都說區塊鏈“安全” 為什么 DeFi 黑客如此猖獗？_區塊鏈:DEF

作者：Andrew Zola / Unchained

區塊鏈使 DeFi 成為可能。事實上，區塊鏈應該是安全的，那為什么如此多的 DeFi 平臺和應用程序總是遭到黑客攻擊？

加密情報公司 CipherTrace 在 2022 年年初發布的一份報告顯示，去中心化金融 (DeFi) 占所有加密黑客攻擊的 75% 以上。此外，在所有主要加密欺詐案件中，發生在 DeFi 領域的占比達到 54%，高于 2020 年的 3%。

首先，什么是區塊鏈？

區塊鏈是存儲不同數據類型的分布式共享賬本。例如，我們可以使用區塊鏈來記錄非同質代幣 (NFT) 的所有權，當然還有加密貨幣交易。

盡管傳統數據庫可以輕松存儲相同的信息，但區塊鏈的獨特之處在于沒有集中的權限。它永遠不會由中心化管理員在一個位置進行維護，例如 Excel 電子表格，一個人可以在沒有監督的情況下進行更改。

相反，區塊鏈數據庫的多個相同副本存在于網絡上的多臺計算機或節點上。要在“鏈”中添加另一個“塊”并將底層交易記錄在分布式賬本中，需要達成共識。

4月5日ARK基金累計增持超600萬美元的Coinbase股票:金色財經報道，數據顯示，4月5日至今，ARK方舟基金累計增持101441股Coinbase股票(COIN)，按當前價計算，價值約623萬美元。截止周五收盤，COIN收盤報61.44美元。[2023/4/10 13:54:13]

大多數節點必須在將新數據塊添加到分類帳之前驗證新數據的合法性。因此，理論上，任何人都幾乎不可能進行欺詐交易。這是因為威脅者必須侵入每個節點并更改分類帳的每個副本以避免被發現。

雖然這不一定是不可能的，但這對黑客來說是一個巨大的挑戰。此外，當您將一層權益證明 (PoS) 或工作量證明 (PoW) 交易驗證方法添加到組合中時，欺騙系統變得極其困難。

POS（在 Algorand、EOS 和 Tezos 中很流行）使用隨機選擇的礦工來驗證交易。另一方面，POW 使用競爭驗證方法來確認交易。一旦交易被確認，一個新的區塊將被添加到區塊鏈中。

因此，去中心化的公共區塊鏈可以高度安全，因為網絡上的每個人都必須驗證交易是否合法執行。那么，為什么加密黑客頻頻成為頭條新聞？問題的答案在于跨鏈橋。

比特幣礦業托管公司BitRiver子公司正在俄羅斯布里亞特建設挖礦數據處理中心:金色財經報道，據俄羅斯商業咨詢網（RBC）援引Russian Far East and the Arctic Development Corporation（KRDV）新聞稿稱，計劃于2023年上半年在布里亞特開發價值9億盧布（約1230萬美元）挖礦數據處理中心（DPC），該數據中心計劃容納3萬臺耗電量為100兆瓦的礦機。在KRDV支持下，BitRiver集體子公司Bitriver-B正在布里亞特建設一個數據中心，電力設備供應已經開始，將提供100個工作崗位。

KRDV是俄羅斯遠東和北極發展部下屬的管理公司，也是俄羅斯聯邦總統駐遠東聯邦區的全權代表，它利用國家支持機制，幫助實施遠東和北極地區的投資項目。BitRiver則是俄羅斯比特幣礦業托管公司。[2023/2/11 12:01:05]

什么是跨鏈橋？

跨鏈橋連接兩個不同的區塊鏈，并允許用戶在沒有任何中介或中央授權的情況下從一個區塊鏈發送、接收或交換加密貨幣，例如加密貨幣。

武漢：在區塊鏈等數字經濟領域發布一批應用場景創新重點任務:2月7日消息，武漢市人民政府印發《關于激發市場主體活力推動經濟高質量發展的政策措施》。其中提出，推動企業轉型升級。開展中小企業數字化轉型試點，通過免費診斷、設備補貼、示范獎勵等方式，推動“專精特新”中小企業數字化轉型全覆蓋。在人工智能、5G、工業互聯網、區塊鏈等數字經濟領域，發布一批應用場景創新重點任務，對揭榜后經考核認定實施成功的，按照項目總投入 30% 的比例給予最高 200 萬元資金支持。對武漢市年營業收入 500 萬元及以上且年研發投入占年營業收入比例達到 15% 及以上的軟件企業，按照不超過企業年研發投入的 10% 給予最高 100 萬元補助。推動企業研發政策應享盡享，落實好科技型中小企業研發費用加計扣除政策。[2023/2/7 11:50:45]

雖然這聽起來很簡單，但事實并非如此。跨鏈橋不像美元兌換歐元（這很簡單），一個易理解的類比是：試圖將您銀行賬戶中的航空里程兌換成美元。

經紀公司Benchmark將嘉楠股票視為對比特幣的間接投資，目標股價為 9 美元:6月9日消息，經紀公司 Benchmark 在一份研究報告中表示，買入比特幣采礦硬件制造商嘉楠（股票代碼：CAN）是投資比特幣增長的一種間接方式，因為它受益于成為“寡頭壟斷比特幣采礦設備行業”的第二大參與者。Benchmark 表示，憑借 4 億美元的現金和一項新的采礦計劃，嘉楠處于周期性反彈的有利位置，此外，1 億美元的股票回購將有助于支持該股度過“當前的加密貨幣寒冬”。Benchmark 對嘉楠做出買入評級，目標股價為 9 美元。

截止周二美股收盤，CAN暫報3.97美元，日漲幅4.2%。（Coindesk）[2022/6/9 4:12:58]

區塊鏈橋的存在是為了在高 Gas 費或交易費用、快速交易、改善隱私、優化實用程序以及通過互操作性增強用戶體驗時為用戶提供選擇。

它還為用戶提供選擇自由并鼓勵公平競爭。如果一個網絡比另一個網絡更快或更便宜，您可以以更低的成本簡單地切換和移動數字資產。因此，跨鏈構成了 PancakeSwap 等平臺的基礎，用戶可以在其中快速“交換”以太坊 (ETH) 等加密貨幣為 Binance (BNB)。

韓國金融監管局在積極審查與穩定幣和DeFi相關的新加密貨幣法規:金色財經報道，韓國金融監管機構周二一起討論如何解決本月 TerraUSD 穩定幣崩盤的后果。?據當地新聞報道，在國民議會召開緊急會議后，金融監管局 (FSS)、公平貿易委員會 (FTC) 和金融服務委員會 (FSC) 分享了最新消息。?FSS 透露，在 Terra 區塊鏈倒閉后，它計劃檢查提供與 Terra 區塊鏈相關的金融服務的公司的場所。

此外，FSS 將開發一項研究服務，旨在分析在國內交易所流通的加密貨幣和數字資產的風險。然后，該服務將根據這些資產的風險特征對其進行分類。FSC還宣布正在積極審查與穩定幣和DeFi相關的新加密貨幣法規。?[2022/5/25 3:39:23]

然而，跨鏈橋（和側鏈橋）有時可以顛覆 DeFi 的整個概念。大多數跨鏈橋依賴于各種外部驗證器（例如：包裝版代幣或第三方托管，它們可能不是去中心化且免信任的）和中心化聯盟來促成資產轉移。

是什么讓跨鏈橋易受攻擊？

跨鏈網帶來了重大的安全風險，由于連接了由不同實體開發的多個鏈，必須在更廣泛的網絡中有效地防范攻擊。

從本質上講，這使黑客通過簡單地將代幣從一條鏈移動到另一條鏈來竊取資金成為可能。此外，DeFi 平臺是犯罪攻擊的理想目標，因為它提供了快速的回報、隱私和匿名性，而且執法方面（仍然）相對較落后。

然而，我們不得不處理如此多的安全漏洞（如 MultiChain、Poly Network、Thorchain 和 Wormhole），原因歸結為創始人沒有認真對待安全性并且沒有發現錯誤。例如，從 ETH 到 BNB 的交換需要以太坊、Binance 和跨鏈橋中的交換代理， ETH 和 BNB 可能是安全的，但如果橋接代理是薄弱環節，這也無濟于事。

當托管人通過未經測試的安全實踐和設計不良的系統來保護數百萬甚至數十億美元時，至少可以說，保護用戶資金是一項挑戰。

Wormhole 橋攻擊

Wormhole 跨鏈橋攻擊是有史以來第二大加密黑客攻擊，導致損失超過 3 億美元（或 120,000 ETH），怎么發生的？

Wormhole 允許用戶在 Avalanche、Binance Smart Chain、Ethereum、Polygon、Solana 和 Terra 等鏈上橋接資產。因此，用戶可以在區塊鏈之間轉移資產，并且橋通過鎖定交易并將包裝版本（例如 wETH）鑄造到最終鏈來實現轉移。

Solana 的軟件功能不是最新的。一些黑客發現并利用了這種容易避免的技術疏忽。例如，威脅者能夠通過在指令中注入惡意的“sysvar 帳戶”來規避“驗證簽名”過程。結果，他們能夠破壞這個跨鏈協議，因為它未能驗證所有“驗證者帳戶”，從而使攻擊者能夠欺騙驗證者簽名并憑空鑄造多達 120,000 ETH。

在這種情況下，跨鏈違規的根本原因是“驗證簽名”過程，因為合約有一個過時的功能，無法驗證 sysvar 帳戶的合法性。這些漏洞提醒人們，DeFi 仍處于起步階段，這些項目本質上是實驗。

在Wormhole 橋攻擊之后我們可以信任 DeFi 嗎？雖然我們不能 100% 完全信任任何技術，但隨著 DeFi 的發展和成熟，黑客欺騙節點或使其離線將變得更加困難。這是因為加密技術只有在每個問題的解決方案和每次迭代中都會變得更好。

加密用戶如何保護自己？

隨著加密貨幣成為主流，網絡犯罪也變得越來越流行。為了提高區塊鏈安全性并加強跨鏈環境，加密新手和老手都必須嚴格遵循最佳實踐來降低風險。

進行盡職調查

進行研究至關重要。了解區塊鏈開發團隊是否擁有積極透明的業績記錄。如果過去的 DeFi 項目有過安全事件的歷史，那么他們可能在內部發布過程中存在問題。

查找這些信息并不簡單。您必須深入研究加密世界并研究參與項目的每個人以及可能影響預期結果的所有相關因素。

選擇由白帽黑客“審計”的協議

確保他們與已建立的白帽黑客服務合作，以識別和糾正潛在的跨鏈漏洞。如果團隊未能充分解決內部風險和潛在漏洞，您可以期待威脅行為者對其進行“磨練”。

您可以通過遵循協議的公告并與黑客追蹤服務提供商（如 Zokyo 和 Trail of Bit）保持聯系來找到此信息。白帽黑客每天都在使 web3 變得更好、更安全。通過吸引白帽黑客，DeFi 平臺還可以鼓勵網絡內的共識和協議以提高安全性。

查看鎖倉總價值（TVL）

查看協議中鎖定了多少加密貨幣（或存放和鎖定的加密資產的總價值）。如果 TVL 加起來高達數十億美元，并且協議已經活躍了很長時間，那么安全風險可能相對較低。但與往常一樣，要格外小心。

隨時了解最新消息

眾所周知，加密世界會在一夜之間發生變化。因此，跟上包括區塊鏈安全事件在內的最新發展至關重要。跟蹤創始人正在做什么，以及他們是否仍在積極為項目做出貢獻。如果團隊已經“跑路”，您必須根據您的發現重新制定策略。

區塊鏈安全每天都在變好，DeFi 將繼續存在

區塊鏈本身是高度安全的，但在多個區塊鏈之間的互操作中可能會出現漏洞。雖然跨鏈橋肯定會帶來許多安全挑戰，但它們對于互操作性、可擴展性和增強用戶體驗至關重要。

由于 DeFi 領域仍處于起步階段，隨著每次安全事件的發生，整個生態系統都在變得越來越好。我們可以從每起加密黑客事件中學習，讓DeFi空間更加安全和隱私。

盡管安全事件過去發生過，而且將來肯定會發生，但DeFi 團隊都應該化被動為主動，永遠將智能合約的安全性放在第一位，讓自己遠離頭條新聞。唯有不斷進步的安全性，才能穩固 DeFi 在行業中的強大地位。

編譯及整理：比推 Mary Liu

Tags：區塊鏈EFIDEFDEFI區塊鏈dapp開發白富美NINEFIDefina Financedefi幣種

BNB