,480 ETH 。
根據 DefiLlama 的數據,Liquid Staking 已成為投資者賺取數字資產收益的一種流行方式,使其成為最大的 DeFi 行業之一,總價值達 160 億美元。[2023/5/5 14:43:50]
用戶調用合約,準備從合約中提現所有資金。
合約檢查用戶在合約中是否有資金。
合約將用戶在合約中的資金發送給用戶。
合約自行更新,用戶在合約中沒有資金。
重入漏洞允許黑客在合約完全執行之前再次調用合約。在上面的例子中,攻擊者可以在第三步和第四步之間重新進入合約,并在用戶余額更新之前再次退出。通過重復這個過程,他們可以從合約中提取所有現有的資金,在一個循環中反復提取資金從而盜取了2500萬美元。
數據:當前DeFi協議總鎖倉量為2068.8億美元:2月11日消息,據Defi Llama數據顯示,目前DeFi協議總鎖倉量2068.8億美元,24小時減少2.70%。鎖倉資產排名前五分別為Curve(197.7億美元)、MakerDAO(172.8億美元)、AAVE(136.9億美元)、Convex Finance(136.3億美元)、WBTC(112.7億美元)。[2022/2/11 9:45:25]
FLASHLOANATTACK
最近,閃電攻擊已經成為最流行的黑客攻擊方法。閃電貸款是一種只在一次區塊鏈交易內有效的貸款,沒有違約風險。它意味著貸款人同意向借款人提供任何金額的貸款,前提是在給定的時間內將該金額歸還貸款人,否則貸款人可以回滾整個交易。黑客規避了貸款機制,這帶來了各種漏洞,如資產價格操縱。?
閃電貸款攻擊是對某一平臺的智能合約安全性的濫用,攻擊者通常會借入大量不需要抵押的資金。然后他們在一個交易平臺操縱加密貨幣資產的價格,并迅速在另一個交易平臺轉賣
Synthetix創始人:DeFi和監管一樣支持公平、開放和高效的市場:合成資產協議Synthetix的創始人KainWarwick發推表達對當下DeFi監管的看法,認為DeFi的全球監管不可避免,我們必須明確傳達我們也支持公平、開放和高效的市場,這和監管機構的目標有著令人難以置信的一致性,當下需要讓DeFi中的每個人圍繞統一的敘述進行協調,目前似乎有一個松散的DeFi創始人聯盟開始意識到這個問題,但尚未正式成立。[2021/8/5 1:35:58]
智能合約的漏洞
編碼錯誤產生于不小心執行的智能合約安全審計或未檢查的智能合約漏洞和脆弱性。令人遺憾的是,許多區塊鏈項目的創始人決定在測試覆蓋率不足的情況下運行他們的項目,并忽視了安全審計的相關性,這種疏忽導致被攻擊的可能性增加,給投資者帶來損失。?
價格預言機的操縱:代表例子MakerDao
智能合約的執行依賴于價格oracle所提供的準確數據。然而,獲得這些價格數據并不像人們希望的那樣安全和可靠。如果oracle提供不準確的數據,智能合約將導致交易錯誤的執行。這一事實有利于那些試圖操縱價格對自己有利的黑客。操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊,其本質是對預言機進行操控,造成內外價格差并利用閃電貸等新型金融工具從中套利。
Terra加入DeFi Alliance的生態系統合作伙伴計劃:5月13日,據DeFi Alliance官方消息,Terra已加入DeFi Alliance的生態系統合作伙伴計劃,此后孵化將引入Terra編程。[2021/5/13 21:59:06]
應運而生的Defi漏洞賞金平臺
傳統的網站和應用程序Bug賞金平臺,如HackerOne和BugCrowd,在這種舊世界的模式中取得了成功。但現有的"Web2.0"bug賞金和與區塊鏈和加密貨幣相關的"Web3.0"bug新時代之間存在巨大差異。在去中心化金融時代,Web3.0漏洞懸賞的關鍵性質是與實際貨幣價值相關,而不僅僅是軟件漏洞。
什么是Immunefi?
Immunefi于2020年12月推出,通過Bug賞金提供智能合約安全。更重要的是,他們已經宣稱是世界上首屈一指的bug賞金平臺!Immunefi有遏制DeFi黑客攻擊問題的野心。為了實現這一目標,它為區塊鏈項目提供咨詢服務、漏洞檢測、項目管理,以及最重要的是,提供一支白帽黑客的軍隊。Immunefi尋求將DeFi協議與黑客聯系起來,以保護平臺和用戶的資產。
21世紀經濟報道:大型銀行擁抱聯盟鏈,中小機構青睞DeFi:21世紀經濟報道刊文稱,隨著區塊鏈技術日益發展,金融機構對其應用方向的選擇正悄然分化。眾多大型銀行正積極擁抱聯盟鏈,通過聯盟鏈技術拓展供應鏈金融、基于信用證的跨境支付、大宗商品交易結算、票據融資等業務;相比而言,眾多中小金融科技機構則借助DeFi技術興起的東風,紛紛布局基于去中心化架構的數字貨幣抵押融資、信貸、保險、支付等新業態。此外,文章表示,值得注意的是,無論是大型銀行機構,還是涉足DeFi研發的中小金融科技平臺,都將資產、數據上鏈交易,視為今年區塊鏈+金融業態變革發展的重要突破口。[2021/1/12 15:56:11]
什么是漏洞(Bug)賞金?
漏洞賞金計劃為發現智能合約和應用程序的潛在漏洞的安全研究人員提供獎勵。此外,賞金激勵白帽黑客發現并向項目報告漏洞,而項目則根據漏洞的嚴重程度向他們支付報酬。
傳統bug賞金面臨的困境
經濟激勵
雖然世界上把黑客分為白帽黑客和傳統黑客,但大多數人都在灰色地帶活動。舉個例子:有一個發現了可以快速賺取500萬美元的漏洞的黑客,他自身在巨大的利益面前會陷入道德的困境,他是做正確的事與有bug的平臺談判,以此獲得5千美元的bug賞金?還是他自己對這個bug采取行動?如果沒有一個一致的、公平的白帽子獎勵系統,人性黑暗面的誘惑將永遠存在。
報告
Defi項目通常沒有人負責處理bug賞金事件。因此,如果一個白帽試圖報告一個漏洞,試圖找到決策人。另外,如果CTO收到了來自外部的風險提示,說他們的代碼有缺陷,他們的自尊心很容易占據上風,賞金獵人并不討好。即使發現bug全部過程都被通過適當的渠道報告給公司負責人,也不能保證公司會獎賞。財務部門可能還會與開發團隊對漏洞賞金的價值產生分歧,整個過程可能會陷入一系列的死胡同。
Immunefi的賞金計劃
Immunefi平臺代表他們的白帽子和項目團隊處理/溝通和談判,這大大提高了效率壓縮了雙方的時間成本,Immunefi讓黑客保持匿名,并且不要求提供KYC文件。
Immunefi平臺已經發布一些有利可圖的賞金,其客戶Astroport提供高達300萬美元的獎勵。其他引人注目的賞金來自Celer,價值高達20萬美元,xDAI高達200萬美元,Sushi發布的125萬美元賞金。
Immunefi目前有7100萬美元的懸賞金,它想把獵取bug的工作從一種愛好變成一種可行的職業。到目前為止,該平臺已經支付了1000多萬美元,為客戶避免了200億美元的資金受到損失。
如何啟動賞金計劃?
在客戶填寫了Immunefibug賞金登記表后,他們會收到一份調查問卷
Immunefi開始根據這些問題的答案起草一份bug賞金計劃,該草案之后會被發送給客戶進行審查,修改完成后,該程序將被移交給Immunefi的運營專家。運營專家與項目團隊合作,確定賞金活動的啟動時間和賞金的公關/營銷細節以及費用和支付如何進行。
在Immunefi上發布一個bug賞金不需要預付費用。當黑客發現真正的漏洞時,客戶只需在bug賞金的基礎上向Immunefi支付10%的績效費用。
由于defi領域的快速發展,隨之而來的安全問題使大多數平臺和用戶資金受到損失,這也許可以解釋為什么Immunefi,DeFi的新興bug賞金和安全服務平臺之一能夠迅速捕捉價值,目前已經融資了550萬美元的資金,由ElectricCapital領投,參與的還有BlueprintForest、FrameworkVentures、BitscaleCapital、P2PCapital、IDEOColab、TheLAO、BRCapital、3rdPrimeVentures、NorthIslandVentures和其他個人投資者。
Amador在接受TechCrunch采訪時補充說:"現實情況是,Web3是一個對抗性更強的環境,這意味著漏洞賞金過程的每個部分都與以前不同,從報告的提交和處理,到報告的驗證,再到支付的談判都是如此。傳統的Web2bug賞金是一種方便的錯誤修復工具,而我們的Web3bug賞金則是DeFi項目的一個更為關鍵的應急系統。
隨著DeFi生態積木不斷豐富壯大,安全問題一直是高懸在頭頂上的達摩克里斯之劍,DeFi被黑客攻擊的事件仍然不會停止,未來還會繼續發生,這一點無需贅述。
Tags:EFIDEFIDEFIMM99DEFI.NETWORKDefiskeletonsDeFinerImmutable
鏈捕手消息,摩根士丹利近日指出,NFT及各種社交游戲,可能將為精品產業創造龐大的商機。預計到2030年社交游戲將為數字奢侈品產業創造200億美元商機,而在3000億美元的NFT市場中,各種數字奢.
1900/1/1 0:00:00撰文:0x13 Crypto是一個每一天都在飛速發展的行業,每一天都有無數新項目誕生,有時一個熱點可能只會持續幾天,一周前發生的大事回憶起來仿佛過了一個月之久.
1900/1/1 0:00:00整理:念青,鏈捕手 2021年是Layer2生態迅速發展的一年,鏈捕手盤點了Arbitrum、Starkware、Optimism、zkSync、Metis、BobaNetwork、Aztec等.
1900/1/1 0:00:00作者:頭等倉的聰聰 Bancor?是以解決無常損失為發力點的去中心化交易所,v2.1版本的核心機制是BNT彈性供應,補償流動性提供者的無常損失,基本能夠實現100%覆蓋,并且經濟模型長期可持續.
1900/1/1 0:00:00作者:胡翌霖,清華大學科學史系副教授近幾年幣圈的新事物我都沒有緊跟研究了,因為研究起來費時費力,還特別影響心態,因為一不小心就會覺得自己“虧了一個億”,所以最好還是眼不見為“靜”了.
1900/1/1 0:00:00鏈捕手消息,Solana鏈上DEX平臺Serum官方公告,EpsilonDao團隊將在Solana鏈上構建基于Serum生態儲備貨幣協議.
1900/1/1 0:00:00